DDoS木马-Tsunami家族样本分析
<title></title>
DD
o
S
⽊
⻢
¨NBSP;
-
T
sun
a
m
i
家
族
样本
分
析
⼀
、
样本
概
述
样本
运
⾏
平
台
为
li
nux
系统
,
作为
僵
⼫
⽹络
节
点
进
⾏
DD
o
S
攻
击
。
连
接
IRC
服
务
器
,
通过
互
联
⽹
中
继
聊
天
接收
指
令
,
能
够
完
成
聊
天
服
务
器
相
关
的
聊
天
室
配
置
、
身
份
配
置
、
状
态
反
馈
等
聊
天
功
能
,
通过
解
析
消
息
获
取
攻
击
类
型
与
攻
击
⽬
标
,
完
成
DD
o
S
攻
击
。
⼆
、
样本
类
型
样本
属
于
T
sun
a
m
i
家
族
,
DD
o
S
攻
击
程
序
,
活
跃
时
间
为
2013
年
⾄
今
。
该
家
族
使
⽤
的
攻
击
⼿
段
包
括
TCP
、
U
DP
、
DNS
泛洪
攻
击
。
⽬
前
发
现
样 本
相
关
的
源
码
已
经
公
开
在
⽹ 络
,
适
合
分
析
者
研
究
学
习
h
ttps
://
gi
t
h
u
b
.
c
om
/
S
o
ldie
/
COLE
-
O
-
b
otn
e
ts
/
bl
o
b
/
aec
534
acbf
9789451
f
009129
efaa
1
ec
760973
e
2
e
/
V
i
rus
P
ack
/
f
34
c
5
c
27
b
.
c
三
、
详
细
分
析
3.1
ELF
⽂
件
头
haid
r
ag
on
2022-11-06
14:48
发
表
于
湖
南
原
创
安
全
狗
的
⾃
我
修
养
⽂
件
头
信
息
3.2
僵
⼫
⽹络
样本
作为
“
僵
⼫
⽹络
”
中
的
“
⾁
鸡
”
,
执
⾏
逻辑
如
下
。
A
、
根
据
T
i
m
e
、
PPID
⽣
成
客
户
端
标
识
ID
。
B
、
连
接
IRC
服
务
器
加⼊
聊
天
频
道
C
、
接收
聊
天
消
息
,
检
查
消
息
,
执
⾏
指
令
。
服
务
器地址
、
端
⼝
通过
解
析
通
讯
流
量
,
其
通
讯
数据
各
字
段
含
义
⻅
下
图
:
通
讯
流
量
聊
天
协
议
包
含
的
指
令
,
以
及
对
应
的
聊
天
室
功
能
⻅
下
表
:
指
令
功
能
352
设
置
⼀个
假
i
p
376
加⼊
特
定
频
道
,
查
找
匹
配
的
m
ac
地址
433
⽤
“/
usr
/
dic
t
/
wor
d
s
”
⽬
录
下
的
⽂
件
内
容
做别
名
422
同
367
,
加⼊
特
定
频
道
PRI
V
MSG
接收
i
r
c
命
令
,
访
问
/
usr
/
bi
n
/
xx
h
的⽬
录
下
有
没
有
SSH
相
关
进
程
,
如
果
有
的
话
就
关
掉
;
从
这
⾥
⾯
进
⼊
dd
os
僵
⼫
⽹络
攻
击
PING
发
送
PONG
指
令
,
⽤
户
的登
陆
与
结
束
JOIN
加⼊
频
道
KICK
加⼊
服
务
器
对
应
的
频
道
NICK
取
别
名
聊
天
协
议
3.3
DD
o
S
攻
击
样本
提
供了
四
种
攻
击
⽅
式
,
攻
击
对
应
与
指
令
⻅
下
表
。
指
令
功
能
T
sun
a
m
i
ACK FLOOD
攻
击
P
a
n
S
Y
N FLOOD
攻
击
D
os
U
DP FLOOD
攻
击
U
n
k
nown
垃圾
数据
包
除
发
送
垃圾
数据
包
外
,
其
余
攻
击
⽅
式
均
伪
造
假
的
数据
封
包
,
欺
骗
⽬
标
系统
调
⽤
资
源
处
理
数据
包
。
详
细
分
析
⻅
下
⽂
逆
向
细
节
。
指
令
描
述
SPOOFS
设
定
IP
范
围
DISABLE
判
断
密
码
是
否
输
⼊
正
确
ENABLE
恢
复
客
户
端
的
能
⼒
GET
ur
l
拼
接
,
获
取
c
pu
架构
,
该
程
序
只
在
i
686
和
x
86
系统
上
运
⾏
,
设
置
可
接收
的
⽂
件
格
式
,
接收
上
线
地址
发
来
的
数据
,
从
80
端
⼝
联
⽹
接
受
浏
览
器
的
请
求
下
载
指
定
⽊
⻢
⽂
件
V
ERSION
返
回
后
⻔
版
本
B
Y
EB
Y
EALL
关
闭
对客
户
端
的
dd
os
攻
击
IRC
将
指
定
的
i
r
c
指
令
发
送
到
服
务
器
CHGSER
V
更
改
服
务
器
H
el
p
显
示
可
⽤
指
令
列
表
NICK
取
别
名
GETSPOOFS
获
取
欺
骗
参
数
ENABLE
判
断
密
码
是
否
输
⼊
正
确
DD
o
S
攻
击
的相
关
设
定
指
令
3.4.
溯源
分
析
3.4.1
CC
检
索
公
开
情报
显
示
:
该
样本
连
接
的
IRC
服
务
器地址
关
联
到
恶意
软
件
、
远
控
、
挖
矿
⽊
⻢
、
T
sun
a
m
i
泛洪
等
标
签
。
CC
情报
3.4.2
哈
希
检
索
在
线
恶意
软
件
扫
描
⽹
站
V
i
rus
T
ot
al
提
供
的
各
⼤
杀
毒
引
擎
扫
描
结
果显
示
:
有
15
家
杀
软
引
擎
反
馈
为
恶意
程
序
。
ha
s
h
扫
描
结
果
s
3.5
逆
向
细
节
3.5.1
mum
a
基
本
信
息
ELF
⽂
件
基
本
信
息
脱
壳
后
ELF
⽂
件信
息
3.5.2
连
接
前
的
准
备
⼯
作
打
开并
锁
定
⽂
件
/
t
e
mp
/.
ss
h
,
该
⽂
件
样本未
提
供
。
锁
定
使
⼦
进
程
可
以
访
问
该
⽂
件
资
源
。
当
前
进
程
为
⼦
进
程
,
则 创
建
复
制
⼀ 个
⾃
身
的
⼦
进
程
。
创
建
⼦
进
程
将
时
间
与
进
程
id
组
合
,
创
建
随
机
字
符
串
,
赋
值
⽣
成
随
机
的
⽤
户
信
息
。
⽣
成
随
机
⽤
户
信
息
3.5.3
服
务
端
通
讯
建
⽴
循
环
:
连
接
聊
天
服
务
器
,
发
送
上
线
消
息
。
样 本
预
设
了
2
个
服
务
端
地 址
和
7
个
端
⼝ 号
,
每 次
连
接
随
机
选
取
地 址
和
端
⼝
,
⻅
下
图
。
⼦
循
环
:
检
查
每 次
连
接
的
时
间间隔
,
设
置
随
机
端
⼝
,
连
接
服
务
端
。
监
听
so
cke
t
:
监
听
到
so
cke
t
返
回
数据
,
接收
b
u
ffe
r
,
逐
⾏读
取
指
令
,
指
令
⽐
对
函
数
名
称
,
调
⽤
对
应
函
数
:
3.5.4
聊
天
协
议
函
数
函
数
引
⽤
位
置
函
数
名
称
与
地 址
数
组
⻅
下
图
:
指
令
与
对
应
函
数
地址
3.5.4.1
函
数
352
实
现
操
作
:
⽣
成
⼀ 个
被
打
乱
i
p
地 址
校
验
n
ick
获
取
i
p
地址
IP
地
址
转
换
失
败
,
解
析
主
机
失
败
,
返
回
i
p
转
换
整
型
成
功
或
者
解
析
成
功
,
则
打
乱
i
p
并
保
存
3.5.4.1
函
数
376
、
422
实
现
操
作
:
发
送
上
线
消
息
。
发
送
消
息
3.5.4.3
函
数
433
实
现
操
作
:
⽣
成
昵
称
重
新
⽣
成
n
ick
3.5.4.4
函
数
PRI
V
MSG
解
析
传
⼊
的
服
务
端
回
复
数据
r
e
pons
e
,
得
到
需
要
执
⾏
指
令
名
称
,
去
⽐
对
功
能
函
数
表
并
执
⾏
。
指
令
与
功
能
函
数
上
图
中
,
包
含
有
四
个
DDOS
攻
击
指
令
:
T
sun
a
m
i
,
P
a
n
,
D
os
,
U
n
K
nown
。
以
及
远
控
相
关
指
令
。
下
⾯
主
要
分
析
DDOS
攻
击功
能
。
3.5.5
DDOS
攻
击功
能
3.5.5.1
ACK
-
P
U
SH
泛洪
攻
击
攻
击
流
程
:
以
⾮
常
⾼
的
速
率
发
送
假
的的
ACK
-
P
U
SH
数据
包
,
该
包
不
属
于
被
攻
击
⽬
标
防
⽕
墙
上
的
现
有
会
话
或
者
路
径
上
的
设
备
,
在
状
态
表
中
⽣
成
不
必
要
的
查
找
,
消
耗
额
外
的
系统
资
源
。
设
置
攻
击
⽬
标
与
时
⻓
构
造
并循
环
发
送
TCP
-
ack
包
3.5.5.2
S
Y
N
泛洪
攻
击
S
Y
N
泛洪
攻
击利
⽤
TCP
的
三
次
握
⼿
过
程
,
⽤
S
Y
N
淹没
⽬
标
系统
上
的
多
个
TCP
端
⼝
,
请
求
在
源
系统
和
⽬
标
系统
之
间
启
动
连
接
的
消
息
。
被
攻
击
⽬
标
系统
对
接收
到
的
每
个
S
Y
N
消
息
⽤
S
Y
N
-
ACK
消
息
进
⾏
响
应
,
并
临
时
打
开
⼀个
端等
待
来
⾃
源
的
最
终
ACK
消
息
以
响
应
每
个
S
Y
N
-
ACK
消
息
。
攻
击
者
从
未
发
送
最
终
的
ACK
,
因
此
连
接⽆
法
完
成
。
临
时
连
接
最
终
将
超
时
并
被
关
闭
,
但
在
此
之
前
,
⽬
标
系统
将
会
被
其
状
态
表
中
积
累
的
⼤
量
不
完
整
连
接
淹没
。
构
建
syn
包
构
建
syn
包
,
循
环
发
送
3.5.5.3
U
DP
碎
⽚
攻
击
U
DP
碎
⽚
攻
击
,
发
送较
⼤
的
U
DP
数据
包
(
1500
字
节
),
消
耗
更
多
的
⽹络
带
宽
。
由
于
碎
⽚
包
通
常
⽆
法
重
新
组
装
,
因
此
它
们
消
耗
了
设
备
上
的
⼤
量
资
源
。
构
造
u
d
p
包
发
送
3.5.5.3
碎
⽚
数据攻
击
攻
击
流
程
:
⾼
频
率
发
送较
⼤
的碎
⽚
数据
(
0
x
2400
)
⾄
⽬
标服
务
器
的
随
机
端
⼝
,
该
攻
击
⽅
式
效
率
⽐
较
低
。
发
送
碎
⽚
数据
四
、
样本
特
征
4.1
IOC
F
ile
MD
5
cf
6
cb
25624874424
af
47011
a
7
dd
131
b
4
F
ile
SHA
1
1
d
0
d
2
de
612
c
473
fc
4
c
75
ed
5
d
61952
f
8
e
4
ad
7384
c
F
ile
SHA
256
6
f
14
afb
14
e
198
fc
36
ff
839
b
09077
edb
2
fb
5
a
55
dc
9
c
29
c
9
edcd
590
75
d
48255332
H
ost
pwn
.
pwn
d
ns
.
pw
i
p
168.235.95.104
4.2
Y
a
r
a
rule muma_unpack {
meta:
description = "Tsunami:RAT&DDOS_BOT"
muma_unpack_hash1 = "4410b1cd507926071378c0c470fa98aff12ed4b59ec00766fef8847c72397c26"
muma_hash1 = "6f14afb14e198fc36ff839b09077edb2fb5a55dc9c29c9edcd59075d48255332"
strings:
$x1 = "NOTICE %s :PAN = An advanced syn flooder that will kill most network drivers" fullword ascii
$x2 = "NOTICE %s :SH = Executes a command" fullword ascii
$x3 = "NOTICE %s :GET = Downloads a file off the web and saves it onto the hd" fullword ascii
$x4 = "NOTICE %s :UDP = A udp flooder" fullword ascii
$x5 = "NOTICE %s :UNKNOWN = Another non-spoof udp flooder" fullword ascii
$s6 = "NOTICE %s :TSUNAMI = Special packeter that wont be blocked by most firewalls" fullword ascii
$s7 = "NOTICE %s :PAN " fullword ascii
$s8 = "NOTICE %s :UDP " fullword ascii
$s9 = "User-Agent: Mozilla/4.75 [en] (X11; U; Linux 2.2.16-3 i686)" fullword ascii
$s10 = "src/process/execve.c" fullword ascii
$s11 = "NOTICE %s :UNKNOWN" fullword ascii
$s12 = "NOTICE %s :TSUNAMI" fullword ascii
$s13 = "NOTICE %s :IRC = Sends this command to the server" fullword ascii
$s14 = "src/process/posix_spawn_file_actions_adddup2.c" fullword ascii
$s15 = "src/process/posix_spawn_file_actions_destroy.c" fullword ascii
$s16 = "src/process/posix_spawn_file_actions_init.c" fullword ascii
$s17 = "NOTICE %s :Spoofs: %d.%d.%d.%d - %d.%d.%d.%d" fullword ascii
$s18 = "NOTICE %s :Password too long! > 254" fullword ascii
$s19 = "NOTICE %s :Password correct." fullword ascii
$s20 = "src/process/posix_spawn.c" fullword ascii
$y1 = "gent.Mozilla/4.75" fullword ascii
$y2 = "PROT_EXEC|PROT_WRITE failed." fullword ascii
$y3 = "Id: UPX 3.95 Copyright (C) 1996-2018 the UPX Team. All Rights Reserved. $" fullword ascii
$y4 = "NOTICE %s :Unable to comply." fullword ascii
$y5 = "Q USERID" fullword ascii
$y6 = "ooo.User" fullword ascii
$y7 = "KILL " fullword ascii
$y8 = "no- wi&-FbZ" fullword ascii
$y9 = "" fullword ascii
$y10 = ",7V{ -" fullword ascii
$y11 = "? -[Bo&" fullword ascii
$y12 = "O9/JHTTP/1.0" fullword ascii
$y13 = "liheek" fullword ascii
$y14 = "assifyl" fullword ascii
$y15 = "DEH_FRAME_" fullword ascii
$y16 = "%HTF%3" fullword ascii
$y17 = "toupbr" fullword ascii
$y18 = "%DKz%H" fullword ascii
$y19 = "uvbful" fullword ascii
$y20 = "1-2%S " fullword ascii
condition:
( uint16(0) == 0x457f and filesize < 2000KB and ( 1 of (x*) and 4 of (s*) ) ) or
( uint16(0) == 0x457f and filesize < 600KB and ( 8 of (y*) ) ) or
( all of them )
}
