2015年11月10日,阿里云安全团队捕获到黑客大规模利用Redis漏洞的行为,获取机器root权限,并植入木马进行控制,异地登录来自IP:104.219.xxx.xxx(异地登录会有报警)。由于该漏洞危害严重,因此阿里云安全团队在2015年11月11日,短信电话联系用户修复Redis高危漏洞,2015年11月14日,云盾系统检测到部分受该漏洞影响沦为肉鸡的机器进行DDOS攻击,发现后云盾系统已自动通知用户。
分析发现木马作者,有2个控制协议未完成。
协议 | 协议格式 | 分析描述 |
kill | kill | 结束自身进程 |
dlexec | dlexec IP filepath port | 在指定IP下载文件并执行 |
qweebotkiller | qweebotkiller | 遍历进程PID为0到65535,查找对应文件,若匹配特征EXPORT %s:%s:%s,则删除文件 |
system | system cmdline | 调用系统的/bin/sh执行shell脚本 |
connect | connect ips arg2 arg3 arg4 | 有处理函数,但作者把connect的功能给阉割了,并没有去实现connect协议的功能,因此我们只分析出协议1个参数的意议,另外3个参数不知道意义。 |
icmp | icmp IPs attacktime PacketLen | 发动icmp协议攻击 |
tcp | tcp ips port attacktime flags packetlen | 发动TCP的(fin,syn,rst,psh,ack,urg)DDOS攻击,攻击时间为秒。 |
udp | udp ips port attacktime packetlen | 发动UDP攻击。 |
sniffsniff | sniffsniff | 这个协议木马并没有实现功能。 |
从逆向得到的协议分析可以发现,该木马的功能主要包括:
文件MD5:9101E2250ACFA8A53066C5FCB06F9848
sys_readlink()
读取/proc/self/exe
获取文件路径,sys_unlink()
进行删除,处理函数地址为0x80494F3。
【原文:Redis漏洞攻击植入木马逆向分析 作者:梦特(阿里云云盾安全攻防对抗团队) 安全脉搏整理发布】