一款結合破殼(Shellshock)漏洞利用的Linux遠程控制惡意軟件Linux/XOR.DDoS 深刻解析

時間 2019-11-29

標籤一款結合破殼 shellshock 漏洞利用 linux 遠程控制惡意軟件 xor.ddos xor ddos 深刻解析欄目 Unix 简体版

原文原文鏈接

vvun91e0n · 2015/07/23 15:43php

原文：blog.malwaremustdie.org/2015/07/mmd…html

0x00 背景

昨天又是忙碌的一天，由於我獲知近期有破殼漏洞利用攻擊，因此咱們團隊集合起來對全部近期的捕獲到的互聯網交叉流量中的ELF文件威脅 (ELF threats)進行檢測。我查看了一套shell腳本的命令部分，馬上就知道它基本上就是Linux/XOR.DDoS木馬。我又檢查了payload，而且深刻查看了細節。最終肯定這就是Linux/XOR.DDoS。node

相關信息能夠查看： blog.malwaremustdie.org/2015/06/mmd…linux

www.virustotal.com/en/file/dce…git

由於已通過個人睡覺時間好久了，我須要休息了。因此我讓咱們生活在地球另外一邊的專家同事們MMD ELF Team來看看這個樣本是否有什麼新特性。github

爲了搞定這些新的發現，我幾乎一晚上沒睡。這篇文章將會告訴你爲何。web

0x01 shellshock

此次shellshock攻擊是從13/07/2015開始的。讓咱們直接來看看利用shellshock植入的一段bash命令的代碼：shell

這段代碼的主要功能是：使用web server的UID來執行代碼，這段腳本刪除了sftp守護進程的pid文件(pid文件是某些程序啓動時記錄一些進程ID信息而建立的文件)，檢查當前目錄是否有6000.rar這個文件存在，若是有就刪除。而後，在根目錄經過wget或者curl命令從多個IP地址(43.255.188.2/103.20.195.254/122.10.85.54)下載6000.rar文件。檢查是否下載成功，若是下載成功了就添加可執行權限並執行，最後打印一個「ExecOK」消息。若是下載不成功，它也會繼續探測系統的版本信息，HDD status，進程信息(若是是linux系統將會顯示UID，PID，PPID，Time和Command，可是在BSD系統中會顯示一些不一樣的有趣結果:D)而且會檢查以太網鏈接，顯示本地和遠程地址，接入互聯網的程序。而後打印一個「ExecOK」消息。最後，這個腳本會打印sftp，mount，gcc的PID內容。再打印一個「InstallOK」消息。windows

最後，它從上面列出的IP地址的其中一個下載g.rar文件(使用wget或crul命令)。添加可執行權限並執行。須要指出的是，在大多數Linux/XOR.DDoS shellshock案例中，最後這一步都沒有執行。被「#」註釋掉了。瀏覽器

0x02 Linux/XOR.DDoS payloads

至今，咱們MalwareMustDie是第一個發現這類ELF威脅樣本的，而且咱們給其命名爲Linux/XOR.DDoS，咱們的博客中有分析文章，發佈於29/09/2014[link].該惡意軟件在2015年初形成了很大的影響，不少IT媒體，SANS ISC都有相關報道，參見[-1-][-2-][-3-][-4-]。

此次威脅變種使用的加解密技術和以前其餘類似的中國ELF DDOS變種使用不少解碼技術(對安裝腳本進行編碼)和加密技術(基於XOR)有明顯的不一樣。全部咱們的團隊在處理威脅的時候就像和惡意軟件做者在進行一場CTF比賽。這對下班或放學後的咱們有好處，使咱們的大腦不會閒着。咱們在kernelmode[link]論壇上開闢並維護一個版塊來討論Linux/XOR.DDoS。最新事件也能夠在咱們的報告中找到->[link]。該惡意軟件老是試圖鏈接而且會在受害者機器上安裝rootkit。

咱們能夠在以前給出的IP地址列表中隨意挑選一個來下載Linux/XOR.DDoS的payload。就像我下面作的，有點點暴力。(並沒下載所有，只是演示)。

下面的是收集到的payload。感謝偉大的團隊合做。

能夠發現有兩種樣本。一種是unstripped的，還有encoded+stripped的。我選擇了兩個來進行檢測，hash分別是73fd29f4be88d5844cee0e845dbd3dc5和758a6c01402526188f3689bd527edf83。

樣本73fd29f4be88d5844cee0e845dbd3dc5是典型的XOR.DDoS ELF x32變種，由如下的代碼工程編譯：

能夠發現熟悉的代碼段，看看下面的解密方法：

看看徹底解密後的結果：

成功解密以後你就能夠直接看到Linux/XOR.DDoS用做CNC(command and control)服務器的域名。在本例中是： www1.gggatat456.com in 103.240.141.54 該域名在ENOM域名商註冊，使用的受隱私保護的聯繫ID註冊。

Domain Name: GGGATAT456.COM
Registrar: ENOM, INC.
Registry Domain ID: 1915186707_DOMAIN_COM-VRSN
Sponsoring Registrar IANA ID: 48
Whois Server: whois.enom.com
Referral URL: http://www.enom.com
Name Server: DNS1.NAME-SERVICES.COM
Name Server: DNS2.NAME-SERVICES.COM
Name Server: DNS3.NAME-SERVICES.COM
Name Server: DNS4.NAME-SERVICES.COM
Name Server: DNS5.NAME-SERVICES.COM
Status: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited
Updated Date: 31-mar-2015
Creation Date: 31-mar-2015
Expiration Date: 31-mar-2016
Last update of whois database: Wed, 15 Jul 2015 00:59:06 GMT
Tech Email: [email protected]
Name Server: DNS1.NAME-SERVICES.COM
Name Server: DNS2.NAME-SERVICES.COM
Name Server: DNS3.NAME-SERVICES.COM
Name Server: DNS4.NAME-SERVICES.COM
Name Server: DNS5.NAME-SERVICES.COM
複製代碼

和以前的樣本不一樣，咱們分析此次捕獲的樣本發現，它與CNC服務器創建了ssh鏈接並下載加密數據：

由於在此篇文章中我有不少須要解釋的內容，該惡意軟件已經在kernelmode論壇裏討論分析了不少次了，在以前的MMD博客中，和一些其餘研究網站中也討論了不少了，因此我不會在本文中涉及過多的細節。將關注重點主要放在惡意代碼的解密和爲了達到分解和中止目的而採起的策略。

hash爲758a6c01402526188f3689bd527edf83的g.rar文件有一些不一樣。它是ELF-stripped二進制文件(僅僅使逆向工程增長了2%的難度)。能夠經過code-mapping方法來解決逆向分析問題。

其中包含deflate.c代碼(ver 1.2.1.2)[link]：

用zlib壓縮混淆一些文本值：

這些安裝時使用的字符串會帶領咱們找到CNC服務器

剩下的一些功能都是已知的，並無什麼新東西。結果看起來也使用了一樣的映射方法。我推薦使用很不錯的pipe code[link]來解壓這些文本值。

對剩下的二進制文件進行逆向，將會看到CNC主機的域名: GroUndHog.MapSnode.CoM in 211.110.1.32 下面的圖進一步證明了，該域名和我想的同樣，和以前提到的IP地址同樣是Linux/XOR.DDoS木馬的一部分。

該域名是同一我的在ENOM註冊的：

Domain Name: MAPSNODE.COM
Registrar: ENOM, INC.
Sponsoring Registrar IANA ID: 48
Whois Server: whois.enom.com
Referral URL: http://www.enom.com
Name Server: DNS1.NAME-SERVICES.COM
Name Server: DNS2.NAME-SERVICES.COM
Name Server: DNS3.NAME-SERVICES.COM
Name Server: DNS4.NAME-SERVICES.COM
Name Server: DNS5.NAME-SERVICES.COM
Status: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited
Updated Date: 11-may-2015
Creation Date: 11-may-2015
Expiration Date: 11-may-2016
Last update of whois database: Wed, 15 Jul 2015 07:16:23 GMT
Tech Email: [email protected]
Name Server: DNS1.NAME-SERVICES.COM
Name Server: DNS2.NAME-SERVICES.COM
Name Server: DNS3.NAME-SERVICES.COM
Name Server: DNS4.NAME-SERVICES.COM
Name Server: DNS5.NAME-SERVICES.COM
複製代碼

下面是更多關於shellshock和CNC使用的IP地址的細節：

{
  "ip": "43.255.188.2",
  "country": "HK",
  "loc": "22.2500,114.1667",
  "org": "AS134176 Heilongjiang Province hongyi xinxi technology limited"

  "ip": "103.20.195.254",
  "country": "HK",
  "loc": "22.2500,114.1667",
  "org": "AS3491 Beyond The Network America, Inc."

  "ip": "122.10.85.54",
  "country": "HK",
  "loc": "22.2500,114.1667",
  "org": "AS55933 Cloudie Limited"

  "ip": "211.110.1.32",
  "country": "KR",
  "loc": "37.5700,126.9800",
  "org": "AS9318 Hanaro Telecom Inc."
}
複製代碼

這些樣本都已經在VirusTotal網站進行了檢測，能夠搜索下列hash：

MD5 (3503.rar) = 238ee6c5dd9a9ad3914edd062722ee50
MD5 (3504.rar) = 09489aa91b9b4b3c20eb71cd4ac96fe9
MD5 (3505.rar) = 5c5173b20c3fdde1a0f5a80722ea70a2
MD5 (3506.rar) = d9304156eb9a263e3d218adc20f71400
MD5 (3507.rar) = 3492562e7537a40976c7d27b4624b3b3
MD5 (3508.rar) = ba8cc765ea0564abf5be5f39df121b0b
MD5 (6000.rar) = 73fd29f4be88d5844cee0e845dbd3dc5
MD5 (6001.rar) = a5e15e3565219d28cdeec513036dcd53
MD5 (6002.rar) = fd908038fb6d7f42f08d54510342a3b7
MD5 (6003.rar) = ee5edcc4d824db63a8c8264a8631f067
MD5 (6004.rar) = 1aed11a0cbc2407af3ca7d25c855d9a5
MD5 (6005.rar) = 2edd464a8a6b49f1082ac3cc92747ba2
MD5 (g.rar) = 758a6c01402526188f3689bd527edf83
複製代碼

0x03 "Linux/killfile" ELF (downloader, kills processes & runs etc malware)

咱們在以前的樣本分析中並無見過這些功能，因此我須要解釋一下。Linux/XOR.DDoS經過加密會話從CNC服務器下載其餘的惡意文件。在CNC服務器上，有一系列的ELF惡意軟件下載者程序，分別適用於被感染主機的不一樣系統環境。下面的ELF二進制文件(x32或x64)的其中之一將會在被感染的機器上運行，該ELF可執行文件是實現killfile功能的模塊，能夠下載對應配置文件來結束特定進程或者其餘須要結束的惡意軟件。它能夠從配置的文本文件(kill.txt或run.txt)中讀取出配置信息，這些信息使用「|」來邏輯分割kill/run功能，killfile功能模塊能夠對此配置進行邏輯解析並執行。

MD5 (killfile32) = e98b05b01df42d0e0b01b97386a562d7  15282 Apr  3  2014 killfile32*
MD5 (killfile64) = 57fdf267a0efd208eede8aa4fb2e1d91  20322 Apr  3  2014 killfile64
複製代碼

接下來講明幾個重要的模塊函數。

killfile模塊用C編寫，下面是源文件名： 'crtstuff.c' 'btv1.2.c' 'http_download.c' 'libsock.c'

它將本身假裝成一個bluetooth進程：

也會假裝爲Microsoft(試着讀下面的代碼，它是自解釋的)：

在我分析的這前兩個樣本中，它們都會從下面的域名和IP地址下載進程列表並結束這些進程： kill.et2046.com sb.et2046.com 115.23.172.31

下圖是對結束列表的逆向分析：

這個IP地址位於韓國電信，看起來是被黑客控制的服務器：

{
  "ip": "115.23.172.31",
  "hostname": "kill.et2046.com",
  "city": Seoul,
  "country": "KR",
  "loc": "37.5700,126.9800",
  "org": "AS4766 Korea Telecom"
}
複製代碼

et2046.com應該也不是一個正常的域名，在GoDaddy註冊，信息以下：

Domain Name: ET2046.COM
Registrar: GODADDY.COM, LLC
Sponsoring Registrar IANA ID: 146
Whois Server: whois.godaddy.com
Referral URL: http://registrar.godaddy.com
Name Server: A.DNSPOD.COM
Name Server: B.DNSPOD.COM
Name Server: C.DNSPOD.COM
Status: clientDeleteProhibited http://www.icann.org/epp#clientDeleteProhibited
Status: clientRenewProhibited http://www.icann.org/epp#clientRenewProhibited
Status: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited
Status: clientUpdateProhibited http://www.icann.org/epp#clientUpdateProhibited
Updated Date: 21-dec-2014
Creation Date: 27-nov-2012
Expiration Date: 27-nov-2016
Last update of whois database: Thu, 16 Jul 2015 22:17:47 GMT <<<
複製代碼

[email protected]:

Registry Registrant ID:
Registrant Name: smaina smaina
Registrant Organization:
Registrant Street: Beijing
Registrant City: Beijing
Registrant State/Province: Beijing
Registrant Postal Code: 100080
Registrant Country: China
Registrant Phone: +86.18622222222
Registrant Email: "[email protected]"
複製代碼

這域名和email地址都是個人朋友Dr.DiMino在DeepEndResearch[link]找到的。以上域名的DNS解析以下：

從新回到Linux/KillFile ELF惡意軟件的行爲分析。它隨後從以前的URL下載run.txt文件，下載執行該文件裏面列出的其餘惡意文件。在本樣本中，run.txt裏面的內容是一款臭名昭著ELF DDoS惡意軟件 "IptabLes|x" 。難道，Xor.DDoS和IptabLes|x合做了。我想只有ChinaZ(譯者：這個單詞不知道如何準確翻譯，難道是表明中國人)纔會與IptabLes|x勾結。是否IptabLes|x在中國的惡意軟件黑市上已是開源的了？爲何近期那些危險分子開始變化他們的工具？這些答案將會在之後才能獲得揭曉。

該二進制文件是明文的，你能夠清楚看見下載源地址，下載的文件和虛假的用戶集(注意字符串：「TencentTraveler」)，這些信息能夠迅速用來幫助抵禦威脅：

這前兩個Linux/KillFile ELF惡意軟件是在2014年編譯的老版本，可是看起來已經參與了幾回感染行動了。可是VT評分仍是0.能夠參考->[-1-]和[-2-]。此次感染中，攻擊者還準備了另一個 Linux/KillFile。咱們將在下一節深刻解析中來講明。

咱們在kernelmode論壇添加了新的ELF Linux/killfile討論帖： [http://www.kernelmode.info/forum/viewtopic.php?f=16&t=3944&p=26309#p26309]

0x04 深刻解析(Under the hood)

也許你讀過不少次與本文以前討論類似的報告。也許你已經對這類惡意軟件，CNC服務器，IP地址，DDoS等重複的故事感到厭煩。可是此次，咱們帶來的深刻解析將是全新的。先說明，全部的內容已經由HTTP協議帶到你面前，經過瀏覽器展現給你，其中沒有黑客攻擊細節，沒有攻擊的方法描述，因此若是你期待的比這更多，我只能說聲抱歉。全部這些都是由咱們ELF Team的團隊合做努力完成的。

咱們已經被Linux/XOR.DDoS攻擊了屢次，都還不知道他們究竟是誰。你們都充滿了好奇，因此咱們隨機的選擇能夠接觸到的IP地址，嘗試看看經過合法手段能不能有什麼收穫。從上面給出的IP的其中一個，咱們拿到了被加密了的特殊文件：

部分文件被製做者加密了，可是是能夠破解的:-)。咱們不會在這裏披露密碼。由於它裏面包含了rootkits，漏洞掃描，CNC程序，ELF病毒和木馬(下載者和回連)。一系列攻擊者用來攻擊咱們的工具。這些工具依然在使用：

0x05 RDP(Remote Desktop Protocol)掃描工具集rdp.rar

這是一個實實在在的ELF RDP掃描工具集，掃描引擎(rdp ELF可執行文件)用來掃描指定範圍的IP段，探測開啓了RDP的主機，發現了以後使用字典進行暴力攻擊。以獲得用戶名和密碼。能夠設置掃描的線程數和發現匹配用戶後終止掃描的條件。能夠明顯的看出來，工具代碼的編寫者不是講英語地區的人。這種狀況咱們在windows平臺上見太多了。咱們認爲這個ELF版本的工具只是被限制給少數人使用。下圖是該工具的界面截圖：

rdp文件是整個rdp工具集的核心，爲了可以實現自動化攻擊，做者使用了腳本。咱們發現了shell腳本「a」和「start」來實現自動化。下圖給出具體腳本代碼片斷，請注意，若是沒有rdp程序，這些腳本就什麼用都沒有。

Linux/XOR.DDoS使用者在工具集裏的文本文件中留下一些數據，你能夠看到這些數據包含用來暴力攻擊的用戶名和單詞庫。還有一些掃描結果保存在vuln.txt文件中：

我想上圖很是清楚的說明了rdp能幹些什麼和它是怎麼被Linux/XOR.DDoS攻擊者所使用的，爲了他們的黑客行動，用rdp來暴力破解windows網絡。因此我就不作視頻了。這個rdp ELF是個新發現，咱們將它命名爲Linux/rdp，做爲一款ELF黑客工具。同時咱們在kernelmode論壇上開一個版塊來討論它。

這就是rdp.rar的所有？不，這裏還有個名叫psc的傢伙，它也是一個ELF可執行文件，細節以下：

16840 Nov 24 psc fcd078dc4cec1c91ac0a9a2e2bc5df25
psc: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), 
     dynamically linked (uses shared libs), for GNU/Linux 2.2.5, not stripped
複製代碼

若是你將psc放到Virus Total檢測，將會獲得(37/56)的Linux ELF病毒感染的檢測結果。被斷定爲一種已知的惡意軟件Linux/RST變種。該軟件能夠感染其它的ELF文件，而後留下一個後門[link]。是否是很壞。

可是psc實際上是一款名爲pscan的黑客工具。是用來進行端口掃描的。黑帽子使用它來掃描服務器的SSH端口，我也知道有白帽子拿它來進行滲透測試。MMD博客曾經討論過黑客工具，參見MMD-0023-2014[link]。

咱們測試運行了它，發現和pscan是同樣的。應該是Linux/XOR.DDoS的攻擊者使用psc縮寫來命名。

下圖顯示了psc裏面有不少的字符串包含「pscan」字符串：

然而，爲何VT報告它被病毒感染了呢？謝謝Miroslav Legen的建議，我檢查了程序入口點。程序原始入口點被修改成0x08049364，惡意入口點取代了原始入口點(0x080487a8)，這麼作的目的就是運行提早運行惡意指令，而後再跳轉到原始入口點。下圖是我在檢查入口點替換時的逆向筆記：

進一步還發現，rdp ELF二進制文件也進行了入口點替換：

事實上，咱們發現IP位於中國主機上的惡意軟件集和黑客工具都被另外一種惡意軟件所感染。因此本文介紹的案例只是其中一個，畢竟，它原本就是來自一個不可信的環境。因此咱們強烈建議不要運行任何從不可信環境中的到的任何東西。我不敢確定是否Linux/XOR.DDoS使用者知道這狀況或者是故意將被感染的ELF黑客工具放進他們的壓縮包裏(呵呵，我想他們應該是不知道，由於他們給壓縮包設置了密碼)，可是我真心但願他們本身被這病毒感染:D

0x06 XOR.DDoS CNC服務器中的.lptabLes僵屍網絡集

在job.rar壓縮包中，攻擊者將攻擊咱們網絡所需的各類工具都打包進了這一個壓縮包裏面。它裏面包含下載模塊killfile和用於結束進程的kill.txt，用於下載啓動文件run.txt。咱們已經在前面的章節中介紹過這個模塊化的killfile ELF模塊。

還有一個rootkit，我將會在最後一節中用一個視頻來對代碼進行說明。可是如今我想指出的是：在job.rar壓縮包中有一個.lptabLes|x客戶端(ELF)和它的服務端，僵屍網絡CNC服務器。job.rar包確實須要引發注意：

該.lptabLes|x ELF客戶端二進制文件(ELF僵屍網絡惡意軟件)咱們已經在以前的文檔中分析過-->[-1-]和[-2-]。這些二進制文件沒有任何新東西，只是用來鏈接到CNC僵屍網絡(Windows PE)軟件運行的IP地址。咱們直接將注意力集中到僵屍網絡CNC軟件上來。

這個二進制文件是用.net編寫的。咱們已經將其上傳到Virus Total上[link]。我製做了一個視頻，以更加直觀的方式介紹CNC僵屍網絡工具是怎麼樣工做的：

爲了瞭解僵屍網絡CNC工具的細節，能夠經過閱讀咱們製做的逆向源代碼來學習，咱們對代碼進行了處理(爲了讓代碼不能被重用，可是很容易閱讀)。經過下面連接能夠得到： https://pastebin.com/xDCipBY1

下面是 IptabLes|x 客戶端和CNC 僵屍網絡工具的MD5列表：

MD5 (777.hb) = "e2a9b9fc7d5e44ea91a2242027c2f725"
MD5 (888.hb) = "ff1a6cc1e22c64270c9b24d466b88540"
MD5 (901.hb) = "c0233fc30df55334f36123ca0c4d4adf"
MD5 (903.hb) = "f240b3494771008a1271538798e6c799"
MD5 (905.hb) = "603f16c558fed2ea2a6d0cce82c3ba3a"
MD5 (Control.exe) = "315d102f1f6b3c6298f6df31daf03dcd"
複製代碼

0x07 「Linux/KillFile」工具集：xxz.rar,kill.txt,run.txt

在job.rar[link]中,有一個Linux/KillFile惡意軟件，假裝成爲一個xxz.rar的壓縮文件。Linux/KillFile的工做邏輯和以前章節介紹的如出一轍[link],區別在於，以前的兩個樣本都是執行其餘與感染無關的功能，可是這個是爲了感染而生的。它所扮演的角色就是下載和安裝前面介紹的Linux/IptabLes|x僵屍網絡客戶端。

這個版本的Linux/KillFile，當執行了下載的文件以後，它使用虛假的Microsoft版本信息來進行假裝。

另一個大的不一樣是，與host鏈接時的數據和從遠程主機獲取的數據：

咱們據此得到新的ip：61.33.28.194和115.23.172.47，一樣的都是位於韓國：

{
  "ip": "61.33.28.194",
  "hostname": "No Hostname",
  "city": null,
  "country": "KR",
  "loc": "37.5700,126.9800",
  "org": "AS3786 LG DACOM Corporation"
}
複製代碼

我很是確定et2046.com域名是被控制的，若是是攻擊者控制的，下面的按時間序排列的IP數據鏈接到et2046.com，必定就會鏈接到攻擊者。

115.23.172.31 (current) 
115.23.172.6 (May 2014) 
115.23.172.47 (current)
複製代碼

我很奇怪的是爲何使用了這麼多的韓國IP地址，韓國的網絡執法部門須要對此引發重視。

0x08 「xwsniff rootkit」源代碼

本節中，我製做了一個視頻來說解xwsniff rootkit源代碼，展現了全部的源碼，不方便用語言表示的。這就是一份網絡犯罪的證據。該rootkit在CNC集裏面的多個地方被找到。包括在針對目標的壓縮包job.rar裏。不用懷疑的是，其中一個功能就是得到被感染服務器的root權限。這對讀者來講也是學習瞭解rootkit最安全的方法，爲了在之後能更好的防禦咱們本身。同樣的，咱們也對源代碼進行了處理來進行保護，防止被壞人利用。

這份xwsniff rootkit安裝包裏面，有FTP守護進程(如今咱們知道了爲何他們要中止ftp PIDl )，OpenSSH和PAM源代碼，加上stealth rootkit的一部分，經過編譯結合在一塊兒，並擁有本身的內核代碼。被感染的NIX系統將會受到極大的破壞，沒有手工清除該rootkit的方法。因此我建議讀者重裝。這個rootkit是爲linux系統設計的，可是通過少許修改就能夠用於全部NIX系統。

爲了實現功能，它擁有威力強大的函數，能讓受害者沒法知道是否是被感染了，在shell裏面的安插後門和經過http下載，只須要添加幾個函數。好了，說的太多了，咱們直接看視頻吧。

0x09 CNC僵屍網絡的基礎資源

下面的IP地址都是用來實施感染的：

"43.255.188.2" (shellshock landing)
"103.20.195.254" (shellshock landing)
"122.10.85.54"  (shellshock landing)
"103.240.141.54" (Xor.DDoS CNC server)
"211.110.1.32" (Xor.DDoS CNC server)
"115.23.172.31" (.IptabLes|x download server)
"115.23.172.47" (.IptabLes|x download server)
"61.33.28.194" (.IptabLes|x download server)
"115.23.172.6" (Iptables|x previous IP record)
複製代碼

他們的地址：

下面是用於感染的主機域名：

kill.et2046.com
sb.et2046.com
www1.gggatat456.com
GroUndHog.MapSnode.CoM
複製代碼

0x0a 下一步打算

對於此次事件，還有不少工做須要作。舉個例子，咱們上傳全部樣本到VT，包括killfile，XOR.DDoS下載者ELF模塊。可是咱們不分享rootkit，除了反病毒公司和執法部門。由於他是危險的工具。請閱讀咱們的法律聲明-->link。請給咱們時間來準備新的分享。在下面的評論區表達大家的但願與要求，別忘了附上你完整的email地址。

咱們會在kernelmode論壇分享樣本，只爲了研究目的。一樣上傳給VirusTotal。 Linux/KillFile已經上傳到kernelmode[link]和VT[link]。.IptabLes|x botnet CNC tool WInPE(.NET)在kernelmode作了限制性分享[link]。其餘的都上傳到VT可是沒有分享到kernelmode，由於都感染了其餘病毒。 Rootkie源代碼從20/07/2015開始分享，如今開始接受請求。

推特帳號： @MalwareMustDie

感謝原做者辛勤的工做！結尾一段，與正文關係不大，略去沒翻譯。本人水平有限，錯誤不免，還請指出！拜謝！