XOR DDoS : Χτίζοντας ένα πανίσχυρο BotNet για DDoS επιθέσεις

Στις 29 Σεπτεμβρίου 2015 η ομάδα ασφαλείας της εταιρίας Akamai εξέδωσε μια ανακοίνωση σχετικά με ένα «παντοδύναμο» BotNet το οποίο κυκλοφορεί εδώ και κάμποσο καιρό. Το BotNet αυτό πραγματοποιεί επιθέσεις DDoS σε συγκεκριμένους τομείς, όπως gaming (ή τυχερά παιχνίδια) καθώς και εκπαιδευτικά ιδρύματα.
Πιο συγκεκριμένα αναφέρει:

…the bandwidth of DDoS attacks coming from the XOR DDoS botnet has ranged
from a few gigabits per second (Gbps) to 150+ Gbps. The gaming sector has been the primary
target, followed by educational institutions. The botnet has attacked up to 20 targets per day,
90% of which were in Asia. Akamai mitigated two DDoS attacks orchestrated by the XOR
DDoS botnet on the weekend of August 22. One of the attacks measured nearly 50 Gbps,
and the other was almost 100 Gbps.
XOR DDoS is an example of attackers building botnets from Linux systems instead of
Windows-based machines.

 
Ένα BotNet, για όσους/ες δεν γνωρίζουν την ορολογία, είναι ένα δίκτυο υπολογιστών συνδεδεμένοι μεταξύ τους(μέσω διαδικτύου) ώστε να πραγματοποιούν κάποια εργασία. Στην συγκεκριμένη περίπτωση βέβαια η εργασία είναι οι DDoS επιθέσεις. Ο όρος BotNet προέρχεται από τους όρους Robot και Network.
Η Wikipedia αναφέρει:

A botnet is a number of Internet-connected computers communicating with other similar machines in an effort to complete repetitive tasks and objectives. This can be as mundane as keeping control of an Internet Relay Chat (IRC) channel, or it could be used to send spam email or participate in distributed denial-of-service attacks. The word botnet is a combination of the words robot and network. The term is usually used with a negative or malicious connotation.

Αυτό που καταλαβαίνουμε λοιπόν, είναι ότι για να λειτουργήσει ένα τέτοιο BotNet χρειάζεται βοηθούς. Στην συγκεκριμένη περίπτωση «σκλάβους». Οι υπολογιστές τους οποίους στόχευαν (και στοχεύουν) οι επιτιθέμενοι, ώστε να τους κάνουν «σκλάβους» τους, είναι υπολογιστές με λειτουργικό σύστημα Linux.
Αυτή είναι λοιπόν μια νέα περίπτωση επίθεσης σε υπολογιστές με Linux λειτουργικό. Οι λόγοι, γιατί επιλέχθηκε το Linux και όχι Windows, δεν έχουν διευκρινιστεί.

Πως λειτουργεί

Λειτουργεί μέσω της υπηρεσίας SSH (Secure SΗell) και αφού αυτή είναι επιρρεπής σε brute force επιθέσεις. Δηλαδή, όταν κάποιος συνδέεται μέσω κωδικού και ο κωδικός αυτός είναι σχετικά αδύναμος.
Αφού πάρει τα διαπιστευτήρια τότε συνδέεται στον, πλέον «υπόδουλο», υπολογιστή και παίρνει δικαιώματα χρήστη Root. Έπειτα εκτελεί ένα Bash Script το οποίο κατεβάζει και θέτει σε λειτουργία το κακόβουλο εκτελέσιμο αρχείο.

Το εκτελέσιμο αρχείο χρειάζεται δικαιώματα Root. Καθώς εκτελείται δημιουργεί δυο αντίγραφα του εαυτού του στους καταλόγους /boot και /lib/udev. Στο κατάλογο /boot το δημιουργημένο αρχείο είναι τυχαίοι χαρακτήρες (ασυναρτησίες), ενώ στον κατάλογο /lib/udev/ ένα αρχείο με το όνομα udev. Δικαιώματα τροποποίησης του αρχείου έχει μόνον ο χρήστης Root.

Για την εξασφάλιση της παραμονής του στο σύστημα εκτελεί επίσης κάποιες διεργασίες μικρής διάρκειας οι οποίες ανιχνεύουν αν η κύρια διεργασία βρίσκεται σε λειτουργία. Αν όχι, γίνεται δημιουργία νέου αρχείου στον κατάλογο /boot, με νέους τυχαίους χαρακτήρες. Η κύρια διεργασία είναι κρυμμένη χρησιμοποιώντας τεχνικές rootkit. Το χαρακτηρισμένο ως malware είναι ικανό να «μεταμφιεστεί» ως μια κοινή διεργασία, τύπου top, grep, ifconfig…κλπ.
Για την εξασφάλιση της παραμονής του ακόμη και μετά από επανεκκίνηση του συστήματος, δημιουργεί και ένα startup script στον κατάλογο /etc/init.d/ , έχοντας ως όνομα τους ίδιους τυχαίους χαρακτήρες που έχουν χρησιμοποιηθεί και στον κατάλογο /boot.

Απομάκρυνση του malware

Η συνιστώμενη (από την Akamai) μέθοδος απομάκρυνσης είναι:
 

ls -lha /boot | egrep " [a-z]{10}$"

για τον εντοπισμό αρχείου με τυχαίους χαρακτήρες έως 10.
 
Αν το αρχείο βρεθεί, τότε αναζητούμε με το ίδιο όνομα στο /etc/init.d/

ls -lha /etc/init.d/τυχαίοιχαρακτήρες

Η παραπάνω εντολή θα μας επιστρέψει πληροφορίες σχετικά με το αρχείο, πχ

-rwxr-x--- 1 root root 28 Aug 19 11:42 /etc/init.d/τυχαίοιχαρακτήρες

 
Για ανίχνευση και εντοπισμό του αριθμού της κύριας διεργασίας, εκτελούμε:

find /proc/ -name exe 2> /dev/null | xargs -I{} ls -l {} 2> /dev/null | egrep '/boot/[a-z]{10}$'

 
Ανίχνευση των διεργασιών που είναι υπεύθυνες για την επανεκκίνηση της κύριας διεργασίας(malware).

ps -eaf -u root | grep `date +%H:%M` | egrep -v "ps|grep"

 
Τερματισμός(kill) όλων των υπεύθυνων διεργασιών καθώς και της κύριας διεργασίας.

ps -eaf | grep ^root | grep `date +%H:%M` | egrep -v "ps|grep"|awk '{print $2}'| xargs -I{} kill -9 {}; kill -9 ΑΡΙΘΜΟΣ

Όπου ΑΡΙΘΜΟΣ το αντικαθιστούμε με τον αριθμό της κύριας διεργασίας που μας έχει επιστρέψει η προηγούμενη εντολή.
 
Τέλος διαγράφουμε το αρχείο με το περίεργο όνομα μέσα στους καταλόγους /boot και /etc/init.d/. Θα είναι ένα αρχείο με περίεργο όνομα (ασυναρτησίες) των 10 χαρακτήρων το οποίο θα έχουμε ήδη εντοπίσει με τις παραπάνω εντολές.
Σε περίπτωση που δεν έχουμε πετύχει να τερματίσουμε όλες τις διεργασίες, νέα αρχεία με τυχαίους χαρακτήρες των 10, θα δημιουργηθούν σε αυτούς τους καταλόγους. Πρέπει να επαναλάβουμε τα προαναφερόμενα βήματα.

rm -f /boot/τυχαίοιχαρακτήρες && rm -f /etc/init.d/τυχαίοιχαρακτήρες && /lib/udev/udev

Συμπέρασμα

Η εταιρία καταλήγει στο εξής συμπέρασμα, στο οποίο θα συμφωνήσω

A decade ago, Linux was seen as the more secure alternative to Windows environments,
which suffered the lion’s share of attacks at the time, and companies increasingly adopted
Linux as part of their security-hardening efforts. As the number of Linux environments
has grown, the potential opportunity and rewards for criminals has also grown. Attackers
will continue to evolve their tactics and tools and security professionals should continue to
harden their Linux based systems accordingly.

Πηγή: stateoftheinternet.com