安防网站建设优点,江苏城工建设科技有限公司网站,个人作品集网站模板,庄行网站建设前言
疫情还没有结束#xff0c;放假只能猫家里继续分析和研究最新的攻击技术和样本了#xff0c;正好前段时间群里有人说服务器被黑#xff0c;然后扔了个样本在群里#xff0c;今天咱就拿这个样本开刀#xff0c;给大家研究一下这个样本究竟是个啥#xff0c;顺便也给…前言
疫情还没有结束放假只能猫家里继续分析和研究最新的攻击技术和样本了正好前段时间群里有人说服务器被黑然后扔了个样本在群里今天咱就拿这个样本开刀给大家研究一下这个样本究竟是个啥顺便也给大家分享一些关于Linux Rootkit恶意软件方面的相关知识点吧全球高端的黑客组织都在不断进步做安全更应该努力学习走在黑客前面走在客户前面加强自身安全能力的提升才能应对未来各种最新的安全威胁事件才能帮助客户更好的解决安全问题。 这个样本是一个Linux Rootkit类型的恶意样本根据国外安全厂商报道最近半年Linux恶意软件呈指数级增长在2022年上半年记录的恶意软件样本在2022年1月至2022年6月期间增加了近650%随着云计算的发展针对Linux的恶意软件攻击样本在未来应该会越来越多然而尽管 Linux 恶意软件样本大量增加但 Windows 仍是受恶意软件感染最多的操作系统。 分析
1.通过逆向分析发现该恶意样本是一个Linux RootKit木马程序样本参考了2018年H2HC(Hackers 2 Hackers Conference)会议上Matveychikov f0rb1dd3分享的Linux RootKit高级技术加载执行Linux Rootkit木马如下所示 2.解密Linux RootKit木马数据过程如下所示 3.Linux RootKit木马数据如下所示 4.笔者自己编写了一个简单的解密程序用于解密上面的Linux RootKit木马数据如下所示 5.解密Linux RootKit木马数据之后如下所示 6.通过逆向分析解密出来的Linux RootKit木马发现是Reptile木马源代码修改的如下所示 7.Reptile是一款开源的Linux RootKit木马程序Linux RootKit木马功能非常强大如下所示 可以隐藏文件、目录、自身、网络连接、反弹shell木马等Linux RootKit木马运行之后如下所示 该Linux RootKit木马可以通过Volatility内存检测的方法发现木马后门模块如下所示 笔者曾研究过多个基于Linux平台的RootKit家族样本说不定你的服务器上就被安装了这些RootKit家族样本RootKit包含应用层和驱动层应用层主要使用的技术就是二次打包修改、替换常用二进制文件、LD_PRELOAD环境变量写入/etc/ld.so/preload、捆绑合并等方式驱动层主要使用的syscall hook以及最近两三年比较流行的通过eBPF技术来实现文件进程、网络的隐藏等。 总结
笔者通过研究的一些高端样本可以预测在未来基于底层RootKit或者高级隐藏技术的恶意软件可能会增多像此前TeamTNT黑客组织也曾使用Linux RootKit的Diamorphine木马来达到隐藏目的同时一些勒索病毒也开始使用底层驱动程序进行辅助攻击未来几年不管是Windows平台还是Linux平台安全对抗都会持续升级可能会出现更多使用高级技术或者底层技术的恶意软件家族包含更高级的混淆加密反调试反虚拟机等免杀技术更底层的木马隐藏技术会成为高级威胁攻击的主流攻击技术。 最近几年随着云计算的发展云原生安全似乎又成为了一个热点同时eBPF技术的成熟与发展又出现了一批基于eBPF技术的RootKit攻击技术一些开源代码也被公布在了GitHub平台上面bad-bpf、ebpfkit、boopkit、TripleCross等eBPF RootKit项目未来可能也会成为黑客利用的工具被应用到各种针对Linux平台的恶意软件当中目前eBPF的RootKit对环境要求比较高暂时还不太流行不过也已经发现了一些eBPF RootKit的恶意软件家族Symbiote还有像此前NSA方程式组织开发的顶级后门Bvp47也使用了BPF隐藏信道随着eBPF技术的进一步发展与成熟基于eBPF的后门可能会越来越多目前已经有一些比较简单的检测eBPF木马的方法例如使用bpf-hookdetect、Hades、ebpfkit-monitor、bpftool等工具进行简单的猎捕工作同时可以使用IDA\Ghidra的eBPF逆向分析插件、readelf、llvm-objdump等工具进行相关的逆向分析工作安全就是这样有攻必有防我们通过不断研究最新的攻击技术攻击样本然后找到相应的检测和防御技术黑客组织为了获取更大的利益也在不断研究各种最新的安全技术然后开发出更高级更隐蔽的恶意软件攻击样本安全研究人员只有不断的学习与进步与时俱进才能更好的发现和对应这些高端黑客组织的攻击活动。 安全技术发展已经有几十年了国内外各种安全大会上基本上每年都会有一些新的安全技术分享同时也会有一些新的安全概念被提出来其实万变不离其宗安全的核心永远是对抗有攻就一定有防就像矛与盾一样最近几年比较热门的云原生安全技术笔者通过深度研究一些云原生安全攻击事件案例之后发现其实云原生安全技术底层对抗逻辑并没有太多的改变只是增加了一些上层的东西上层的东西对抗其实是比较简单的解决起来并没有太大的技术难题更难的对抗还是在底层技术的对抗安全研究人员需要去更多的关注和解决云原生安全的底层技术而不要总是停留在表层技术的研究黑客都在不断的进步如果安全研究人员不持续保持进步研究更高级更底层的安全技术可能根本无法及时发现和对应那些高端黑客组织的攻击活动安全的路还很长需要持续不断的努力活到老学到老。 笔者一直从事与恶意软件威胁情报等相关安全分析与研究工作包含挖矿、勒索、远控后门、僵尸网络、加载器、APT攻击样本、CS木马、Rootkit后门木马等涉及到多种不同的平台(Windows/Linux/Mac/Android/iOS)笔者做安全研究的兴趣就是喜欢研究一些最新的恶意软件家族样本跟踪国内外报道的各种安全事件中涉及到的攻击样本等通过详细分析各种安全攻击事件中涉及的样本、漏洞和攻击技巧等可以了解全球黑客组织最新的攻击技术以及攻击活动趋势等同时还可以推判出他们大概准备做什么发起哪些攻击活动以及客户可能会受到什么危害等通过研究全球的黑客组织以及攻击活动做到知已知彼各位读者朋友如果有遇到什么新的恶意软件家族样本或最新的家族变种都可以私信发给笔者感谢给笔者提供样本的朋友们 做安全不忘初心与时俱进方得始终
