[악성코드] Backdoor.Linux.Dofloo 악성코드 분석

Backdoor.Linux.Dofloo 악성코드 분석

개요

● 해당 악성코드는 elf 파일로 배포

● 배포 유형별로 MIPS / ARM / Intel-i386 등의 플랫폼에서 동작

● 감염 시 백도어를 열고 C&C 서버 TCP/48080으로 연결을 시도, 

● 연결 후에는 CPU, 메모리 정보를 전송하게 되며 잠재적으로 DDoS를 유발하는 Bot으로 이용될 수 있음

상세 분석

● 분석파일 MD5: abcd88006bc2e4bad49050e20733854b 

● 해당 악성코드 샘플파일 수집 경로

    http://malwaredb.malekal.com/index.php?malware=Dofloo

정적분석

● Module 목록

   각종 Flood 공격 모듈 12개 확인

● autoboot_ 

   부팅 시 자동실행 설정 스크립트(rc.local)에 명령어를 추가하는 명령어 확인

  -> 해당 악성코드에서는 실행을 등록하는 명령어는 확인불가

 "sed -i -e '/exit/d' /etc/rc.local"

 "sed -i -e '/^\r\n|\r|\n$/d' /etc/rc.local"

 "sed -i -e '/%s/d' /etc/rc.local"

MD5 : abcd88006bc2e4bad49050e20733854b

    -> 같은 종류의 다른 샘플에서는 실행을 등록하는 명령어 확인 가능했음

MD5 : 5ff3376911a3a4e10a116943ed6ec475

● ServerConnectCli_Fv 

   C&C IP : 119.147.145.200

   Port : 48080

C&C IP와 Port 정보

● GetMemStat_ & GetCpuInfo_ 

   -cpu사용률/cpu, 메모리, 시스템 상태 정보 등을 조회하는 명령 확인

   -하드코딩 된 문자열 확인

    "Hacker", "VERSONEX:"  -> 탐지룰 생성할 때 해당 문자열 씀

동적분석

● 실행 시 C&C 서버(119.147.145.200:48080)로 연결시도 -> 현재 해당 C&C IP 연결불가

119.147.145.200:48080 SYN_SENT 상태

지속적인 연결시도

   

● 같은 종류의 다른 샘플에서는 ? 

-> MD5 : 5ff3376911a3a4e10a116943ed6ec475

C&C 서버 222.186.42.25[CN]와 연결(ESTABLISHED)

C&C 서버 연결될 시에 보내지는 패킷

부팅 시 자동실행 명령어에 등록된 내역

결론

● 감염 시 아래 경로에서 자동실행 명령어 제거 & 백신프로그램 검사

 - /etc/rc.local 

 - /etc/rc.d/rc.local 

 - /etc/init.d/boot.local

● 연결 가능한 C&C는 차단