Redis漏洞攻击植入木马逆向分析

最新推荐文章于 2024-04-18 22:10:42 发布
最新推荐文章于 2024-04-18 22:10:42 发布
阅读量322 收藏
点赞数
文章标签: 数据库 网络 shell
原文链接:https://juejin.im/post/5aa1184df265da239a5f61c0
版权

阿里云安全 · 2015/11/17 14:24

作者:梦特(阿里云云盾安全攻防对抗团队)

0x00 背景

2015年11月10日,阿里云安全团队捕获到黑客大规模利用Redis漏洞的行为,获取机器root权限,并植入木马进行控制,异地登录来自IP:104.219.xxx.xxx(异地登录会有报警)。由于该漏洞危害严重,因此阿里云安全团队在2015年11月11日,短信电话联系用户修复Redis高危漏洞,2015年11月14日,云盾系统检测到部分受该漏洞影响沦为肉鸡的机器进行DDOS攻击,发现后云盾系统已自动通知用户。

0x01 木马控制协议逆向分析

分析发现木马作者,有2个控制协议未完成。

  • Connect协议有处理函数,但没有功能,函数地址为0x8048545。

  • sniffsniff协议没有对应的处理函数,作者未实现该功能。

    完全逆向分析后得到控制协议如下表:

协议协议格式分析描述
killkill结束自身进程
dlexecdlexec IP filepath port在指定IP下载文件并执行
qweebotkillerqweebotkiller遍历进程PID为0到65535,查找对应文件,若匹配特征EXPORT %s:%s:%s,则删除文件
systemsystem cmdline调用系统的/bin/sh执行shell脚本
connectconnect ips arg2 arg3 arg4有处理函数,但作者把connect的功能给阉割了,并没有去实现connect协议的功能,因此我们只分析出协议1个参数的意议,另外3个参数不知道意义。
icmpicmp IPs attacktime PacketLen发动icmp协议攻击
tcptcp ips port attacktime flags packetlen发动TCP的(fin,syn,rst,psh,ack,urg)DDOS攻击,攻击时间为秒。
udpudp ips port attacktime packetlen发动UDP攻击。
sniffsniffsniffsniff这个协议木马并没有实现功能。

  • 协议完成逆向后,我们用Python写了一个控制端,并实现全部协议控制木马,如下图:

0x02 木马概述

从逆向得到的协议分析可以发现,该木马的功能主要包括:

  • 发动DDoS攻击(ICMP、UDP、TCP)
  • 远程执行命令
  • 远程下载文件执行
  • 清除其他后门文件

文件MD5:9101E2250ACFA8A53066C5FCB06F9848

进程操作

  • 木马启动,木马接受1个参数,参数为要kill的进程PID。函数地址为0x8049C77.

  • 木马会启动一个孙子进程执行木马功能,然后当前进程退出。

文件操作

  • 暴力关闭文件,关闭0到0xFFFF的文件,调用系统调用sys_close(),函数地址为0x8049C77。

  • 自我删除,调用系统调用sys_readlink()读取/proc/self/exe获取文件路径,sys_unlink()进行删除,处理函数地址为0x80494F3。

网络操作

  • 连接8.8.8.8的53端口,探测网络是否连接到Internet,处理函数地址为0x8049B90。

  • 连接木马控制端37.xxx.xxx.x的53端口,处理函数地址为0x8049C77。

weixin_33717117
关注
Quasar RAT客户端木马执行流程逆向分析
2401_83477555的博客
03-26 998
近期准备编写系列文章多维度的记录几个应用广泛且功能成熟的开源远控框架,系列文章内容包括基本执行流程、加解密技术剖析、入侵检测(流量、主机两方面)。将QuasarRAT作为第一个分析对象,一是有源代码且更新频繁,逆向分析困难时可以有源码参考,二是其常被各类APT组织广泛应用,修改、编译后作为最终远控载荷用于网络攻击活动。
防止APP被黑客攻击的解决方案 从渗透测试说起
网站安全资讯
02-11 3155
目前越来越多的APP遭受到黑客攻击,包括数据库被篡改,APP里的用户数据被泄露,手机号以及姓名,密码,资料都被盗取,很多平台的APP的银行卡,充值通道,聚合支付接口也都被黑客修改过,导致A...
病毒木马查杀实战第016篇:U盘病毒之逆向分析
Gleam的专栏
04-20 1万+
比对脱壳前后的程序       我们这次所要研究的是经过上次的脱壳操作之后,所获取的无壳病毒样本。其实我们这里可以先进行一下对比,看看有壳与无壳的反汇编代码的区别。首先用IDA Pro载入原始病毒样本:图1       可以发现此时IDA Pro的Functionwindow是空的,说明很多函数没能解析出来,并且还无法切换到图形模式,而图形模式正是我们逆向分析的利器。那么下面就载入脱壳后的样本来看
一个QQ木马逆向分析浅谈(附带源码)
weixin_30247781的博客
08-04 423
程序流程:首先注册自己程序的窗口以及类等一系列窗口操作,安装了一个定时器,间隔为100ms,功能搜索QQ的类名,如果找到就利用FindWindow("5B3838F5-0C81-46D9-A4C0-6EA28CA3E942", NULL)找到当前运行的QQ号,之后隐藏QQ主界面,弹出自己的界面,利用socket发送输入的密码到指定的IP、端口,达到窃取用户的QQ密码。程序很简单不过,不过代码确实有...
病毒木马查杀实战第005篇:熊猫烧香之逆向分析(上)
Gleam的专栏
11-17 8791
一、前言         对病毒进行逆向分析,可以彻底弄清楚病毒的行为,从而采取更有效的针对手段。为了节省篇幅,在这里我不打算将“熊猫烧香”进行彻底的分析,只会讲解一些比较重要的部分,大家只要掌握了这些思想,那么就可以处理很多的恶意程序了。一般来说,对病毒的静态分析,我们采用的工具是IDA Pro,动态分析则采用OllyDbg。由于后者会使病毒实际运行起来,所以为了安全起见,最好在虚拟机中操作。
逆向漏洞-木马攻击与防御技术
Coisini的博客
05-27 713
网络安全专业名词解释
aixmmmlll的博客
05-16 3987
1.Burp Suite 是一款信息安全从业人员必备的集成型的渗透测试工具,它采用自动测试和半自动测试的方式,通过拦截HTTP/HTTPS的Web数据包,充当浏览器和相关应用程序的中间人,进行拦截、修改、重放数据包进行测试,是Web安全人员的一把必备的瑞士军刀。 2.Bypass就是绕过的意思,渗透测试人员通过特殊语句的构建或者做混淆等进行渗透测试,然后达到绕过WAF的手法。 3.C2全称为Command and Control,命令与控制,常见于APT攻击场景中。作动词解释时理解为恶意软件与攻击者进行交互
CTF/AWD实战速胜指南,《AWD特训营》
等风来
10-13 5007
【文末送书】今天推荐一本网安领域优质书籍《AWD特训营》,本文将从其内容与优势出发,详细阐发其对于网安从业人员的重要性与益处。随着网络安全问题日益凸显,国家对网络安全人才的需求持续增长,随着知识的指数式增长及政策扶持,安全行业也迎来了春天。为了帮助读者了解AWD竞赛的各项内容以及攻防技术与工具的实际应用,《AWD特训营》应运而生在本书中,作者通过其丰富的参赛经验、长期的攻防对抗技术积累,围绕常见工具、常见加固措施、常见攻击手法、常见漏洞分析等展开“手把手”教学。本书是包含技术解析和技巧的真正的“实战指南”。
渗透理论概述
Auscoo111的博客
10-23 4795
渗透入门——术语概述 常见术语 渗透流程 明确目标——信息收集——漏洞探测——漏洞验证——编写报告 ——信息整理——获取所需——信息分析 脚本:动态网站(asp,php,jsp), linux, python 网站:静态网站(与后台交互比较少,如html) 动态网站(使用动态脚本编写 如:asp,php,jsp,交互方便但是安全性不高,如果代码过滤不严格可能会导致漏洞最终导致后台lin...
一款集成化的Web渗透测试工具 DudeSuite_dudesuite测试
最新发布
2401_84264069的博客
04-18 1020
前面Web安全相关的攻击都是一些很多年的经典手法了,经过多年的发展已经相当成熟,相关的漏洞早已不如以前多,现在很多时候的攻击,都是依靠各种各样的第三方组件漏洞完成的,所以学习研究这些常见第三方组件的漏洞,一方面掌握这些攻击手法用于实战中使用,另一方面触类旁通,对从事漏洞挖掘的工作也是非常有帮助的。通过日志来发现攻击行为是一种最常见的行为,攻击者的Web请求,系统登录,暴力破解尝试等等都会被系统各种软件记录在案,攻击者得手后也经常会抹除相关的日志记录,所以学习掌握这些日志,是攻防两队的人都需要学习的技能。
C/C++ 快读
Steve·Curcy
10-05 4139
有时候数据量比较大的时候,即使使用C语言提供的scanf函数也是会超时,这个时候就需要快读函数了。之所以可以使用快读,是因为getchar函数要比scanf函数快,所以自己编写的快读函数要更高效一点。还有就是,在快读函数中使用大量位操作代替加减乘除来减少时间的消耗,也是一个很好的选择,数据量越大,效率提升就越明显。这里在判断是否是数字的时候建议千万不要使用isdigit函数,并不知道这个函数到底里面是什么,但单从函数调用的耗时可能也很多,所以还是老老实实用条件判断。下面给出模板代码,不管是什么类型的快读都只
实战|记一次2022某地HVV中的木马逆向分析
蚁景网安学院
01-05 777
声明:本文仅限于技术讨论与分享,严禁用于非法途径。若读者因此作出任何危害网络安全行为后果自负,与本号及原作者无关。前言事情是这样的,国庆前期某地HVV,所以接到了客户通知他们收到了钓鱼邮件想要溯源直接下载文件逆向分析一波。钓鱼邮件,图标什么的做的还是挺逼真的,还真的挺容易中招的,但是这里的bug也明显,丹尼斯没有客户端,百度一下能够辨别这是钓鱼的。逆向分析查壳工具DIE看是否加壳当然其他查壳工具也...
190401 逆向-华硕供应链木马样本分析
热门推荐
whklhhhh的博客
04-01 2万+
随便谷歌了一个样本来,md5:55a7aa5f0e52ba4d78c145811c830107 恶意代码在__crtExitProcess中调用 用GetModuleHandleW(0)拿到本模块的加载基址,然后通过偏移调用IAT中的VirtualAlloc 这里IDA的Hexrays不知道为什么值优化错了,对着0x4709f找了半天都没找到东西,看了一下汇编才发现是0x11c27c 接着同样...
pc恶意程序木马分析 启动流程 逆向分析 数据解密
mhx117的博客
08-02 657
pc恶意程序木马分析 启动流程 逆向分析 数据解密
【挖矿木马】记一次被挖矿木马攻击的过程(Redis攻击
ATFWUS的博客
10-26 1万+
不会吧,不会吧,不会2020年了还有人中挖矿木马吧。 0x01.事情经过: 关于这台服务器:我有一台阿里云的服务器(不是学生机)专门拿来做项目测试用的,部署好一些我经常需要用的组件后,平常就没怎么管过。阿里云的检测什么的也都是好的。并且我观察阿里云上的性能和网络层都没有任何问题。 起疑: 有一次我做测试的时候,发现数据库redis经常连接失败,查看日志发现有大量的用户在连接,并且ip是外国的。因为数据库的密码还给了合作开发的其它人,所以当时没太在意,就简单的做了一些连接限制,重启,就没有管了,.
渗透测试入门—— 常见术语概述
weixin_46694260的博客
12-26 9191
00x1 前言 刚入门小白,收集了一些渗透术语,废话不多说。 00x2 渗透术语 1.脚本 动态网站(如:asp,php,jsp), linux, python 2.网站 2.1静态网站:与后台交互比较少,如html) 2.2动态网站:使用动态脚本编写 如:asp,php,jsp,交互方便但是安全性不高,如果代码过滤不严格可能会导致漏洞最终导致后台linux被别人随意操作 3.http协议 http(HyperText Transfer Protocol),超文本传输协议。是因特网上应用最为广泛的一种网络
史上最全网络安全面试题汇总 ! !
网安技术分享
08-04 9491
php爆绝对路径方法? 单引号引起数据库报错 访问错误参数或错误路径 探针类文件如phpinfo 扫描开发未删除的测试文件 google hacking phpmyadmin报路径:/phpmyadmin/libraries/lect_lang.lib.php 利用漏洞读取配置文件找路径 恶意使用网站功能,如本地图片读取功能读取不存在图片,上传点上传不能正常导入的文件 你常用的渗透工具有哪些,最常用的是哪个? burp、nmap、sqlmap、awvs、蚁剑、冰蝎、dirsearch、御剑等等 xs
【安全】Redis漏洞木马攻击的查杀过程
weixin_39974140的博客
02-23 577
Redis漏洞攻击 记录一次Redis漏洞攻击,该攻击通过扫描Redis端口,利用Redis的CONFIG命令和持久化漏洞篡改系统任务计划或公钥文件等方式进行攻击 攻击步骤 扫描服务器端口 尝试Redis连接,弱口令撞库 连接Redis利用CONFIG漏洞篡改系统文件 方式一:攻击程序将任务计划写入Redis数据库的key中,篡改/etc/crontab文件 # 每分钟检测木马进程,远程执行木马程序,多种方式确保下载成功 # key1.txt */1 * * * * root wget
分析过程:服务器被黑安装Linux RootKit木马
Jinmindong
02-21 863
疫情还没有结束,放假只能猫家里继续分析和研究最新的攻击技术和样本了,正好前段时间群里有人说服务器被黑,然后扔了个样本在群里,今天咱就拿这个样本开刀,给大家研究一下这个样本究竟是个啥,顺便也给大家分享一些关于Linux Rootkit恶意软件方面的相关知识点吧。全球高端的黑客组织都在不断进步,做安全更应该努力学习,走在黑客前面,走在客户前面,加强自身安全能力的提升才能应对未来各种最新的安全威胁事件,才能帮助客户更好的解决安全问题。这个样本是一个Linux。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值