China ELF botnet malware infection & distribution scheme unleashed · MalwareMustDie!

的背景

来自中国的多种类型的后门和DDoSerers有这么多的ELF恶意软件感染。我们在这里的报告 - > [ link ]显示了已知的6(6)种DDoS的类型,从Linux / Elknot ,最老的,最流行的,接下来的Linux / BillGates ,加密下降后门与数据包捕获和rootkit的功能,则是瞄准了路由器和嵌入式架构(ARM,MIPS,PPC),和我们的Linux / iptables的 Linux/ AES.DDoS | X是通过复制与系统的自动运行搞乱本身到/ boot,我们也有Linux / XOR.DDoS ,这表明编码器喜欢类似CTF的挑战。最后一个是用于感染ARM设备的Go语言的新发明的恶意软件: Linux / GoARM.Bot

在这些恶意软件的检测工作中,MalwareMustdie发现这两种恶意软件是Linux / GoARM.BotLinux / XOR.DDoS ,因此我们也是为Linux / AES.DDoS创建的名称。

除了.IptabLes | x,所有这些ELF DDoS的恶意软件都分发在Web面板中,这是一个非常方便的好的软件,称为HTTP文件服务器,称为HFS。而那些ELF后门/ DDoS的恶意软件被下载到Linux / FreeBSD的成功的SSH帐户,并被安装为执行DDoS操作的后门。您可以在上述链接中查看这些面板的快照和视频。

情况有多糟糕?

到目前为止,我们已经收到了这些ELF恶意软件及其生成器和僵尸网络数控工具所装载的85个网页面板,主要在中国网络中销售,总共有91个IP地址存在,这些面板仅使用76个IP地址。所有这些都有类似的材料,一个与另一个面板的使用和工具相连,所以我们强烈认为,必须至少在一个协调的团队或组织后面的操作来支持这个操作。

几个证据发现导致相同模式操作(提示:远程桌面协议,HFS服务器,SSH漫游器,IP扫描仪工具,僵尸网络CNC工具),相同的目标IP列表和完全相同的自定义脚本的怀疑越来越强其分布在面板之间。此外,这些面板的发展非常迅速。我们预计在一周内平均会增加15个新的面板。全部加载恶意相关工具。

在最后一次操作中,我们设法在总体上中和了29个这些邪恶的面板,现在我们已经面临着35多个面板。这些是这个威胁实际上表现的速度,而且稳定增长。按照这样的速度,我们可以预计,在年底将有100多个小组将被淘汰,但只有上帝才会知道当时这些骗子会产生多少新面板。

答案:解释威胁的方式操作的视频

但他们真的如何运作?他们如何能够快速实现这一目标?什么是相同的模式操作?这是一个前辈,但现在我们刚刚找到了这个问题的答案。
在我们的“研究活动”期间,我们有机会在进行远程教程时记录玩家的活动,结果可以在这篇文章中向安全社区介绍中国演员的活动视频。

请详细了解如何实施策略,使ELF恶意软件的构建器(在这种情况下为Elknot作为示例,实际上它们具有许多构建器的许多组合),以使用HFS服务器来系统地扫描网络的linux服务器他们如何利用服务器并在自动化中感染它们。您可以看到他们使用的许多组合工具。这是一个真实的证据,陷入了骗子自己做的“手册”,他们不知道我们实际抓住了这一点,希望这能使他们在中国骗子的土地上彼此相遇。

为什么威胁快速增长,体积大?这种威胁背后的行为者实际上是从字面上制作教程,开发易于使用的工具,通过(远程)培训传递知识。您将在本贴中提供的视频图片库中看到他们制作的工具,这些工具生成的良好管理的IP地址列表,并在HFS面板中共享,最重要的是:这些工具的快速改进和开发,他们使用的恶意软件和漏洞。这个事实,朋友,提出了一个巨大的困境:个人欺骗者会把这些东西分享成像这样威胁的“团体基础”吗?所有这些非廉价活动的预算来自哪里?为什么在各个位置上分散在互联网上的85个面板中有完全相同的MO,CNC / hack工具和脚本? (甚至他们试图将这些工具伪装成各种图标...太明显了)。
一个人不一定是一个超级骇客,得出结论,这是一个共同的运动,泵送这个威胁。一些证据意外地支持这种扣除,显示部门/单位信息(见下面的视频和画廊)。

以下是可以解答上述大部分问题的视频,编译它非常艰巨,我们不是专业的视频制造商,请谨慎点击。
(这是MalwareMustDie ELF团队的辛勤工作,代表成员,我必须说:请不要使用与这种情况相关的材料,信息,线索或提示,没有提到对这种意识非常努力的人。提到MalwareMustDie将非常感激)

使用恶意软件构建器和攻击者工具的库

以下是我们团队拍摄的图片快照的重要集合,这张图片将会为您解释上述结论。每个快照都是从用于分发ELF(和Windows的)HFS面板的材料中获取的,中国的恶意软件僵尸网络。请通过提及MalwareMustDie,向不能透露身份证明的会员寄信。

图片 图片 图片 图片 图片 图片 图片 图片 图片 图片 图片 图片 图片 图片 图片 图片 图片 图片 图片 图片

另外:中国ELF演员开始使用ShellShock

从2014年11月7日开始,他们开始瞄准贝壳破解漏洞作为感染的新技术:
图片
下载的恶意软件是ELF DDoS'er源自我们在这篇文章中提到的面板。而在这些小组中,被捕获了用于这种感染的脚本,并以中文签名: “无名氏扫描互联网部门”

另一个可以描述生成顺序进入的IP攻击者的PoC来自中国在这个帖子的视频中提到的黑客工具集“被黑客攻击”

信用:MMD ELF团队:BK(w00t!),WH,WP,SH,YN,(伟大的工作!),LVD,AB,AD,RJX,CP(谢谢永远在那里!)和更多不能列出在这里<谢谢伟大的工作和一流的协调。

#MalwareMustDie!


为您推荐了相关的技术文章:

  1. 我当初是怎么管理技术团队的
  2. SecWiki/windows-kernel-exploits: windows-kernel-exploits Windows平台提权漏洞集合
  3. PHP代码审计学习 | 零の杂货铺
  4. 当 PassiveDNS 遇到泛解析 | 岚光
  5. [原创]安全攻城师系列文章-信息收集工具篇

原文链接: blog.malwaremustdie.org