疫情还没有结束,放假只能猫家里继续分析和研究最新的攻击技术和样本了,正好前段时间群里有人说服务器被黑,然后扔了个样本在群里,今天咱就拿这个样本开刀,给大家研究一下这个样本究竟是个啥,顺便也给大家分享一些关于Linux Rootkit恶意软件方面的相关知识点吧。
当然应对Linux入侵时我们也可以使用一些自动化的安全工具协助排查溯源 并进行安全加固
免责声明:本文介绍的安全知识方法以及代码仅用于渗透测试及安全教学使用,禁止任何非法用途,后果自负 前言:作者最近在学习有关linux rootkit的原理与防范,在搜索资料中发现,在freebuf上,对rootkit进行介绍的文章并不是很多。在此我斗胆献丑,总结了下我最近的学习收获,打算发表一系列关于linux rootkit的文章在freebuf上,希望能够帮助到大家。 对于这个系列文章,我的规划如下:这一系列文章的重点集中在介绍linux rootkit中最讨论最多也是最受欢迎的一种:loadable
2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。
rkhunter是Linux系统平台下的一款开源入侵检测工具,具有非常全面的扫描范围,除了能够检测各种已知的rootkit特征码以外,还支持端口扫描、常用程序文件的变动情况检查。
Vegile是一款针对Linux系统设计和开发的强大后渗透测试工具,该工具所提供的后渗透利用技术可以确保广大研究人员保持一定程度的访问权,并允许对目标可信网络执行更加深入的渗透测试与安全分析。
本文由马哥教育Linux云计算面授班24期学员推荐,转载自互联网,作者为高俊峰,Linux资深技术专家,畅销书籍《循序渐进Linux》、《高性能Linux服务器构建实战》作者,内容略经小编改编和加工,观点跟作者无关,最后感谢作者的辛苦贡献与付出。 安全是IT行业一个老生常谈的话题了,从之前的“棱镜门”事件中折射出了很多安全问题,处理好信息安全问题已变得刻不容缓。 因此做为运维人员,就必须了解一些安全运维准则,同时,要保护自己所负责的业务,首先要站在攻击者的角度思考问题,修补任何潜在的威胁和漏洞,主要分五
1、Lacework Labs在Avast公司的同事最近初步的鉴定基础之上,标识出与 HCRootkit / Sutersu Linux Rootkit活动相关的新样本和基础设施。
https://www.tecmint.com/best-antivirus-programs-for-linux/
安全是IT行业一个老生常谈的话题了,从之前的“棱镜门”事件中折射出了很多安全问题,处理好信息安全问题已变得刻不容缓。
◆ 概述 病毒和恶意软件越来越成为计算机系统的最大的威胁,近年来,随着linux系统在云计算和企业服务中的应用越来越广泛,对针linux系统的病毒和恶意软件也越来越多,因此,如何保护你的计算机免受病毒的威胁,成为一个重要的话题。针对计算机的防护,杀毒软件是一个重要手段,下面我们列出一些你可以获得的最好的免费防病毒软件。 ◆ 适用于 Linux 的最佳防病毒软件 1. ClamAV ClamAV 是一款开源防病毒软件,可检测病毒、恶意软件、特洛伊木马和其他威胁,它也免费提供,这使其成为 Linux 上最好的防
安全是IT行业一个老生常谈的话题了,从之前的“棱镜门”事件中折射出了很多安全问题,处理好信息安全问题已变得刻不容缓。因此做为运维人员,就必须了解一些安全运维准则,同时,要保护自己所负责的业务,首先要站在攻击者的角度思考问题,修补任何潜在的威胁和漏洞。
据The Hacker News网站消息,威胁情报和事件响应公司 Mandiant发现,一个未知的黑客组织部署了以Oracle Solaris 系统为目标的新型Rootkit,其目的是破坏ATM网络,并使用虚假的银行卡在不同的银行进行未经授权的取款。
Lacework Labs 最近发现了一个新的在野 Rootkit。除了释放的内核模块和用户态样本文件外,还针对 Dropper 进行了深入了解。
internet Storm Center安全专家近日发表一篇报告,报告中称在linux系统中发现基于ssh服务的rootkit,使用RPM安装的系统会受到影响。 报告中指出目前rootkit支持三个命令:Xver、XCAT、Xbnd,第一个命令打印rootkit版本,xCAT打印数据在会话中,并传回给攻击者,Xbnd命令设置一个监听器。 该rootkit会替换服务器中的libkeyutils库,主要功能包括收集用户凭据,除账号密码之外,还可以收集RSA和DSA的私有密钥。 通过以下命令可以查看服务器是
还记得 2016 年那个著名的 Linux 内核级漏洞 Dirty Cow(脏牛)吗?2016 年 10 月,研究人员发现 Linux 内核的内存子系统在处理写时拷贝(Copy-on-Write)时存
关于TripleCross TripleCross是一款功能强大的Linux eBPF安全研究工具,该工具提供了后门、C2、代码库注入、执行劫持、持久化和隐蔽执行等功能。 功能介绍 1、使用一个代码库注入模块通过往进程的虚拟内存中写入命令来执行恶意代码; 2、提供了一个行劫持模块,用于修改传递给内核的数据以执行恶意程序; 3、提供了一个本地权限升级模块,允许使用root权限运行恶意程序; 4、提供了具有C2功能的后门,可以监控网络并执行从远程rootkit客户端发送的命令。它包含多个激活触发器,
在计算机的发展史上,恶意软件和病毒攻击层出不穷。Linux的安全问题始终未能在大众范围里引起注意。但对于专业人士而言,Linux系统上的攻击虽然隐藏在水面之下,威胁却与日俱增。
作为拥有着10年经验的渗透安全测试工程师,一路也是从小白历经磨难成长起来的我,给现在的新手小白一些建议。渗透安全的范围其实要学习的东西很广泛的,比如系统安全、移动安全、无线安全、web安全等很多方向。
利用系统的定时任务功能进行反弹Shell 1、编辑后门反弹 vim /etc/.backshell.sh
作者简介:许庆伟,Linux Kernel Security Researcher & Performance Develope 如今,云原生平台越来越多的使用了基于eBPF的安全探测技术。这项技术通过创建安全的Hook钩子探针来监测内部函数和获取重要数据,从而支持对应用程序的运行时做监测和分析。Tracee是用于Linux的运行时安全和取证的开源项目,它基于eBPF实现,所以在安全监测方面效果更加优化。 在本文中,我们将探索控制eBPF事件的方法,并研究一个使用BPF事件捕获rootkit的案例。Root
近期,网络安全研究人员详细介绍了一项可能针对东南亚实体的新型攻击活动,该活动可能使用以前无法识别的Linux恶意软件,除了收集凭据和充当代理服务器外,还可以远程访问其运营商。
一、分析背景 近日,国际知名安全厂商趋势科技发布了名为《ZNIU: First Android Malware to Exploit Dirty COW Vulnerability》(ZNIU:第一种利用“脏牛”漏洞的安卓恶意软件)的分析报告。“脏牛”(Dirty COW)CVE-2016-5195漏洞是去年10月爆出的在Linux内核存在九年之久的提权漏洞,研究人员当时表示,攻击者可以利用该漏洞攻击Linux服务器,Linux随即发布补丁修复漏洞。 由于安卓操作系统基于早期的Linux内核,“脏牛”还可能
HVV行动已经进行到了11天,处置的工作明显增多,随着各种情况发生,所以这两天分别整理一些关于Linux和Windows的排查手册。
此事件是去年应急处置时完成的报告,距今有半年时间了。一直存在电脑里,最近准备完善应急响应中遇到的各类安全事件,这篇文章作为这一系列的开端。
如今木马后门已完全可以运行在电脑的显卡中,这种独特的运行方式增强了它们的隐匿性,同时还大大提高了恶意行为的执行性能。 基于GPU的恶意软件 最近,开发人员发布了两款概念验证性的恶意软件——Jellyfish rootkit和Demon键盘记录器,这两款恶意软件的运行并不是利用电脑的CPU,而是利用图像处理器GPU。这种恶意软件能够利用GPU实现比特币挖矿机,性能更高。 两名匿名开发者对该Rootkit(木马后门)的描述: 请输入内容“Jellyfish是一个基于Linux的用户态GPU rootkit概
本节的内容以知识为主,比较少技巧和经验。读者只需要了解,不需要熟练。如果你熟悉x86架构,请直接跳过这节。
该款木马分析文章在2015年由@PETER KÁLNAI 最先发表于AVAST的公开blog中,木马的架构严谨,设计精良,应该是产业化的一部分。接下来我们就来看一下这款木马的具体的感染,命令执行和持久化的思路,希望能给我们搞防御的小伙伴扩充一点防御思路。 安装脚本&感染媒介 木马的最初感染方式十分传(dou)统(bi),他是通过暴力登录SSH服务获取root权限的方式来成功搞下感染体的(这里就体现了一个高质量的字典的重要程度了)。成功拿下root权限之后,攻击者就会向目标机器通过shell的方式利用脚本
1 KubeCon会议:攻击者如何使用暴露的 Prometheus 服务器来利用 Kubernetes 集群 2022年KubeCon会议的议题之一,介绍攻击者如何使用暴露的 Prometheus 服务器来利用 Kubernetes 集群,本文在演示环境中执行了所有测试 https://zone.huoxian.cn/d/1333-kubecon-prometheus-kubernetes 2 When it’s not only about a Kubernetes CVE 本文介绍了CVE-2020-8
1、常规MSF后门-分析检测 2、权限维持后门-分析检测 3、Web程序内存马-分析检测 常见工具集合: https://mp.weixin.qq.com/s/L3Lv06bFdUX_ZE4rS69aDg
*本文原创作者:熊猫正正 ,本文属FreeBuf原创奖励计划,未经许可禁止转载 一、起因 上周五晚上,前同事丢给我一个样本,让我帮他分析一下,周未有事也没时间看,只是把样本丢到VT上扫了扫,报XorDDos.2,原来是14年就出现的XorDDos样本的变种,晚上没玩LOL,把样本详细分析一下,写了这篇报告,欢迎学习交流,顺便赚点奶粉钱,呵呵。 二、样本简介 XorDDos类型样本主要特点,用暴力猜解目标机器ssh弱密码的方式,入侵目标机器
IT行业发展到现在,安全问题已经变得至关重要,从“棱镜门”事件中,折射出了很多安全问题,信息安全问题已变得刻不容缓,而做为运维人员,就必须了解一些安全运维准则,同时,要保护自己所负责的业务,首先要站在攻击者的角度思考问题,修补任何潜在的威胁和漏洞。 一次Linux被入侵后的分析 下面通过一个案例介绍下当一个服务器被rootkit入侵后的处理思路和处理过程,rootkit攻击是Linux系统下最常见的攻击手段和攻击方式。 1、受攻击现象 这是一台客户的门户网站服务器,托管在电信机房,客户接到电信的通知:由于
如果我们想注入一个Rootkit到内核,同时不想被侦测到,那么我们需要做的是精妙的隐藏,并保持低调静悄悄,这个话题我已经谈过了,诸如进程摘链,TCP链接摘链潜伏等等,详情参见:https://blog.csdn.net/dog250/article/details/105371830
研究人员在Blackhat欧洲会议上发言:Kubernetes 被入侵通常会导致攻击者创建加密货币挖矿容器,但实际结果可能会更糟糕。例如,rootkit 成功入侵 Kubernetes 集群可能会让攻击者在系统上隐藏恶意容器。
在过去的8年里,卡巴斯基全球研究与分析团队观察到,越来越多的APT组织开始针对运行Linux软件的设备。
通过渗透拿到权限之后,为了不让权限丢失,都会进行权限维持,而在进行权限维持的时候,红队需要花费大量的时候,来验证是否合适,因此在这款工具就诞生 HackerPermKeeper[黑客权限保持者]
IT行业发展到现在,安全问题已经变得至关重要,从最近的“棱镜门”事件中,折射出了很多安全问题,信息安全问题已变得刻不容缓,而做为运维人员,就必须了解一些安全运维准则,同时,要保护自己所负责的业务,首先要站在攻击者的角度思考问题,修补任何潜在的威胁和漏洞。
IT行业发展到现在,安全问题已经变得至关重要,从最近的“棱镜门”事件中,折射出了很多安全问题,信息安全问题已变得刻不容缓,而做为运维人员,就必须了解一些安全运维准则,同时,要保护自己所负责的业务,首先要站在攻击者的角度思考问题,修补任何潜在的威胁和漏洞。 一次Linux被入侵后的分析 下面通过一个案例介绍下当一个服务器被rootkit入侵后的处理思路和处理过程,rootkit攻击是Linux系统下最常见的攻击手段和攻击方式。 1、受攻击现象 这是一台客户的门户网站服务器,托管在电信机房,客户接到电信的通
当一个公司被高级恶意软件感染,一个正确的应急响应应该是去识别恶意软件和修复系统,建立更好的安全控制体系来防止未来此类 事故的发生。在这篇文章中会介绍使用“内存取证”技术来检测高级的恶意软件感染,并且学会如何使用内存取证工具比如Volatility在真实的环境中检测恶意软件。 内存技术是指从运行的电脑中取出内存镜像来进行分析的技术,其在应急响应和调查中扮演一个很重要的角色。它能够从计算机内存中提取取证线索,比如运行的进程,网络连接,加载的模块等等 ,同时他能够帮助脱壳,Rootkit检测和逆向工程。 内存
针对蓝队的一些Linux应急响应的一些常规的命令以及一些思路总结一下分享给大家,内容稍长,可以收藏以备不时之需。
Linux库文件劫持这种案例在今年的9月份遇到过相应的案例,当时的情况是有台服务器不断向个可疑IP发包,尝试建立连接,后续使用杀软杀出木马,重启后该服务器还是不断的发包,使用netstat、lsof等常用系统命令无法查看到相应的PID。这样的话就无法定位到相应的进程,协助处理,怀疑中了rootkit,使用rkhunter进行查杀,未杀出rootkit。以为是内核的问题导致无法查看到相应进程的PID,就没有深入分析。
我的意思是,你想让系统以及task的CPU利用率是多少它就是多少,一切都是由你的程序自己来 调制演奏。 这需要一种自指机制。
sandfly-entropyscan是一款功能强大的熵扫描工具,该工具可以用于检测与恶意软件相关的打包文件或加密二进制文件。除此之外,该工具还支持查找恶意文件和Linux进程相关的安全信息,并提供带有加密哈希的输出结果。
全球网络安全公司Positive Technologies发布了一份新的调查报告,对过去10年臭名昭著的恶意软件——Rootkit进行了详尽分析。
微软表示,Windows 11具有旨在通过使用硬件隔离、无密码身份验证和云安全等技术来保护用户免受在线攻击的功能。这就是该公司表示新的Windows 11更新可以将恶意软件减少60%的原因。
持久化后门是指当入侵者通过某种手段拿到服务器的控制权之后,通过在服务器上放置一些后门(脚本、进程、连接之类),来方便他以后持久性的入侵,简单梳理一下日常遇见windows用的比较多的一些持久化方式方便以后排查问题使用.
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM
