【前方高危】Linux.BackDoor.Xnote.1最新变种来袭
录入:胡长生   建立时间: 2018-06-22  

一、事件背景

【前方高危】Linux.BackDoor.Xnote.1最新变种来袭。根据某客户现场反应,部署在网络环境中的深信服安全感知系统报警,某Linux服务器经常出现apache的conf文件被篡改后出现挂黑链的情况,并且偶尔出现大规模的DDOS外发现象恶意进程删除后会自动重启,无法彻底删除。

深信服EDR安全团队快速定位,捕获到了相应的病毒样本,通过分析确认此样本是Linux.BackDoor.Xnote.1恶意样本的最新变种,感染方式与之前类似。

此样本在VT(www.virustotal.com)上的截图信息,如下所示:

 

Linux.BackDoor.Xnote.1最早是由国外安全公司Dr.Web发现,该木马功能完善,主要通过爆力破解服务器SSH,感染服务器主机,然后利用服务器主机对相应的IP地址发起DDOS攻击。

Linux.BackDoor.Xnote.1是一款多功能木马后门程序,目的是在受感染设备中执行入侵者发出的各种命令,例如进行DDoS攻击、组建僵尸网络等各种各样的恶意行为。后门进程运行过程中会收集系统的相关信息,并将这些信息发送到C&C(命令控制)服务器后等待下一步指示。入侵者则可以通过远程命令对主机下发对指定目标发动SYN Flood、UDP Flood、CC攻击和NTP 放大攻击等任务,或者通过后门程序实现对感染设备的完全控制,在感染设备中进行上传/下载入侵者指定的文件,对感染设备的文件系统进行管理等行为(包括窃取并发送用户数据,创建、删除以及运行文件等,危险等级极高)。

初步推断这是国内黑客生成的Linux后门集群木马(Dr.Web则认为,来自中国的ChinaZ黑客组织是幕后黑手),用于控制被感染主机,获取被感染主机资料信息,组建僵尸网络发动DDoS攻击。