Trend Micro Security

Backdoor.Linux.XORDDOS.D

2020年1月10日
 解析者: Arvin Roi Macaraeg   

 別名:

DoS:Linux/Xorddos!rfn(MICROSOFT); Linux.Xorddos(NORTON); HEUR:Trojan-DDoS.Linux.Xarcen.a(KASPERSKY)

 プラットフォーム:

Linux

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: バックドア型
  • 破壊活動の有無: なし
  • 暗号化: なし
  • 感染報告の有無: はい

  概要

感染経路 他のマルウェアからの作成, インターネットからのダウンロード

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。


  詳細

ファイルサイズ 625,867 bytes
タイプ ELF
メモリ常駐 はい
発見日 2020年1月6日
ペイロード 情報収集

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • /usr/bin/{random characters}
  • /lib/libudev.so
  • /tmp/{random characters}
  • /bin/{random characters}

自動実行方法

マルウェアは、以下のファイルを作成します。

  • /etc/cron.hourly/gcc.sh (Cron is a time-based job scheduler in Unix-like computer operating systems)

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

  • Execute files
  • Download files
  • Update Malware
  • Delete Files
  • Terminate Process
  • Remove Services
  • Remove Self
  • Perform DDoS attack
  • Hide Files
  • Create Services
  • Create Directory
  • Hide Port
  • Copy Files

マルウェアは、コマンド&コントロール(C&C)サーバに以下の情報を通知します。

  • {BLOCKED}.{BLOCKED}.101.37:3306
  • cdn.{BLOCKED}2cdn.com
  • cdn.{BLOCKED}1num.com
  • aa.f{BLOCKED}num.org/config.rar

情報漏えい

マルウェアは、以下の情報を収集します。

  • Memory Information
  • CPU Information
  • Network Speed
  • PID of Running Process
  • MD5 of Running Process

その他

マルウェアは、以下を実行します。

  • Drops a shell script in /etc/init.d/{random character} folder which setups the auto-start mechanism of the malware.
  • Creates symbolic links which points to the script in /etc/init.d/{random character}:
    • /etc/rc{1-5}.d/S90{random numbers}
    • /etc/rc.d/rc{1-5}.d/S90{random numbers}
  • Read the following from its configuration file:
    • md5 - checksum of file
    • denyip - open communication with an IP
    • filename - list of filename
    • rmfile - files to remove
  • Uses the following User Agents:
    • POST/GET %s HTTP/1.1 /
      Accept: */*
      Accept-Language: zh-cn
      User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; TencentTraveler ;.NET CLR 1.1.4322)
      Connection: Keep-Alive
      Host:
      Content-Type: application/x-www-form-urlencoded
      Content-Length:
  • Get the magic string value from the file /var/run/gcc.pid
  • It modify /bin/chkconfig to add its copy as a service.

<補足>
インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • /usr/bin/{ランダムな文字}
  • /lib/libudev.so
  • /tmp/{ランダムな文字}
  • /bin/{ランダムな文字}

自動実行方法

マルウェアは、以下のファイルを作成します。

  • /etc/cron.hourly/gcc.sh (Cronは、UNIX系コンピュータのOSの時間ベースのジョブスケジューラです。)

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

  • ファイルの実行
  • ファイルのダウンロード
  • マルウェアの更新
  • ファイルの削除
  • プロセスの終了
  • サービスの削除
  • 自身の削除
  • 「分散型サービス拒否(DDoS)攻撃」の実行
  • ファイルの隠ぺい
  • サービスの作成
  • ディレクトリの作成
  • ポートの隠ぺい
  • ファイルのコピー

情報漏えい

マルウェアは、以下の情報を収集します。

  • メモリ情報
  • CPU情報
  • ネットワークの速度
  • 実行中プロセスのPID
  • 実行中プロセスのMD5

その他

マルウェアは、以下を実行します。

  • マルウェアの自動起動を設定するフォルダ「/etc/init.d/{ランダムな文字}」内にシェルスクリプトを作成します。
  • 「/etc/init.d/{ランダムな文字}」内のシェルスクリプトを示す以下のシンボリックリンクを作成します。
    • /etc/rc{1-5}.d/S90{ランダムな数字}
    • /etc/rc.d/rc{1-5}.d/S90{ランダムな数字}
  • マルウェアは、自身の環境設定ファイルから以下を読み込みます。
    • md5 - ファイルのチェックサム
    • denyip - IPとの通信を開く
    • filename - ファイル名のリスト
    • rmfile - 削除するファイル
  • マルウェアは、以下のユーザエージェントを使用します。
    • POST/GET %s HTTP/1.1 /
      Accept: */*
      Accept-Language: zh-cn
      User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; TencentTraveler ;.NET CLR 1.1.4322)
      Connection: Keep-Alive
      Host:
      Content-Type: application/x-www-form-urlencoded
      Content-Length:
  • マルウェアは、マジックストリングの値をファイル「/var/run/gcc.pid」から取得します。
  • マルウェアは、「/bin/chkconfig」を改変して、自身のコピーをサービスとして追加します。


  対応方法

対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 15.604.06
初回 VSAPI パターンリリース日 2020年1月6日
VSAPI OPR パターンバージョン 15.605.00
VSAPI OPR パターンリリース日 2020年1月7日

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Backdoor.Linux.XORDDOS.D」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください