Linux服务器BPF后门的分析与应急

已于 2023-07-27 10:43:00 修改
阅读量497 收藏
点赞数
分类专栏: Linux服务器安全 文章标签: 服务器 运维
于 2023-07-20 17:11:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43312649/article/details/131834873
版权
本文深入解析了APT组织Red Menshen利用的BPFDoor恶意软件,该后门通过内核加载数据包过滤器实现。讨论了BPF指令的结构和功能,并详细介绍了如何识别和定位BPFDoor,包括setsockopt函数在加载过滤器中的作用。此外,提供了应急溯源的方法,如使用ss命令检查带有BPF过滤器的进程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Red Menshen(又称DecisiveArchitect或Red Dev 18)是一个针对中东和亚洲国家利益的APT组织,一直在不断改进其BPFDoor。BPFDoor最有趣的功能是它能够在操作系统内核中加载数据包过滤器。

解读BPF

Linux中大量使用BPF的库是libpcap库,它由tcpdump等程序使用。事实上,你可以使用tcpdump中的-d选项生成BPF过滤器指令。
在这里插入图片描述
内核实现了一个虚拟机来理解这段代码。这些指令代表的BPF过滤器字节码也可以通过-dd选项查看。每个经典BPF指令都是8字节长。其中0x28代表load加载。0x15代表jmp跳转。BPF指令的逻辑就是通过判断逻辑过滤数据包字段、分支跳转实现对流量的过滤功能。
在这里插入图片描述
bpf_asm 翻译为“操作码”的程序是一个由以下元素组成的数组(如前所述):
op:16, jt:8, jf:8, k:32
元素op是一个16位宽的操作码,编码了特定的指令。jt和jf是两个8位宽的跳转

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Linux性能调优之使用BPF工具观测CPU性能指标
山河已无恙
10-23 1230
博文内容涉及工具来自一书,CPU性能指标涉及:系统短期创建的线程进程跟踪进程线程的CPU运行时长,脱离时长统计线程的运行队列长度,等待延时时间,有多少线程在等待,多核队列是否均衡线程运行调用栈和脱离调用栈跟踪线程 软硬中断 CPU时间,LLC 三级缓存命中率分析内核态系统调用跟踪分析理解不足小伙伴帮忙指正 😃,生活加油喜欢文字的人,大多敏感且心软,忽然不快乐忽然被回忆揪住心脏忽然沉默到泪流。
红队专题-Perm权限提升维持隐匿Privilege Escalation
aming小老弟
10-27 1425
高权限不仅能对更多文件进行增删改查的操作,方便进一步收集主机系统中的敏感信息, system权限也可以提取内存中的密码Hash,为进一步的渗透提供更多信息。权限提升是从初始访问权限(通常是标准用户或应用程序帐户)一直提升到administrator, root甚至SYSTEM访问权限的艺术。常见技术或攻击手段来获得高权限帐户访问权限。用于检测和利用不同权限提升技术的手动方法,但会提到可以完成相同工作并节省您一些时间的自动化工具。 完美,它指向我们的有效负载。 使用net(也是默认安装的)启动此服务以获得
Linux服务器各种后门查杀
有勇气的牛排博客
03-22 7465
hack再攻击我方服务器的时候,一般都会选择使用kali中的各种扫描工具,或其他自动脚本,对所有路由扫描排查,尤其是 /admin之类的敏感路由,当然大规模扫描也容易在日志中分析出来,访问量统计会非常明显,个人在接触网络安全后,发现很多脚本喜欢扫描php后台项目部署后,如果不是因为基础错误而崩溃的话,往往是被人大规模扫描了。
黑客利用 Linux eBPF 技术传播恶意软件
最新发布
分享web安全、AI安全、云安全、业务安全、渗透测试、安全开发、安全工具、行业动态等优质内容……
12-20 652
网络安全研究人员发现了一个利用 eBPF 技术并针对全球企业和用户的活跃 Linux 恶意软件活动。黑客正在滥用 eBPF 的低级功能来隐藏活动、收集数据和绕过安全措施,使检测变得具有挑战性。攻击者使用 eBPF Rootkit 来隐藏其存在,并丢弃能够隧道传输流量并在专用网络内保持通信的远程访问木马。恶意软件配置存储在 GitHub 和博客等公共平台上,而不是私人服务器,将恶意活动伪装成合法活动。
新的 Linux 恶意软件框架允许攻击者在目标系统上安装 Rootkit
热门推荐
网络研究观
07-23 1万+
一种前所未见的 Linux 恶意软件因其模块化架构和安装 rootkit 的能力而被称为“瑞士军刀”。
Symbiote:一个针对拉丁美洲金融部门的隐形 Linux 恶意软件
qzt961003的博客
06-10 223
网络安全研究人员揭开了他们所谓的“几乎不可能检测到”的 Linux 恶意软件的面纱,这种软件可以被武器化,用于后门受感染的系统。 这种被威胁情报公司 BlackBerry 和 Intezer 称为“共生体”(Symbiote)的隐形恶意软件之所以得名,是因为它能够将自己隐藏在正在运行的进程和网络流量中,像寄生虫一样耗尽受害者的资源。...
服务器后门
06-05
服务器后门
服务器后门(cmd使用)
03-24
服务器后门
神奇的BPF四 用bpftrace 开个后门
03-13 869
一 前言前面的文章聊到bpftrace,这是个强大简洁的编写bpf程序的利器,内部的语法看起来比较容易,功能一点也不弱,比如我们想查看现在系统中谁在执行什么程序:[root@localho...
检查服务器后门、入侵
weixin_30709061的博客
01-21 584
检查服务器后门、入侵 下图是单lastb命令显示出来的内容(就是说试着用哪个用户登录的) 下图是lastb -a显示出来的内容(就是说试着用哪个用户登录的,而且带“对方”的IP) 网站后门检测: ...
服务器后还有一系列留后门,服务器留隐蔽后门
weixin_30744857的博客
08-10 470
服务器留隐蔽后门 内容精选换一换修改裸金属服务器名称。裸金属服务器名称取值范围:只能由中文字符、英文字母(a~z,A~Z)、数字(0~9)、下划线(_)、中划线(-)、点(.)组成,且长度为[1-63]个字符。本接口只修改裸金属服务器的实例名称,但hostname不能同步修改。重启裸金属服务器后生效。PUT /v1/{project_id}/baremetalserve查询云服务器详情信息列表。您...
云原生之容器安全实践
jishulaozhuanjia的博客
03-14 386
个人博客导航页(点击右侧链接即可打开个人博客):大牛带你入门技术栈 概述 云原生(Cloud Native)是一套技术体系和方法论,它由2个词组成,云(Cloud)和原生(Native)。云(Cloud)表示应用程序位于云中,而不是传统的数据中心;原生(Native)表示应用程序从设计之初即考虑到云的环境,原生为云而设计,在云上以最佳状态运行,充分利用和发挥云平台的弹性和分布式优势。 ...
简单清理服务器后门
weixin_34249367的博客
06-30 450
很多情况下,和别人共用一个服务器,大家都知道root权限,或者有时候给别人提供了root权限,这样虽然很方便,但是后果是很严重的,尽管现在这台服务器上没有特别重要的数据,但是以后呢? 你愿意在这台服务器上跑关键业务吗?或者就算是跑简单的业务,你愿意吗? 很多人的答案是否定的,因为别人拥有root权限的时候,他可以对服务器做很多操作,包括留下后门。这样这台服务器就不安全了,...
服务器有木马后门如何查找SSH后门
网站安全专家
08-30 458
如果计算机多出来的用户,它一定在这里仔细排查这些账户,如果不是公司使用的账户,那么及时和运维确认,看一下普及一下后边的一个小知识。当然还有一些其他的第二个bin files,这个就是不可登录的账户,比如这个账户它虽然存在,但是以这个为后缀的是不能登录的,可以看看最近的登录记录命令为last,看有无可以人员的登录,然后对比下bin目录下的bash有无被替换,然后再看下sshd的进程有无向外自动连接之类的,如果还是找不到服务器中的木马后门的话可以向网站漏洞修复服务商SINE安全寻求技术支持。...
Windows留后门--教程(三)——Windows服务后门
W小哥
03-16 7205
一、Windows服务后门介绍 在Windows系统中还有一个重要的机制,就是服务。通常大部分的服务都拥有SYSTEM权限,如果攻击者利用Windows的服务机制创建一个后门服务,那么这个后门将比一般的持久化方法更为强健。 二、Windows服务后门-教程 前提条件: 假设在攻击的过程中通过利用各种getshell,已经拿到目标服务器administrator权限 靶机: windows Server2012 IP: 192.168.226.128 攻击机: kali IP: 192.168.226.131
Linux kernel 4.20 BPF 整数溢出漏洞分析
weixin_42177005的博客
11-22 753
Linux kernel 4.20 BPF 整数溢出漏洞分析 该漏洞的发现者是ww9210师傅 漏洞影响的范围是Linux Kernel 4.20rc1-4.20rc4,主要Linux发行版并不受其影响。 基于linux-4.20-rc3版本代码:https://elixir.bootlin.com/linux/v4.20-rc3/source 这里主要参考P4nda师傅、钞sir师傅和bsauc...
BPF-HookDetect:内核Rootkit检测利器
gitblog_00736的博客
09-28 1049
BPF-HookDetect:内核Rootkit检测利器 bpf-hookdetect Dectect syscall hooking using eBPF 项目地址: https://gitcode.com/gh_mirrors...
Linux常见后门(非常详细)零基础入门到精通,收藏这一篇就够了
Libra1313的博客
05-07 4094
Rootkit 是网络犯罪分子用来控制目标计算机或网络的软件。Rootkit 有时可以显示为单个软件,但通常由一系列工具组成,这些工具允许黑客对目标设备进行管理员级控制。黑客通过多种方式在目标计算机上安装 Rootkit:最常见的是通过网络钓鱼或其他类型的社会工程攻击。受害者在不知不觉中下载并安装隐藏在计算机上运行的其他进程中的恶意软件,并让黑客控制操作系统的几乎所有方面。另一种方法是利用漏洞(即软件或未更新的操作系统中的弱点)并将 Rootkit 强制安装到计算机上。
上手 bpftool
龙瑜的博客
11-22 1万+
bpftool 是什么 bpftool 是一个用来检查 BPF 程序和映射的内核工具。 如何编译安装 bpftool bpftool 源码在 tools/bpf/bpftool 中,直接 cd 到这个路径中,然后执行 make && make install 即可。 这里我使用了 V=1 来输出更详细的信息,过程记录如下: root@debian-10:12:12:04] bpftool # make && make V=1 install make[1]: 进入目录“/ho
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

摔不死的笨鸟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值