Linux 恶意程序分析学习笔记

2015-12-25 441842人围观 ,发现 7 个不明物体 系统安全

原创作者:SecDarker

Linux 下的恶意程序相对windows来说应该是非常少的,在http://malwaredb.malekal.com/ 病毒库网站中几十上百个病毒样本中才会出现一个linux的样本。这里笔者主要是对一些linux样本的特征进行总结并分析来供大家参考学习,欢迎交流哦—。—

0×00常见特征

1. 体积小,功能相对单一

在收集到的几十个样本中,最大的(没有去除符号表)也只有1.8M,如果去除符号表的话只有400K左右,很多病毒甚至只有几K。 且大部分样本都只干一件事,如发起DOS攻击,收集用户信息、某些软件漏洞的POC等。一般附带一个命令执行接口,来接收黑客下达的指令,并不会像windows下的病毒那样功能丰富,集进程注入,注册表修改,文件修改,进程隐藏,键盘记录,信息收集等与一身。

主要原因:linux对权限控制比较严格,没有root权限没有办法对其他程序进行修改、注入,无法访问一些敏感的文件。 另外linux分支较多,如果内核版本不匹配程序可能因为依赖库版本问题无法执行,所以即使衍生出大量其他程序也未必能执行。

2. 工具化,带有命令选项

Linux下的病毒,有些能够接受不同的命令选项,就像linux下的工具那样,不像windows下那样只要运行起来就好了。这样方便更好的与其他程序联动,更利用bash脚本组合多个病毒一起工作。

3. 加壳一般使用UPX

在收集到的样本中,几款被加壳的样本都使用UPX进行加壳,暂时没有发现使用其他壳。

4. 僵尸网络,发起DOS攻击

收集到的样本中,发现带有DOS攻击功能的样本比例很高。因为linux用作服务的场景较多,网络性能,处理器性能,内存性能都比较好,并且有些网络管理员并不经常查看系统,所以很适合作为僵尸机,发起DOS攻击。 同时目前网游,电子支付等在linux下使用的较少,没有发现有样本有盗号行为, 对linux服务器来说,最有价值的东西就是数据库,黑客在拖库之后,为了最大化利用资源,作为DOS僵尸机是一个最好的用途。

5. 命令执行,调用system函数

作为后门,同时也作为下发一些攻击命令的通道。

6. 收集用户的信息,通常为root账号密码

有些情况下,程序并不运行在root权限下。 但是通过收集一些用户的操作指令,可以截获root的账号密码,从而获得root权限。

7. 一些漏洞的POC

Linux下的恶意样本有一大部分是结合常用软件的漏洞来感染的。

8. 难以提取特征函数

Windows下可以总结出一大堆病毒常用的winAPI,但是linux下的病毒基本都使用常用的底层函数,与其他程序并没有太大的区别,难以通过使用的函数来判断病毒。

9. 关键数据加密

病毒通常会对关键数据进行加密,如真实连接的url,IP,执行的命令等信息。

0×01常见的感染方法

1)ELF文件感染

首先病毒须以某种方式寄生于宿主,这就意味着病毒需要修改宿主插入自身代码。当被感染宿主执行时,宿主源代码与病毒体共同映射到程序进程空间,病毒抢先于宿主执行,之后将控制权交还宿主。目前下载到的样本中没有出现此类感染方式的病毒, 该技术比较难实现,并且没有root权限是无法对其他程序进行修改的。

具体原理参考http://www.docin.com/p-825094885.html

2)编译替换可执行程序

这是大部分的感染方式,通过暴力破解,其他软件的漏洞(如网站漏洞上传web shell,远程代码执行等漏洞)获得一定的系统权限。 然后收集系统内核信息,编译对应版本的病毒,通过替换已有进程或者一些随机进程名等方式在系统中运行。通常通过命令方式或者bash脚本方式执行。

3)编译替换SO

通过替换so源码中的一些常用函数,在里面添加恶意的功能,然后替换掉原来的so文件,使得恶意函数被执行。

0×02一些病毒样本分析

1)功能单一、小巧

一款非常轻量级的样本,大小只有13K,只做一件事改写内存分页权限,将内存分页映射到临时文件中,发送文件。 偷取内存信息。

2)工具化

工具化的病毒,有很多执行选项,就像一款黑客工具一样。方便与其他程序联动与bash脚本调用。

与工具不同的是,病毒还开放了远端命令执行接口。通过远端下发命令。

3)命令执行

基本所有的病毒都会开放一个命令执行的接口, 可能是生成一个shell,也可能是简单的执行system,popen,execl等函数。

自己编写shell

使用popen()

使用execl()

通过system()函数执行

4)与漏洞POC结合

php5.x系列/apache远程执行漏洞利用

攻击payload

Centos root提权漏洞POC

5)用户信息收集

6)发起DOS攻击

下载到的样本中会发起DOS攻击的样本占比非常高。通过从服务器获取攻击目标或者接收黑客下发的指令,发起DOS攻击。 同时还会配合修改网络资源使用率信息来隐藏攻击行为。

一些常见的DOS攻击

7)关键数据加密

对关键数据的加密防止黑客的服务器地址被分析,执行的命令被分析。

0×03 Linux 病毒的防范

1)由于 Linux/Unix 系统中的权限限制,可以使病毒不能感染写权限以外的程序。所以加强系统管理,限制用户之间文件的非法拷贝,防止病毒获得 root 权限,可限制病毒的传染规模。
2)及时修复系统提权漏洞与运行在root权限下的程序漏洞,以免恶意软件通过漏洞提权获得root权限传播后门。
3)通过Netlog记录,lsof等,严格监视到到未知web server的连接,防止病毒通过网络更新,或引入新的病毒体。
4)由于病毒体的寄生增加了寄主数据段大小,可用 ls –l 等命令人工检测到。此外,也可用strip 命令优化程序,去掉容易寄生病毒的.note .debug 段.也可使用 ls 对应的系统调用 sys_getdents 编程实现检测文件的大小。
5)病毒的寄生会使程序的入口有所变化,病毒检测程序可以利用程序入口点不在.init 节检 测出。
6)清除病毒:清除掉检测出的被感染的寄主程序,以及病毒体文件。被感染的模块需要用解除重载。

* 作者:SecDarker,本文属FreeBuf原创奖励计划文章,未经许可禁止转载

Loading...
css.php