翻译：Titan_Avenger

预估稿费：200RMB（不服你也来投稿啊！）

投稿方式：发送邮件至linwei\300\23\300\t\0\244\0\242\0\240\0\236\0g\0@\0?\0\0003\0002\0001\0000\0\232\0\231\0\230\0\227\0E\0D\0C\0B\3001\300-\300)\300%\300\16\300\4\0\234\0\0/\0\226\0A\0\7\300\22\300\10\0\26\0\23\0\20\0\r\300\r\300\3\0\n\0\377\1\0\0013\0\0\0\20\0\16\0\0'\'\0\v\0\4\3\0\1\2\0\n\0\34\0\32\0\27\0\31\0\34\0\33\0\30\0\32\0\26\0\16\0\r\v\0\f\0\t\0\n\0\r\0\0\36\6\1\6\2\6\3\5\1\5\2\5\3\4\1\4\2\4\3\3\1\3\2\3\3\2\1\2\2\2\3\0\17\0\1\0013t\0\0\0\20\0\v\0\t'\10http/1.1'\0\25\0\267\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\:0\0\0\0\0\0\0",517)

EmergingThreatLab提供了一个更清晰的PCAP：

1

7.SSL加密流量

下面这个PCAP快照就是在感染初期阶段的一些请求：

启动连接

1

客户端请求

1

服务器应答

1

没有成功建立连接，它将会重新尝试下一个，此时是

1

蠕虫不断扫描、不断爆破的同时也在持续发送请求。直到蠕虫与控制服务器建立了连接，攻击者可以控制被感染设备才会停止活动。

这就是为什么在编译选项中使用了启用SSL选项，需要使用Twitter、reddit等SNS网站的SSL认证来传输数据以及进一步创建与控制服务器的连接。

感染症状

在感染的最初阶段，感染主机会发现如下进程运行：

12345678910111213141516stdin2712rootcwdDIR8,/test/stdin2712rootrtdDIR8,140962/stdin2712roottxtREG8,11034309131146/test/stdinstdin2712root0uREG8,10131171/test/daemon.logstdin2712root1uREG8,10131171/test/daemon.logstdin2712root2uCHR136,00t03/dev/pts/0stdin2712root3rFIFO0,80t06188pipestdin2712root4wFIFO0,80t06188pipestdin2712root5u00000,901185anon_inodestdin2712root6uunix0xcda073000t06191socketstdin2712root7uunix0xce020d400t06192socketstdin2712root8uIPv461930t0TCP*:9000(LISTEN)stdin2712root9u00000,901185anon_inodestdin2712root10uunix0xce020ac00t06194socketstdin2712root11uunix0xce0208400t06195socketstdin2712root12uIPv461960t0TCP*:1337(LISTEN)

发起的攻击可以在网络连接中看出：

12345678910111213141516:40709-183.83.0.0:22(SYN_SENT):37944-183.83.0.1:22(SYN_SENT):35576-183.83.0.2:22(SYN_SENT):41811-183.83.0.3:22(SYN_SENT):43278-183.83.0.4:22(SYN_SENT):37969-183.83.0.5:22(SYN_SENT):39383-183.83.0.6:22(SYN_SENT):38038-183.83.0.7:22(SYN_SENT):35040-183.83.0.8:22(SYN_SENT):59569-183.83.0.9:22(SYN_SENT):50921-183.83.0.10:22(SYN_SENT):36079-183.83.0.11:22(SYN_SENT):35134-183.83.0.12:22(SYN_SENT):59932-183.83.0.13:22(SYN_SENT):35682-183.83.0.14:22(SYN_SENT):57709-183.83.0.15:22(SYN_SENT)

如果有数十台甚至上百台受感染主机，你可以想象流量将会多么混乱。如果目标网络中七号有大量的SSH默认口令登录，攻击者就可以创建一个庞大的感染链。

每个已连接的目标都在`list2`文件中记录着：

12345678910111281920212223242500003138332e38332e302e33333b32323b0a|183.83.0.33;22;.|00103138332e38332e302e38303b32323b0a|183.83.0.80;22;.|00203138332e38332e322e32363b32323b0a|183.83.2.26;22;.|00303138332e38332e322e34313b32323b0a|183.83.2.41;22;.|00403138332e38332e322e3131303b32323b|183.83.2.110;22;|00500a3138332e38332e322e3231303b3232|.183.83.2.210;22|00603b0a3138332e38332e332e32323b3232|;.183.83.3.22;22|00703b0a3138332e38332e332e3134383b32|;.183.83.3.148;2|0080323b0a3138332e38332e342e39333b32|2;.183.83.4.93;2|0090323b0a3138332e38332e342e3135363b|2;.183.83.4.156;|00a032323b0a3138332e38332e352e31363b|22;.183.83.5.16;|00b032323b0a3138332e38332e352e323036|22;.183.83.5.206|00c03b32323b0a3138332e38332e362e3132|;22;.183.83.6.12|00d0373b32323b0a3138332e38332e372e34|7;22;.183.83.7.4|00e0333b32323b0a3138332e38332e372e31|3;22;.183.83.7.1|00f032333b32323b0a3138332e38332e372e|23;22;.183.83.7.|01003138373b32323b0a3138332e38332e31|187;22;.183.83.1|0110312e35313b32323b0a3138332e38332e|1.51;22;.183.83.|012031312e38343b32323b0a3138332e3833|11.84;22;.183.83|01302e31312e3136383b32323b0a3138332e|.11.168;22;.183.|014038332e31322e3134353b32323b0a3138|83.12.145;22;.18|0150332e38332e31322e3234303b32323b0a|3.83.12.240;22;.|01603138332e38332e31332e3136323b3232|183.83.13.162;22|01703b0a3138332e38332e31342e39323b32|;.183.83.14.92;2|0180323b0a|2;.|

在`login2`的文件中可以发现爆破列表：

12340000726f6f743b726f6f743b0a61646d696e|root;root;.admin|00103b61646d696e3b0a75626e743b75626e|;admin;.ubnt;ubn|0020743b0a|t;.|0023

主要的进程PID都存储在`[MalwareFile].pid`中：

12000032373132|2712|0004

威胁起源

1.编译痕迹

可以看出其使用了Truecrytt使用过的交叉编译工具，而且其工作目录运行在Truecrypt中也可以看出其与东欧网络骗子的一些活动有关。这些都暗示了这个威胁的起源：

1234560x8238ff8102101OPENSSLDIR:"/media/truecrypt1/my/framework/../toolchains/cross-compiler-i686/i686-unknown-linux/ssl"0x8248eac9695/media/truecrypt1/my/framework/../toolchains/cross-compiler-i686/i686-unknown-linux/lib/engines0x825e2949695/media/truecrypt1/my/framework/../toolchains/cross-compiler-i686/i686-unknown-linux/ssl/private0x825e2f48887/media/truecrypt1/my/framework/../toolchains/cross-compiler-i686/i686-unknown-linux/ssl0x825e34c9493/media/truecrypt1/my/framework/../toolchains/cross-compiler-i686/i686-unknown-linux/ssl/certs0x825e3ac9796/media/truecrypt1/my/framework/../toolchains/cross-compiler-i686/i686-unknown-linux/ssl/cert.pem

2.的使用

该蠕虫使用了俄罗斯最大的公共邮件服务``的API，我们认为攻击者应该是讲俄语的，我们没有提到国家性质，这只能表明很大可能性攻击者定居在俄罗斯。攻击者知道如何使用``的特定子域名：

1200x8220f852019https://%s/mail/%s/

缓解与检测方法

缓解办法

1.确保你网络上的设备都不是SSH默认口令，如果可能不要使用SSH标准端口

2.如果有一个主机与你的连接建立在TCP/1337和TCP/9000的基础上，你很有可能已经被感染了。如果你本地还有使用TCP/9000的程序在运行，就可以进一步确定，你可以在这个[网站][10]查看。

3.如果你在IDS/IPS上发现了通过SSL加密发往那些SNS网站的数据包，而这些数据包恰好来自那些本不应该出现类似行为的设备，比如物联网设备。请务必查看TCP/1337和TCP/9000端口是否被利用，如果可以，进行脱机检查是必要的；如果已经被感染控制，最好重置固件然后更改SSH的默认端口和密码。

4.对于服务器，清除该蠕虫并不困难。蠕虫在最初感染阶段并不具备rootkit能力，除非攻击者不再进行后门连接或者进一步对受害者的设备进行操作，检测活动目录并删除木马文件即可。在删除之前，快照一个网络进程列表，在修复过程中要断网操作。迄今为止这个蠕虫还没有表现出自启动的设计。

5.只是为了确定你的系统是否危险不用保持离线。蠕虫会扫描SSH端口、尝试爆破才能感染。该蠕虫的感染速度非常快，在分析的短短几分钟内就有超过一百个节点被攻击了。一旦感染了蠕虫请立即脱机，极有可能是因为你的IP段内有设备受到了感染。

6.可以给我留言联系进一步的协助，或者尝试与我们的Twitter账户（@malwaremustdie）进行沟通，我们将会尽我们所能帮助您。不过请耐心等待答复。

拦截签名

十分感谢ETLab帮助我们完善了Snort和Suricata开源规则来应对这种威胁。

1

规则极其复杂，探测该蠕虫的网络活动：

12342023087-set()2023088-()2023089-()2023090-()

需要指出的是，这可能让你有点困惑，但是不要将它和`Linux/`混为一谈，他们的工作方式并不相同。另外这些威胁的命名是由宣布发现的第一个实体决定的。

结论、样本

这个蠕虫重新感染了i86的Linux机器，当该蠕虫攻陷了一个目标，就会扫描更多的目标。它可以在易受攻击的网络中肆意传播，感染数量呈指数级增长。我猜在过去的六个月中，位于俄罗斯的攻击者等待合适的时机来访问受感染的节点。

VirusTotal上的[样本][11]

[原文地址][12]

[1]:;t=3975p=26827#p26827

[2]:

[3]:

[4]:

[5]:

[6]:

[7]:

[8]:

[9]:

[10]:

[11]:

[12]: