Operation Distributed Dragon - Linux DoSer

[Malekal_morte]

Operation Distributed Dragon est une opération qui vise à perturber un groupe de pirates Chinois qui serait à l'origine d'attaques DDos pouvant atteindre 200 Gb/s

Le groupe MalwareMustDie avait posté pas mal de backdoors Linux utilisées par ce groupe dans des attaques DDoS.

1. "Elknot" variants, technical information: --> [link]
2. "AES.DDoS", technical information: --> [link]
3. ".IptabLes|x", technical information: --> [link]
4. "BillGates", technical information: --> [link]
5. (NEW) "GoARM.Bot", technical information: --> [link]

La page de l'opération : https://www.tigersecurity.pro/operation ... /index.php

Le PDF explique que des serveurs sont piratés par :

• Des attaques SSH sous Linux
• Des attaques RDP pour les serveurs Windows.
• Des vulnérabilité WEB.

Donc rien de vraiment nouveau, il semblerait tout de même que cette campagne soit très active.

[Malekal_morte]

Avast! a publié une analyse concernant ces malwares visant *Unix : https://blog.avast.com/2015/01/06/linux ... d-rootkit/

[Malekal_morte]

Ces Malwares sont toujours actifs, un exemple avec kippo: Honeypot SSH où tombe sur du Trojan-DDoS.Linux.Sotdas et Backdoor.Linux.Ganiw / Backdoor:Linux/Setag.

ou encore :

kipppo_SSH.png

kipppo_SSH_2.png

[Malekal_morte]

Une news concernant ces Linux DoSer et les variantes XOR DDoS
Akaimai annonce des attaques de plus de 150 Gbps.

J'en profite pour donner ce lien d'une note assez complète sur ces Linux XOR DoS : Notes on Linux/Xor.DDoS.

Les fichiers sont logés dans :

/boot/
/etc/init.d/
/etc/rc.d
/etc/rcX.d
/usr/bin/
/lib/
/lib/udev/udev
/lib/udev/debug

Et s'exécute via des scripts dans init.d :

Linux_XOR_DoS_init_d.png

Schéma des campagnes d'attaques selon FireEye:

XoR_DoS_schema.jpg

[Malekal_morte]

Un sujet ISC SANS : https://isc.sans.edu/forums/diary/Tomca ... DDoS/20721

XORDDoS, un Doser sous la forme d'un JAR déployé sur un Tomcat.

Au niveau des fichiers :

Tue Dec 01 2015 05:58:38,493137,mac.,-rw-r--r--,0,0,0,"/usr/share/apache-tomcat-7.0.65/webapps/eei.war"
Tue Dec 01 2015 05:58:38,69334,.ac.,-rw-r--r--,0,0,0,"/usr/share/apache-tomcat-7.0.65/webapps/eei/a.jsp"

Dans le catalina.out - on voit le chargement du jar en question.

Dec 01, 2015 5:58:38 AM org.apache.catalina.startup.HostConfig deployWAR
INFO: Deploying web application archive /usr/share/apache-tomcat-7.0.65/webapps/eei.war
Dec 01, 2015 5:58:38 AM org.apache.catalina.startup.HostConfig deployWAR
INFO: Deployment of web application archive /usr/share/apache-tomcat-7.0.65/webapps/eei.war has finished in 118 ms

Dans les logs Apache, l'attaquant accède à la console d'administration du Tomcat afin de transférer des fichiers.

22.236.51.194 - - [01/Dec/2015:05:58:08 -0500] "GET /manager/html HTTP/1.1" 401 2474
122.236.51.194 - admin [01/Dec/2015:05:58:09 -0500] "GET /manager/html HTTP/1.1" 200 19270
122.236.51.194 - admin [01/Dec/2015:05:58:39 -0500] "POST /manager/html/upload?org.apache.catalina.filters.CSRF_NONCE=4C0343589816E985E2010C618944EF5A HTTP/1.1" 200 20940
122.236.51.194 - - [01/Dec/2015:05:58:43 -0500] "GET /eei/ HTTP/1.1" 200 3319
122.236.51.194 - - [01/Dec/2015:05:58:45 -0500] "POST /eei/ HTTP/1.1" 200 6383
122.236.51.194 - - [01/Dec/2015:05:58:49 -0500] "GET /eei/?action=command HTTP/1.1" 200 2677
122.236.51.194 - - [01/Dec/2015:05:58:55 -0500] "POST /eei/?action=command HTTP/1.1" 200 2736
122.236.51.194 - - [01/Dec/2015:05:58:58 -0500] "POST /eei/?action=command HTTP/1.1" 200 2725