Linux恶意软件研究列表更新-2016-11-22

原文： Linux Malware Research List Updated

背景

最近Linux（ELF类型）恶意软件又开始猛力攻击我们，这次通过IoT平台的漏洞，它造成了严重的DDoS灾难。这类威胁（ELF Linux恶意软件）是如此的有季节性，只要有可以利用的漏洞，它们就能把可执行代码注入到它的Shell，例如：在shellshock，PMA，Apache Struts，各种CMS漏洞，然后现在通过telnet远程硬编码登录的IoT等等，然后这些恶意软件或者僵尸网络就一直潜伏在那里窥视我们。

我的意思是，当我们使用的服务上的新的漏洞刚刚被发现的时候，要么这个漏洞是公开的或者影响许多个平台（就像我上面写到的那些缺陷）或者是针对性的（例如 在Linux xxxt站点上或者在xxxnode IRC服务上所发生的）。糟糕的事情越演越烈，尽其所能的感染被影响的受害者，这些受害者可能或者几乎没有意识到他们的系统里存在一种新的（或者已知的）病毒。有一些黑客耐心的等到一些新的0day漏洞利用程序被公布…或者靠近它，另一些只是使用已知的漏洞利用程序来攻击没有更新/没有被管理的系统，很少有人写自己的攻击程序。

加强你的服务器或者服务，建立快速及时更新针对任何新漏洞的更新的习惯，这是避免这些威胁感染的一个好方法。

参考信息

关于漏洞的最主要的问题是，我们不知道它神秘时候会被发现或者它的影响范围有多大。我们的互联网和IT技术包括每天出现的新的更快更好的规格，新的系统、版本、平台每天都在被创建，它慢慢把过时的设备，操作系统和服务抛在后面。即使我们是好的系统管理员，当我们看到没有更新的服务和被有害的对象感染的时候也会有风险（我希望这不会发生）。而当这一切发生的时候，我们第一件去做的事基本都是打开web浏览器，搜索信息。

参考信息，就是我们所有人都需要的用来处理由Linux病毒软件引起的事件的东西。相比于其他威胁平台，Linux病毒软件信息更加分散，而且它们中有很多非常古老。因为这个，虽然将这些建立引导这件事很痛苦，我还是重新整理了一下我们团队MalwareMustDie分析过的Linux病毒分析文章，使用了新链接，这份链接也许可以帮助系统管理员获取和其他关心人士可以在LInux病毒软件相关事件发生时获取到一个快捷的浏览参考列表。因为我们运作方式和AntiVirus公司或行业不同，所有的文章都关联到真实的事件响应案例，其中一些甚至是网络犯罪案例。我只希望分享这些OSINT（译者注：公开资源情报计划）的材料是一件好事。

列表如下，一部分我发布在MalwareMustdie博客，一部分我发布在kernelMode论坛，请随意收藏，阅读或者引用（请提及来源）：

1. Tsunami/Kaiten 1
2. *) DNSAmp 1
3. *) LightAidra (Mod Zendran) 1
4. Elknot 1
5. Darkleech 1 2 3
6. *) Mayhem 1 2
7. *) pscan & sshscan 1
8. *) IptabLex and IptabLes 1 2
9. *) AES.DDoS 1 2
10. *) GayFgt/Bashdoor & Tiny backdoor1 1 2 3 4 5
11. *) XOR.DDoS 1 2 3
12. *) ChinaZ 1 2 3 4
13. *) DES.Downloader 1
14. *) Linux/BillGates.Lite 1 2 3 4 5
15. Mr. Black 1 2 3
16. *) BangSYN (unixfreaxjp/MMD) 1
17. *) Golang ARMbot (unixfreaxjp/MMD) 1 2 3
18. *) Yangji (unixfreaxjp/MMD) 1
19. *) KDefend 1
20. *) SSHV 1
21. *) DDOS.TF 1
22. Torte 1
23. *) Tiny backdoor2 1
24. *) KillFile (unixfreaxjp/MMD) 1
25. *) Dtool (unixfreaxjp/MMD) 1
26. BossaBot (found by Malekal) 1 2 3 4 5 6
27. *) Mubot 1 2
28. Skiddies VARIOUS DDOS’ers 1
29. STDBot 1 2 3 4
30. PnScan 1
31. *) Mirai 1
32. *) Luabot 1
33. *) NyaDrop (Tiny backdoor3) & s_malware 1
34. *) IRCTelnet (New Aidra) 1
35. *) UDPfker 1
36. Linux Website Ransomware - Reversing (in Japanese) 1
37. OverkillMod / “EnergyMech 2.8 overkill mod” 1

注意: 如果你有任何Linux(ELF)病毒软件或者UNIX病毒软件（可以都发给我，IRIX或者SPARC Solaris，或者HPUX，任何系统）例子可以通过本博客右端的菜单提交。

图例: *) 首次公开发布的Linux病毒软件分析并且大多数由MalwareMustDie团队命名。

这些都是很辛苦的工作。你可以在你的工作中自由使用这些知识。我们不要求任何报酬，但是请提及我们并且附上我们的分析链接。如果你在你文章、短文、或者新闻发布中使用我们的任何材料（包括我们使用的原始术语），根据我们的法律免责声明，请给予我们这些辛勤工作的认可。

感谢

有一些人主动的在日常工作之外为上面提到的分析报告做出了辛苦的工作。记住他们，他们应该为他们所作出的高质量工作得到好的认可。感谢InfoSec的贡献，为他们付出的长时间的工作，帮助，支持，推动，提醒，嚎叫:), 为上面列出的分析中的一篇或者多篇给出呐喊和建议。

虽然他们之间的一部分人已经不再和我们联系（我们曾经共度了一段美好时光！），还有更多的人，为我们更安全的互联网，他们的贡献，他们的陪伴，我无法一一列举。

.....ELFTeam:
wopot
wirehack7
benkow
yinetsys
shibumi
.....great thanks:
xylit0l (reverser god)
malwared (unix threat intelligence)
malmouse (threat manager)
sempersecurus (support in ELF analysis)
JC (You should try GIPC by JC)
genuix (our friend that always be there)
lvdijk 
.....support & helps from friends:
rjacksix & cephurs of WTF,MT (cool friendship by these world's #1 crackers)
AVTokyo (tessyjp,senueno,hack_japan,ucq,++)
twice & DrWeb team (this team means serious business in Linux)
kernelmode mods and ELF analysts friends
DHA (tinker,whiskeyneon,rainmaker,commander,++) < great guys+missing you all
France friends et BotConf ppl < cool event, must go!
+ others there are so many to mention.

此外，您可能需要检查KernelMode中的Linux恶意软件部分，以查找其他我们未涵盖的威胁。 （注意：出于个人原因，我不在KM论坛了）。

感谢您的阅读，希望这些信息有帮助，我将尽快更新。

unixfreaxjp/MMD - #MalwareMustDie!!