http://blog.malwaremustdie.org/2015/06/mmd-0034-2015-new-elf.html
↑新規マルウェアですので、参考情報がゼロ、2件暗号化機能を発見しましたが、2DESとXORですので、全部pythonで解決しました。情報公開の為に国内のコミュニティーに情報を公開します。
まずはXORの件、ELFマルウェアが7kBのGIF画像ファイルをダウンロードし、7kBの最後の5kBはXORで暗号化されたマルウェアスクリプトです。キーがバイナリーにリバーシングしたら分かりましたので、本件はpythonで解決しました、decrypt方法は下記のビデオ↓
次は同じマルウェアがCNCに送ったHTTPトラフィックがDESで暗号化されているので、キーがリバーシングの上で発見して、似たような対応仕方でpythonで解決しました。ビデオは下記となります↓
因みに下記のIPはELFマルウェアのアタッカーIPですので、ロックして下さい↓
218.213.77.20 // attacker bot 218.213.77.196 // attacker bot 106.39.95.195 // attacker bot 218.213.77.197 <== CNC
pythonポワー!www
0 件のコメント:
コメントを投稿