抓住被恶意隐藏的Linux内核模块

最新推荐文章于 2024-02-03 00:38:30 发布
最新推荐文章于 2024-02-03 00:38:30 发布
阅读量5.4k 收藏 9
点赞数 4
文章标签: 模块隐藏
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dog250/article/details/106064940
版权

前面的文章介绍了一种相对彻底的隐藏Linux内核模块的方法:
https://blog.csdn.net/dog250/article/details/106023941

总结下来就是:

  • 摘除list,使得/proc/modules中不可见。
  • 摘除kobject,使得/sys/modules/中不可见。
  • 摘除depend on,使得依赖模块的/sys/modules/$(depended)/holder/中不可见。
  • 摘除vmap area list/rbtree,使得/proc/vmallocinfo中不可见。

然而还是有办法逮到它,本文描述一种与之对抗的方法。

无论如何,只要黑客没有hook掉module_alloc,那么所有的模块的内核均在以下范围内:

#define MODULES_VADDR    _AC(0xffffffffa0000000, UL)
#define MODULES_END      _AC(0xffffffffff000000, UL)

参见/proc/vmallocinfo文件,所有类似下面的区间,均是一个模块的地址空间:

0xffffffffa037d000-0xffffffffa0382000   20480 module_alloc_update_bounds+0x14/0x70 pages=4 vmalloc N0=4
0xffffffffa0382000-0xffffffffa0387000   20480 module_alloc_update_bounds+0x14/0x70 pages=4 vmalloc N0=4
0xffffffffa0387000-0xffffffffa038c000   20480 module_alloc_update_bounds+0x14/0x70 pages=4 vmalloc N0=4

这些区间其实是由vmap_area结构体组成的链表维护的。

虽然黑客将自己的模块从该链表中摘除,但是其vmap_area在内存分配的时候,依然使用了kmalloc-128这个预制的kmem cache slab,我们了解slab分配的行为,即 在连续的page中分配object。 其首page的objects字段表示从该page开始,page连续的object的数量。

虽然链表摘除了,跑了和尚跑不了庙,page还在!

同时,我们注意到module结构体的module_core字段,其实就是自指到该vmap_area的va_start:

// kernel/module.c ---> move_module:
ptr = module_alloc(...);
mod->module_core = ptr;

有了这些线索,那就来吧,我把下面的代码生成的模块叫做 缉拿模块

#include <linux/module.h>
#include <linux/kallsyms.h>
#include <linux/vmalloc.h>
#include <linux/mm.h>

// 遍历从一个page开始的连续object
#define for_each_object(__p, __s, __addr, __objects) \
	for (__p = (__addr); __p < (__addr) + (__objects) * (__s);\
			__p += (__s))
#define MODULES_VADDR    _AC(0xffffffffa0000000, UL)
#define MODULES_END      _AC(0xffffffffff000000, UL)

// 试着解码module结构体
void get_module(unsigned long *ptr, unsigned long size)
{
	int i;
	unsigned long *base;

	base = ptr;
	size -= PAGE_SIZE;

	for (i = 0; i < size/sizeof(unsigned long); i++) {
		// 找到module的module_core字段的自指。
		// 注意,宁可多,不可少,所以这里不在于准,而在于狠。
		if (*base == (unsigned long)ptr) {
			struct module *mod = container_of(base, struct module, module_core);
			printk("------dubious module base:%llx  mod:%p name:[%s]\n", *base, mod, mod->name);
		}
		base ++;
	}
}

// 编译已知的包含vmap_area连续page中的对象
void list_area(unsigned int size, struct page *page)
{
	void *addr;
	void *va;

	addr = page_address(page);
	for_each_object(va, size, addr, page->objects) {
		struct vmap_area *va1 = (struct vmap_area *)va;
		struct vm_struct *vm = va1->vm;
		// 忽略尚未初始化的对象或者已经释放的野对象
		if ((va1->va_start >= MODULES_VADDR && va1->va_start <= MODULES_END) &&
			(va1->va_end >= MODULES_VADDR && va1->va_end <= MODULES_END) &&
			(va1->va_start < va1->va_end) && vm) {
			printk("vmap_area: %llx -  %llx   %d\n", va1->va_start, va1->va_end, vm->nr_pages);
			get_module((unsigned long *)(va1->va_start), va1->va_end - va1->va_start);
		}
	}
}

static void __init walk_vm_area(void)
{
	struct vmap_area *va, *vtmp;
	struct list_head *_vmap_area_list;
	struct page *page, *prev = NULL;

	_vmap_area_list = (struct list_head *)kallsyms_lookup_name("vmap_area_list");

	list_for_each_entry_safe(va, vtmp, _vmap_area_list, list) {
		page = virt_to_page(va);
		if (page != prev && page->objects != 32767) {
			// sizeof(struct vmap_area)向上的kmalloc slab就是kmalloc-128
			list_area(/*sizeof(struct vmap_area)*/128, page);
		}
	}
	// 这里遗漏了per cpu的slub,待补充!
}

static int __init findmod_init(void)
{
	walk_vm_area();

	return -1;
}

module_init(findmod_init);
MODULE_LICENSE("GPL");

将上述代码编译成findmod.ko,加载之。下面我来解释以下缉拿代码的输出,看看它是如何导出系统中所有的模块的:

...
# bridge 模块的内存段
[  366.721103] vmap_area: ffffffffa0343000 -  ffffffffa0362000   30
# 虽然也是自指,但貌似垃圾数据,无意义。
[  366.721108] ------dubious module base:ffffffffa0343000   mod:ffffffffa0355f80  name:[]
# 虽然也是自指,但貌似垃圾数据,无意义。
[  366.721110] ------dubious module base:ffffffffa0343000   mod:ffffffffa0357b88  name:[pass-vlan-input-dev]
# bridge是一个合理的模块名字,该行大大大概率属于有效模块的module_core字段解析而成,container_of即可decode到module结构体。
[  366.721111] ------dubious module base:ffffffffa0343000   mod:ffffffffa035a1c0  name:[bridge]
# 虽然也是自指,但貌似垃圾数据,无意义。
[  366.721112] ------dubious module base:ffffffffa0343000   mod:ffffffffa035af30  name:[]
# stp 模块的内存段
[  366.721114] vmap_area: ffffffffa033e000 -  ffffffffa0343000   4
# 虽然也是自指,但貌似垃圾数据,无意义。
[  366.721115] ------dubious module base:ffffffffa033e000   mod:ffffffffa033eef8  name:[]
# 虽然也是自指,但貌似垃圾数据,无意义。
[  366.721116] ------dubious module base:ffffffffa033e000   mod:ffffffffa033ef58  name:[]
# stp是一个合理的模块名字,该行大大大概率属于有效模块的module_core字段解析而成,container_of即可decode到module结构体。
[  366.721117] ------dubious module base:ffffffffa033e000   mod:ffffffffa03400e0  name:[stp]
# 虽然也是自指,但貌似垃圾数据,无意义。
[  366.721118] ------dubious module base:ffffffffa033e000   mod:ffffffffa0341020  name:[4\xffffffa0\xffffffff\xffffffff\xffffffff\xffffffff]
# ip_set 模块的内存段
[  366.721119] vmap_area: ffffffffa0376000 -  ffffffffa0380000   9
# 虽然也是自指,但貌似垃圾数据,无意义。
[  366.721121] ------dubious module base:ffffffffa0376000   mod:ffffffffa037a248  name:[ip_set_destroy_set]
# 虽然也是自指,但貌似垃圾数据,无意义。
[  366.721123] ------dubious module base:ffffffffa0376000   mod:ffffffffa037bc28  name:[est]
# ip_set是一个合理的模块名字,该行大大大概率属于有效模块的module_core字段解析而成,container_of即可decode到module结构体。
[  366.721124] ------dubious module base:ffffffffa0376000   mod:ffffffffa037c4c0  name:[ip_set]
# 虽然也是自指,但貌似垃圾数据,无意义。
[  366.721125] ------dubious module base:ffffffffa0376000   mod:ffffffffa037cee8  name:[]
...

为什么会有那么多垃圾数据呢?我们发现每个vmalloc段都是在第三次自指中指向module,我们要不要把前两次和第四次的自指去掉呢?

没必要,这里的目的是要缉拿隐藏模块,当然是不求准,但求狠咯,只要是疑似信息,都应该无一遗漏输出!

接下来,我们用之前文章的方法隐藏一个模块:

[root@localhost test]# lsmod |grep undep
[root@localhost test]# echo $?
1
[root@localhost test]# lsmod |grep nf_conntrack
nf_conntrack          105737  1  # 只有依赖,并不知道是undep在依赖。

用我的新方法找找看:

[root@localhost test]# insmod ./findmod.ko
insmod: ERROR: could not insert module ./findmod.ko: Operation not permitted
[root@localhost test]# dmesg |grep undep
[   56.664671] ------dubious module base:ffffffffa0125000   mod:ffffffffa0127000  name:[undep]

成功缉拿归案!

接下来就可以深入detect这个0xffffffffa0125000地址开始的内存了,此外,0xffffffffa0127000就是undep隐藏模块结构体的地址!

如果你真的去尝试运行上面的隐藏模块缉拿代码,就会发现它偶尔(概率还是比较大的)会导致宕机,也就是说加载缉拿模块的时候,会宕机,这是为什么呢?

很正常,在杀毒领域,打架是必须的。互搏的结局经常是玉石俱焚。在前文我那个undep隐藏模块中,在 摘除vmalloc关系链,使得/proc/vmallocinfo中不可见 这一步,有以下的代码:

// rbtree中摘除,无法通过rbtree找到
rb_erase(&va->rb_node, _vmap_area_root);

这句代码其实效果很牛X。

已经分配的vmap_area是通过rbtree关联的,既然rbtree中找不到了,那么在缉拿模块本身载入内存分配它自己的时候,它就有可能将undep隐藏模块的内存当做是free,从而抢占掉它的内存,导致踩内存或者缉拿模块覆盖掉隐藏模块!

牛X的地方在于,这对于undep来讲是一种 自毁机制 !只要有缉拿模块来抓它,它就让缉拿模块本身大概率覆盖掉它,让缉拿模块自己咬到自己的舌头。

这就体现了左右互搏的残酷性和背后的精彩。

当然了,由于两个模块都是我自己写的,我当然一下子就知道问题出在哪里,如果攻防双方素不相识,那才是有趣的事情!

有人可能会有疑问,我这么攻防折腾有意义吗?没意义,但有意思。

浙江温州皮鞋湿,下雨进水不会胖。

dog250
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
隐藏内核模块的方法
06-30 1889
在rootkit.com上一个russian hacker发的文章中提到这两种方法,和他交流了下,在llroot中实现了,代码贴出来灌水:/********************************************************************************** The following routines implement hide dri
隐藏自己的Linux内核模块
Netfilter
05-09 5644
前面我提倡使用oneshot模式加载模块,即让模块在init函数中把事情做完后就return -1,这样系统中便不存在这么一个模块,也就不需要隐藏了。 但是,由于THIS_MODULE宏的存在,我们发现实际上隐藏一个模块是多么地简单。事实上,模块可以在init函数中通过THIS_MODULE宏实现自隐藏的。 既然如此简单,还费事搞oneshot干嘛,精神洁癖总是不想看到return -1。 和进程隐藏完全不同,进程无法自己隐藏自己,只能依靠其它模块找到相应的task_struct,然后再摘链。 THIS_M
隐藏内核模块
weixin_33744854的博客
06-12 502
四、隐藏内核模块 对于内核模块,我原以为IS会通过获取内核变量PsLoadedModuleList,然后在通过这个来遍历所有的内核模块。假设此时获得结果1。通过调用函数NtQuerySystemInformation,参数SystemModuleInformation,假设此时获得结果2。再把结果1与结果2进行比较,这样就会发现被隐藏模块。但事实证明我想的太复杂...
linux2.4内核模块隐藏,Linux环境下的高级隐藏技术
weixin_30490029的博客
04-29 185
linux相关资料由兄弟连www.itxdl.cn官方分享摘要:本文深入分析了Linux环境下文件、进程及模块的高级隐藏技术,其中包括:Linux可卸载模块编程技术、修改内存映象直接对系统调用进行修改技术,通过虚拟文件系统proc隐藏特定进程的技术。隐藏技术在计算机系统安全中应用十分广泛,尤其是在网络攻击中,当攻击者成功侵入一个系统后,有效隐藏攻击者的文件、进程及其加载的模块变得尤为重要。本文将讨...
Linux 隐藏驱动模块
qq_42931917的博客
09-09 5035
如果作为恶意驱动的话,肯定是希望自己模块加载之后不会被发现,那么就需要对安装的模块进行隐藏(其实就是让你使用查找命令找不到),使用以下函数在驱动初始化入口进行摘链+kobject_del()函数删除当前模块的kobject就可以起到在/sys/module中隐藏。 list_del_init(&__this_module.list); test.c #include <linux/module.h> MODULE_LICENSE("GPL"); MODULE_AUTHOR("cur
恶意Linux内核模块是如何工作
03-04
如果在入侵事件调查中,传统的工具完全失效了,该怎么办?当在对付入侵者已经加载的内核 模块时,就陷入了这种困境。...本文将揭示恶意内核模块 如何工作,并且给出一些我开发的对付此类入侵的工具。
恶意Linux内核模块如何工作的
03-04
LKM的存在对系统管理员是个福音,对入侵检测却是个...此外,由于内核模块能够访问内核的所 有调用和存储区,它能不受控制地改动整个操作系统的各个部位,因而所有调用和内存常驻的结构都有被恶意内核模块修改的危险。
linux 内核模块编程指导
04-28
* 提高安全性:Linux 内核模块编程可以实现安全机制,保护系统免受恶意攻击。 Linux 内核模块编程的基本概念 Linux 内核模块编程涉及到多个基本概念,例如: * 内核模块Linux 内核模块Linux 操作系统内核的...
Linux系统内核的沙箱模块实现.pdf
09-07
* Linux内核模块的开发和实现 * 沙箱机制的设计和实现 * 应用程序的隔离和限制 * 系统安全性的增强 * 测试和 debug环境的提供 Linux系统内核的沙箱模块实现是一种强有力的安全机制,能够防止潜在的攻击和入侵,提高...
nosmep:用于禁用 SMEP 的 linux 内核模块
06-15
标题 "nosmep:用于禁用 SMEP 的 Linux 内核模块" 提及的核心知识点是 SMEP(Supervisor Mode Execution Prevention)以及如何通过一个特定的内核模块来控制这一功能。SMEP 是一项硬件安全特性,由 Intel CPU 引入,...
Casper-fs:一款功能强大的自定义隐藏Linux内核模块生成器
阿道夫的博客
01-29 325
针对lsmod的casper-fs模块可见操作密码为“Shazam”;将casper-fs改为不可见的操作密码为“AbraKadabra”;将敏感文件隐藏的操作密码为“Alakazam”,改为显示的操作密码也是“Alakazam”;文件的保护和解保护操作密码为“Sesame”;
揭示恶意Linux内核模块是如何工作
10-22 2061
如果在入侵事件调查中,传统的工具完全失效了,你该怎么办?当我在对付入侵者已经加载的内核模块时,就陷入了这种困境。由于从用户空间升级到了内核空间,LKM方式的入侵改变了以往使用的入侵响应的技术。一旦内核空间遭破坏,影响将覆盖到整个用户空间,这样入侵者无须改动系统程序就能控制他们的行为。而用户即使将可信的工具包上传到被入侵的主机,这些工具也不再可信。下面我将揭示恶意内核模块如何工作,并且给出一些我开
linux隐藏文件导出,看我如何通过Linux Rootkit实现文件隐藏
weixin_36296063的博客
04-28 667
预估稿费:180RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿前言一直以来,我希望能深入了解Linux内核内部是如何工作的。为实现这一点,有一个比较好的思路是写一个小的Rootkit PoC。大家可以在这里找到相关Rootkit代码。这是一个非常简单的Rootkit。其功能是,隐藏特定前缀的文件使其不可见。然而,假如我们知道这些文件或文件夹的位置,就仍然可以访问它们。但...
linux显示内核模块的命令,在Linux系统中使用Lsmod命令列出内核模块(Kernel Modules)...
weixin_29288653的博客
04-28 894
lsmod是一个命令行实用程序,用于显示有关已加载的Linux内核模块(Kernel Modules)的信息。本文介绍内核模块的概念和在Linux操作系统中使用Lsmod命令列出内核模块的方法。内核模块(Kernel modules)概念介绍内核是操作系统的核心组件,它管理操作系统的资源,并且是计算机硬件和软件之间的桥梁。Linux内核具有模块化设计,内核模块(通常称为驱动程序)是一段扩展内核功能...
(渗透测试后期)Linux进程隐藏详解
热门推荐
qq_42882717的博客
03-27 1万+
文章目录(渗透测试后期)Linux进程隐藏详解前言Linux进程基础Linux进程侦查手段Linux进程隐藏手段一、基于用户态的进程隐藏方法1:小隐隐于/proc/pid——劫持readdir系统调用额外:加载至arm方法2:小隐隐于/proc/pid——mount 挂载二、基于内核态的进程隐藏方法3:大隐隐于内核——修改内核源码+系统调用方法4:大隐隐于内核——修改内核源码proc_pid_lookup方法5:大隐隐于内核——编写驱动/内核模块——LKM实现进程隐藏总结 (渗透测试后期)Linux进程隐藏
04 模块基础 隐藏模块
最新发布
这是一个c++热爱者的博客哟
02-03 781
sysfs 与 procfs 相类似,同样是一个基于 RAM 的虚拟文件系统,它的作用是将内核信息以文件的方式提供给用户程序使用,其中便包括我们的 rootkit 模块信息,sysfs 会动态读取内核中的 kobject 层次结构并在。简单测试,我们可以发现无论是在 procfs 中还是 sysfs 中都已经没有了我们的 rootkit 的身影,而提权的功能依旧正常,我们很好地完成了隐藏模块的功能。的身影,而提权的功能依旧正常,我们很好地完成了隐藏模块的功能。来获取当前内核模块的 module 结构体,
linux内核模块编程
12-15 145
主题: linux内核模块的程序结构--模块加载函数(必须),模块卸载函数(必须),模块许可证声明(必须),模块参数(可选),模块导出符号(可选),模块作者的等信息声明(可选) 一个linux内核模块主要由以下几个部分组成。1、模块加载函数"用module_init()来指定"(必须)   当通过insmod和modprobe命令加载内核模块时,模块的加载函数会自动被内核执行,完成本模块的相关初...
再谈Linux内核模块注入(没有kernel header也能hack kernel)
Netfilter
05-07 5552
在前面的一篇文章中,我简单描述了一种Linux内核模块注入的方法: https://blog.csdn.net/dog250/article/details/105978803 本文,我们抛开Rootkit这个刺眼的字样,看看这种注入机制还有什么新的玩法。 我们知道,编写Linux内核模块必须要有对应版本的kernel header,并且版本号必须100%匹配,一个字都不能差,这对Linux内核模...
kernel-modules-in-rust-lssna2019.pdf
04-01
kernel-modules-in-rust-lssna2019.pdf

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值