linux木马网络行为分析,研究人员揪出潜伏在Linux系统中长达3年的木马程序

最新推荐文章于 2023-12-21 23:48:49 发布
最新推荐文章于 2023-12-21 23:48:49 发布
阅读量154 收藏
点赞数
文章标签: linux木马网络行为分析

5312bbb629ff999bb2c2e7477ff12b65.png

中国安全企业360旗下的网络安全研究实验室Netlab在本周指出,有一木马程序RotaJakiro潜伏在Linux系统中至少长达3年。

根据Netlab的分析,RotaJakiro为一针对Linux x64系统的木马程序,它使用轮替加密,而且在执行后对于Root或非Root账户有不同的行为,犹如Dota游戏中的双头龙(Jakiro),使得该团队将它命名为RotaJakiro。

RotaJakiro不仅以AES来加密恶意程序内的信息,其与命令&控制(C&C)服务器的通信,更采用了AES、XOR、ROTATE与ZLIB压缩等加密算法,此外,RotaJakiro支持12种指令,其中有3种是执行特定的插件程序,Netlab团队目前尚未得知RotaJakiro的目的,推测其指令可能具备回应设备信息、窃取机密信息、查询/下载/删除文件,以及执行特定插件程序等功能。

Netlab团队关注到RotaJakiro的C&C服务器,发现这些服务器存在的年代更久,在他们取得的4个RotaJakiro样本中,最早的一个是在2018年创立,而其C&C服务器最早创建的日期,却是在2015年。

9cd84be324f08730241ed4fea65a23ee.png

图片来源/Netlab

此外,该团队也相信RotaJakiro与Torii傀儡网络有关,因为它们使用了很多一样的命令,构建的方式也非常的类似,同样利用各种加密算法来掩饰行踪与来源,也都采用老派的长驻与结构化的流量手法。

安全企业Avast曾在2018年披露Torii的存在,指称它是个复杂的IoT傀儡网络,可入侵包括MIPS、Arm、x86、x64、PowerPC与SuperH等架构的设备,且相信它至少自2017年便开始活动。

是十五呀
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
分析过程:服务器被黑安装Linux RootKit木马
Jinmindong
02-21 813
疫情还没有结束,放假只能猫家里继续分析研究最新的攻击技术和样本了,正好前段时间群里有人说服务器被黑,然后扔了个样本在群里,今天咱就拿这个样本开刀,给大家研究一下这个样本究竟是个啥,顺便也给大家分享一些关于Linux Rootkit恶意软件方面的相关知识点吧。全球高端的黑客组织都在不断进步,做安全更应该努力学习,走在黑客前面,走在客户前面,加强自身安全能力的提升才能应对未来各种最新的安全威胁事件,才能帮助客户更好的解决安全问题。这个样本是一个Linux
Android木马分析实验,Android木马简介与分析
weixin_42500130的博客
05-26 1304
本文介绍基于Android的手机恶意软件,是一个基础性的介绍,给新入门的人提供一个分析和工具指引。要分析木马是一个2013年的syssecApp.apk,这个木马分析能对Android恶意软件有个大概了解。基础:1 –Android应用基础Android是google开发基于Linux内核的开源的手机操作系统,应用程序使用JAVA语言编写并转换成了Dalvik虚拟机,而虚拟机 则提供了一个抽象...
一个简单的Android木马病毒的分析
热门推荐
Fly20141201. 的专栏
09-09 3万+
一、样本信息 文件名称: 一个安卓病毒木马.apk  文件大小:242867 byte   文件类型:application/jar   病毒名称:Android.Trojan.SMSSend.KS 样本MD5:05B009F8E6C30A1BC0A0F793049960BC   二、病毒行为分析 0x1. 静态注册Android
恶意软件样本行为分析——灰鸽子和大白鲨
weixin_49816179的博客
12-21 1379
进行了灰鸽子木马制作和行为分析,并用相似方法对大白鲨木马也进行了探究。
系统行为监控分析工具,木马病毒等非法程序排查的得力助手
02-23
2、从监控进程入手,可以监视整个系统进程的启动和退记录,锁定进程后可以找进程正在操控的文件,从文件分析实体程序行为。 3、工具主要为有经验的用户排查系统问题提供帮助。 4、工具只有一个文件放任何目录...
记一次入侵Linux服务器和删除木马程序的经历
01-10
晚上看到有台服务器流量跑的很高,明显和平常不一样,流量达到了800Mbps,第一感觉应该是木马了,被人当做肉鸡了,在大量发包。 我们的服务器为了最好性能,防火墙(iptables)什么的都没有开启,但是服务器前面有...
Linux木马检测技术分析系统调用权限验证法.pdf
09-07
Linux木马检测技术分析系统调用权限验证法.pdf
Linux查找php木马程序例子
01-20
php木马其实是一个正常的php文件了,只是我们给了权限太高导致这个程序可以执行系统文件或调用系统命令来操作从而得到了服务器相关权限了,这样对方可以随时拿我们程序或数据库了,下面我来给各位介绍一些查找php...
Linux平台下Rootkit木马分析与检测.pdf
09-06
Linux操作系统是当前最流行的操作系统之一,而Rootkit木马作为当前危害最大的木马程序,它能够运行在内核层,从破坏系统的内核结构,隐蔽性比传统木马程序更强。因此,Rootkit木马的检测和分析变得非常重要。 ...
木马行为分析技术
03-09
木马行为分析技术,关于常见木马行为分析,如何防御,对于做网络安全的有帮助
Linux服务器安全分析与清除木马渗透
11-20
Linux服务器安全分析与清除木马渗透,安全很重要,学习人家的方法
Linux查杀***经验总结
weixin_34417200的博客
05-23 232
前段时间公司网络异常,访问公网和内网都现丢包,甚至无法访问的情况。登录网关查看监控,发现OA服务器的方向流量异常,并连接了一个国外IP地址。 然后想登录OA服务器排查,发现登录不上,ping丢包严重,猜测服务器的CPU、连接数或带宽被占满,导致无法登录。 OA服务器是部署在一台Esxi上的虚拟机,Esxi主机也登录不上了,首先拔掉了Esxi的网线,阻止...
linux病毒木马分析,Linux平台“盖茨木马分析
weixin_42557803的博客
05-14 1210
最近对Linux.BackDoor.Gates.6的一个病毒样本进行了分析,通过调查发现Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马。这篇文章主要介绍了Linux盖茨木马分析过程,同时会讲解在Linux环境下恶意软件分析的常用技巧和安全工具的使用方法。盖茨木马整体情况此类Linux木马主要恶意特点是具备了后门程序,DDoS攻击的能力,并且会替换常用的系统文件...
linux隐藏得木马程序,Linux远控分析
weixin_28938701的博客
05-01 1140
0x1 前言在国内,Linux操作系统以一般运用于服务器及相关后台,个人用户相对较少,因此Linux平台的木马病毒数量也远远不及Windows平台,其变种数量以及变化速度也比不上Windows平台。但Linux平台下的木马病毒有个非常显著的特点,就是不必与安全软件进行过多的对抗,因此导致其攻击手段的针对性极强,攻击面相当集。以本文分析的样本为例,该样本为一远控木马,但不同于Windows下的远控...
Linux下DDOS攻击木马分析报告
weixin_33725239的博客
09-26 587
本文讲的是Linux下DDOS攻击木马分析报告,在最近的一次给用户做服务器系统安全检测的过程发现一台服务器,频繁向外发包,网页打开缓慢,上服务器提取了样本的情况分析如下: 1. 样本基本信息 2. 样本概述 样本解密数据用以配置,安装各种不同的启动项,远程连接ip:www.linux#cc:6001(由于文件路径不同所连接的端口不一样,但是ip不变...
Linux木马如何处理
rqaz123的博客
05-12 1488
如果是Linux服务器了病毒,那么如何发现病毒并且清楚该病毒呢,我这边说说我的一些处理的大概思路吧。 1、注意备份数据,运维首先想到的是数据得安全性,一般情况你要注意这台病毒的是app应用、文件、还是数据库服务器,注意数据的安全性,我习惯性是会将数据或者程序文件等等先临时传输到另外一台临时的服务器,或者其他目录; 2、 分析是什么异常进程,有的病毒ps命令可以看,如果病毒是挖矿程序等通常都是rookkit伪装成内核进程,一般命令看不了; 3、netstat查看异常链接; 4、iftop等查看服务
linux木马程序病原体的制作和运行
weixin_40501323的博客
12-27 4713
1.木马的制作: 首先我们可以在/usr/bin/目录下创建一个源程序muma,输入 你所需要指定的代码,这里为了做实验就随便写了个,你也可以换上一些挖矿程序,ddos攻击代码,为了知道木马是否运行,我们可以加入一条指令echo 'date' >> /tmp/date.txt,这样如果木马程序运行,我们就可以在tmp/date.txt下看到内容date。sleep 1 是指这段代码多长时间执行一
linux挖矿木马systemdMiner分析 bash下载执行模块
whatday的专栏
01-24 3119
近日,深信服安全团队捕获到一款新型的Linux挖矿木马,该木马通过bash命令下载执行多个功能模块,通过SSH暴力破解、SSH免密登录利用、Hadoop Yarn未授权访问漏洞和自动化运维工具内网扩散,且该木马的文件下载均利用暗网代理,感染后会清除主机上的其他挖矿木马,以达到资源独占的目的。 感染现象 被感染的Linux服务器上,可以明显看到一个CPU占用率很高的进程,名字为随机字符: ...
Linux篇-善用威胁情报
千寻的博客
09-02 828
威胁情报平台可以查一些域名和P地址得信誉度,一旦发现它们存在网络攻击痕迹迅速封禁。
kali生成木马程序渗透linux系统
最新发布
05-24
Kali Linux 是一款专门用于网络安全测试和渗透测试的操作系统,它提供了许多工具来测试和攻击不同类型的系统网络。其,生成木马程序是一种常用的攻击方式。 首先,需要使用 Kali Linux 上的一个名为 Metasploit...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值