linux xorddos样本分析1

样本行为

该样本为国庆期间接到的一个应急，发现为今年比较流行的xorddos，遂分析一番。

运行之后，查看进程，可以发现可疑进程ydxrooqtno，以及ppkzkneour。

 

多次运行发现除了ydxrooqtno之外，其余进程的id，名称一直在改变。

 

查看该进程镜像，可以看到该进程的文件镜像在/usr/bin/ydxrooqtno。

 

通过lsof发现的结果一致。

 

进入/usr/bin目录下，通过命令ls –lt | head查看最近时间内该目录文件的修改情况，与样本运行之后，被拷贝到/usr/bin目录下的行为一致。

 

查看是否有针对该程序的自启动，发现该程序被设置了自启动选项。

 

通过该条脚本列举该进程打开打开的所有文件，在目录/proc/pid/fd中保存了进程打开的所有文件，文件名为文件描述符，目录中每个软连接都会指向进程打开的实际文件。更详细的/proc/pid目录内容可查看一下链接http://blog.chinaunix.net/uid-16979052-id-3476223.html，运行脚本之后发现，该进程应该开启了sock与远程服务器进行通信。

 

既然开启了sock，通过netstat –lnp看看中招的linux中开启的网络和端口情况，似乎与我们的样本并没有很大的关系，通信的端口被隐藏了？使用了rookit技术？

 

还原虚拟机，重启运行样本，这次我们打开wireshark，同时使用strace启动该样本，starce常用来跟踪进程执行时的系统调用和所接收的信号，通过它，我们可以很方便的监控到整个样本的行为，更详细的内容见http://www.cnblogs.com/ggjucheng/archive/2012/01/08/2316692.html。

通过wireshark的抓包发现，确实开启的远程通信的socket

查询ip，来自与一台香港的主机

 

反查一下域名，发现该ip下并没有对应的域名

 

之后会访问ip为211.110.1.32的服务器并从该服务器上下载名为dd.rar的压缩包。

 

下载之后发现此处的dd.rar文件经过了加密

 

到这里我们通过工具对该样本有了一个简单的了解，首先样本运行之后会将启动目录下的文件删除，并将自身拷贝到/usr/bin目录下，之后在/etc/init.d目录下建立自启动项，同时通过ps查看可以发现样本运行之后，会同时启动至少四个以上的守护进程，这些进程的名称及pid随时发生变化，从而导致通过常规的方式很难杀死样本进程，同时样本进程会与103.240.141.68以及211.110.1.32进行通信，样本通过rootkit技术将通信时使用到的端口进行了隐藏。

 

Strace记录

程序运行之后，会建立计划任务，如下图所示在cron.hourly中建立了gcc.sh文件，并写入相应的启动脚本，详情见http://www.jb51.net/article/15008.htm。

 

Init.d启动脚本设置，即该处实际上进行了两处重启动的设置，起到双保险的作用。

 

获取系统cpu信息。

 

建立socket连接。

 

建立http连接，下载配置脚本。