11 may 2015

Anéctoda de un cliente idiota - VPS infectado con XOR.DDoS Linux + binario XOR.DDOS

No se si salio en muylinux o muyseguridad, pero existe un troyano interesante dando vueltas que lo cuelan por SSH y voy a contarles la historia real de un cliente infectado...
Resulta que necesitaba ver si el cliente (nuevo), tenia bien sus recursos y con 2GB de RAM estaba bien, asi que le pido el password de root. Cuando se lo entregue le habia dado un pass provisorio de 32 caracteres generado usando pwgen, pero me dice muy tranquilo "el pass es prueba", le digo "como?" si me dice, root:prueba.

Entré, miré y estaba todo ok....

A la mañana siguiente vuelvo a entrar, confiado de que habia cambiado el pass, dado que yo habia terminado mis ajustes y veo que no lo cambio. De inmediato comienzo a mirar y entre netstat y demas cosas veo un troyano conectado a japon, eeuu y china, investigo y era el XOR.DDoS.

Lo llamo, y esta fue la charla:

synflag: che pepe mira, entré y pasa esto, estas infectado, te mande un mail a la madrugada para que cambiaras el pass, antes usabas key y que paso?
pepe: Es que era muy complicado asi que usamos prueba
synflag: bueno mira, estas infectado, veo varias IP y posiblemente tengas un backdoor
pepe: ah pero sacalas, mata los procesos
synflag: si pero seguro plantaron algo mas que una shell.. habria que reinstalar, incluso si metieron codigo dentro de alguna lib no te enteras
pepe: no creo, que raro, quien me conoce como para hackearme?
synflag: no es por eso... deja una pc con el puerto 22 abierto unas horas y mira lo que pasa.
pepe: si? mira vos

Bueno, aca les dejo el binario para quien quiera decompilarlo:

https://dl.dropboxusercontent.com/u/85827164/nvykvfhqyi

El analisis:

https://www.virustotal.com/es/file/7892bd0fd1cd8618e7dce8e1c225d9d4b3c1c859c755c6efc18864933dbcd668/analysis/

Codigo descompilado por los que lo descubrieron "malware must die" white hackers

http://pastebin.com/a8DnTsX4

PD: Se pone en contacto con una IP de taiwan que es una fabrica de colchones, seguramente un server infectado y de ahi salian las demas IP de japon, china y usa a usar el bot DDoS

220.133.81.109

10 comentarios:

  1. Gracias a esos clientes tenemos trabajo jajajaja

    ResponderEliminar
  2. Synflags estoy brindando seguridad TI, que tipo de malware puede colarse en un centOS Virtualizado por un windows server.

    La banda ancha de la empresa se ha tornado lenta e incluso la latencia es muy baja y se entrecorta, tiene una ip privada y una publica, un servidor fisico y un firewall fisico con una solucion comercial.

    La infraestructura del data center es un caos que tipo de infraestructura costo/beneficio/rendimiento/seguridad/pragmatica me recomiendas como plan para una infraestructura TI esta es la empresa 69.31.134.125

    ResponderEliminar
  3. synflag haciendo un netstat -na me encontre con esto que puede ser bro:
    TCP 127.127.127.127:3939 0.0.0.0:0 LISTENING

    ResponderEliminar
  4. zas el antivirus me lanzo mensaje al quere bajar el archivo para decompilarlo

    ResponderEliminar
  5. Usas windows?. No se si este es el multiversion o corre solamente sobre Linux.

    ResponderEliminar
  6. Puerto 3939 es Anti Virus port management. Y esa IP es una IP privada. Asi que algo en la LAN y seguramente la consola de manejo del AV

    ResponderEliminar
  7. Cualquier cosa, nunca se sabe, habria que ver si no es la conexion. Latencia baja es buena, es decir, que hay pocos ms, lo de los cortes es otro tema, pero habria que ver si no es la conexion. La IP esa no existe online como empresa.

    ResponderEliminar
  8. jajjajaja no, para que ya se pasan, prefiero clientes menos boludos y que contraten mas servicios. No garpa tanto el soporte al cliente como venderle un servicio de vps/hosting/streaming/diseño.

    Hace 1 dia el mismo cliente, mando un mail para decir si le habian dado de baja el vps... porque no podia acceder... le respondi.. no.. estas ingresando mal la IP.. y eso que te la di por mail.. jajajaj mi dios

    ResponderEliminar
  9. Muy buena tarde!!
    SynFlag, Disculpa sabes algo de devuan?.
    Esto de systemd en debian se esta convirtiendo en una pesadilla.....!!!!!!!!
    Estaba ocupando la versión de testing, pero en cada actualizacion e instalación de un programa, me pide que reinicie.
    Me gustaba mucho debian, me sentia muy comodo anteriormente para desarrollar mi app, pero ahora me es fastidioso trabajar de esta forma.
    De verdad que es una basura systemd, no me quiero imaginar un servidor web, base de datos que siempre debe de estar en alta disposición, tenga uno que reiniciarlo en cada actualización, creo que por ahí vienen los primero agujeros facíles, para hackear los distritos.
    Donde va a terminar GNU/Linux?
    Se debería crear un grupo de personas en GNU para regular lo que esta pasando y crear una comisión especialmente para ir a darles unas patadas a los creadores de systemd; no se porque permitieron que se expandiera este virus en todas las distritos.
    Tristemente veo que systemd toma el control total del sistema, por lo que poco a poco se va a convertir en el nuevo Kernel para todos los SO GNU, todo gracias a los del sombrerito.
    Y los del sombrerito ya que andan muy explendidos y creativos notificarle a el Sr. Tolvars que gracias por participar con su super kernel, que ya esta en desuso, porque la nueva generacion admin de sistemas GNU/Linux quieren que arranque el sistema super extremadamente rápido; ya que su nueva filosofía de ellos es hacer click,click y finalizar. ufff, ufff que tarea!!!
    Espero pronto tener noticias de devuan!!!!
    Saludos!!!!

    ResponderEliminar
  10. https://git.devuan.org/explore

    Ahora los admin son como admin windows..

    ResponderEliminar

Dejá tu comentario