本文深入分析了Linux.BackDoor.Gates.6病毒样本,揭示了该木马的后门特性和DDoS攻击能力。通过对ELF文件信息、导出符号、IP地址和恶意函数名的静态分析,以及动态分析中的CheckGatesType()逻辑,展示了Linux恶意软件分析的常用技术和工具。样本能够伪装成系统工具,主要针对中国地区的服务器进行攻击。
最近对Linux.BackDoor.Gates.6的一个病毒样本进行了分析,通过调查发现Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马。这篇文章主要介绍了Linux盖茨木马的分析过程,同时会讲解在Linux环境下恶意软件分析的常用技巧和安全工具的使用方法。
盖茨木马整体情况
此类Linux木马主要恶意特点是具备了后门程序,DDoS攻击的能力,并且会替换常用的系统文件进行伪装。木马得名于其在变量函数的命名中,大量使用Gates这个单词。从网上公开资料可以看出,盖茨木马主要针对中国地区的服务器进行DDoS攻击,有95%的攻击目标都在中国,排名第二的是美国。接下来会对盖茨病毒的一个分支样本,进行更为细致的静态分析和动态分析。
静态分析
3.1.ELF文件信息
在静态分析中,首先会对文件类型进行判断,在Linux环境下,file工具[1]能够对ELF类型进行初步的判断。例如下表中,通过文件信息,能够得出该样本是32位ELF可执行程序,运行于IntelCPU上,静态链接。更重要的一个信息是,该样本没有除去符号表,这就为后续的逆向分析提供了丰富的调试信息。
MD5
6dfc7ea279b50b1f962523d517cd76fb
入口点
8048120
文件信息
ELF32-bitLSBexecutable,Intel80386,version1(SYSV),staticallylinked,forGNU/Linux2.2.5,notstripped
Tips:file命令可以识别文件类型。
3.2.导出符号分析
使用strings工具[
最低0.47元/天 解锁文章
扫一扫
1177
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
