一款隐藏嵌入式Rookit的DDoS木马分析

#!/bin/shPATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin’for i in `cat /proc/net/dev|grep :|awk -F: {‘,27h,’print $1′,27h,’}`; do ifconfig $i up& donecp /lib/udev/udev /lib/udev/debug/lib/udev/debug

最后在crontab中插入一行代码“*/3 * * * * root /etc/cron.hourly/cron.sh”

主程序主要有三个任务，而且这三个任务是无限循环执行的：

1、下载并执行机器的配置文件； 

2、将自身重装到/lib/udev/udev的文件； 

3、进行洪水攻击

其中配置文件主要包含接下来四个类型：md5，denyip，filename和rmfile。主程序分别用这四个列表内容来进行下一步的动作：根据md5值匹配一个运行进程的CRC的校验值，匹配则将其杀死；根据ip值来激活一个会话；根据filename值和rmfile值来确定执行或者最后删除一个确定的文件。下图就展示了部分配置文件的内容（已知的竞争泛滥的木马文件名被高亮显示）：

在进行自身安装之前先把其他的木马清除是一个洪水木马的典型特征（你丫跟老子争地盘不干你干谁）。

除此之外，我们还注意到，这个木马还是一个ARM架构木马的变种。这表明潜在的受感染系统的列表（除32位和64位的Linux Web服务器外）还有可能扩展到路由器或者网络上的其他可能运行*nix的设备上，不过这也只是一种可能性，目前根据监测还未在其他平台发现过此类木马。木马还包含一个daemondown的功能，专门处理进行文件下载运行工作：

在此之前，我们曾截获过一个该木马的32位变种，变种木马有了一些差异。木马文件安装为/lib/libgcc4.so文件，含有辨识字符串（见下文）的唯一的文件是/var/run/udev.pid。安装的脚本文件则在 /etc/cron.hourly/udev.sh，并且rootkit特性被完全移除。所有的这些文件就是攻陷指标（IoC）。