linux木马网络行为分析,研究人员揪出潜伏在Linux系统中长达3年的木马程序

最新推荐文章于 2023-02-21 11:09:54 发布
最新推荐文章于 2023-02-21 11:09:54 发布
阅读量154 收藏
点赞数
文章标签: linux木马网络行为分析

5312bbb629ff999bb2c2e7477ff12b65.png

中国安全企业360旗下的网络安全研究实验室Netlab在本周指出,有一木马程序RotaJakiro潜伏在Linux系统中至少长达3年。

根据Netlab的分析,RotaJakiro为一针对Linux x64系统的木马程序,它使用轮替加密,而且在执行后对于Root或非Root账户有不同的行为,犹如Dota游戏中的双头龙(Jakiro),使得该团队将它命名为RotaJakiro。

RotaJakiro不仅以AES来加密恶意程序内的信息,其与命令&控制(C&C)服务器的通信,更采用了AES、XOR、ROTATE与ZLIB压缩等加密算法,此外,RotaJakiro支持12种指令,其中有3种是执行特定的插件程序,Netlab团队目前尚未得知RotaJakiro的目的,推测其指令可能具备回应设备信息、窃取机密信息、查询/下载/删除文件,以及执行特定插件程序等功能。

Netlab团队关注到RotaJakiro的C&C服务器,发现这些服务器存在的年代更久,在他们取得的4个RotaJakiro样本中,最早的一个是在2018年创立,而其C&C服务器最早创建的日期,却是在2015年。

9cd84be324f08730241ed4fea65a23ee.png

图片来源/Netlab

此外,该团队也相信RotaJakiro与Torii傀儡网络有关,因为它们使用了很多一样的命令,构建的方式也非常的类似,同样利用各种加密算法来掩饰行踪与来源,也都采用老派的长驻与结构化的流量手法。

安全企业Avast曾在2018年披露Torii的存在,指称它是个复杂的IoT傀儡网络,可入侵包括MIPS、Arm、x86、x64、PowerPC与SuperH等架构的设备,且相信它至少自2017年便开始活动。

是十五呀
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux病毒木马分析,Linux平台“盖茨木马分析
weixin_42557803的博客
05-14 1210
最近对Linux.BackDoor.Gates.6的一个病毒样本进行了分析,通过调查发现Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马。这篇文章主要介绍了Linux盖茨木马分析过程,同时会讲解在Linux环境下恶意软件分析的常用技巧和安全工具的使用方法。盖茨木马整体情况此类Linux木马主要恶意特点是具备了后门程序,DDoS攻击的能力,并且会替换常用的系统文件...
linux中隐藏得木马程序,Linux远控分析
weixin_28938701的博客
05-01 1140
0x1 前言在国内,Linux操作系统以一般运用于服务器及相关后台,个人用户相对较少,因此Linux平台的木马病毒数量也远远不及Windows平台,其变种数量以及变化速度也比不上Windows平台。但Linux平台下的木马病毒有个非常显著的特点,就是不必与安全软件进行过多的对抗,因此导致其攻击手段的针对性极强,攻击面相当集中。以本文分析的样本为例,该样本为一远控木马,但不同于Windows下的远控...
网站用户行为分析——Linux的安装
weixin_30421525的博客
07-05 52
Linux的选择   在Linux系统各个发行版中,CentOS系统和Ubuntu系统在服务端和桌面端使用占比最高,网络上资料最是齐全,所以建议使用CentOS系统或Ubuntu。    一般来说,如果要做服务器,选择CentOS或者Ubuntu Server;如果做桌面系统,选择Ubuntu Desktop。但是在学习Hadoop方面,虽然两个系统没有多大区别,但是强烈推荐使用Ub...
Linux下DDOS攻击木马分析报告
weixin_33725239的博客
09-26 587
本文讲的是Linux下DDOS攻击木马分析报告,在最近的一次给用户做服务器系统安全检测的过程中发现一台服务器,频繁向外发包,网页打开缓慢,上服务器提取了样本的情况分析如下: 1. 样本基本信息 2. 样本概述 样本解密数据用以配置,安装各种不同的启动项,远程连接ip:www.linux#cc:6001(由于文件路径不同所连接的端口不一样,但是ip不变...
木马行为分析技术
03-09
木马行为分析技术,关于常见木马行为分析,如何防御,对于做网络安全的有帮助
系统行为监控分析工具,木马病毒等非法程序排查的得力助手
02-23
2、从监控进程入手,可以监视整个系统进程的启动和退出记录,锁定进程后可以找出进程正在操控的文件,从文件分析实体程序的行为。 3、工具主要为有经验的用户排查系统问题提供帮助。 4、工具只有一个文件放任何目录...
记一次入侵Linux服务器和删除木马程序的经历
01-10
晚上看到有台服务器流量跑的很高,明显和平常不一样,流量到了800Mbps,第一感觉应该是中木马了,被人当做肉鸡了,在大量发包。 我们的服务器为了最好性能,防火墙(iptables)什么的都没有开启,但是服务器前面有...
Linux木马检测技术分析系统调用权限验证法.pdf
09-07
Linux木马检测技术分析系统调用权限验证法.pdf
Linux中查找php木马程序例子
01-20
php木马其实是一个正常的php文件了,只是我们给了权限太高导致这个程序可以执行系统文件或调用系统命令来操作从而得到了服务器相关权限了,这样对方可以随时拿我们程序或数据库了,下面我来给各位介绍一些查找php...
Linux平台下Rootkit木马分析与检测.pdf
09-06
Linux操作系统是当前最流行的操作系统之一,而Rootkit木马作为当前危害最大的木马程序,它能够运行在内核层,从中破坏系统的内核结构,隐蔽性比传统木马程序更强。因此,Rootkit木马的检测和分析变得非常重要。 ...
Linux服务器安全分析与清除木马渗透
11-20
Linux服务器安全分析与清除木马渗透,安全很重要,学习人家的方法
分析过程:服务器被黑安装Linux RootKit木马
Jinmindong
02-21 813
疫情还没有结束,放假只能猫家里继续分析研究最新的攻击技术和样本了,正好前段时间群里有人说服务器被黑,然后扔了个样本在群里,今天咱就拿这个样本开刀,给大家研究一下这个样本究竟是个啥,顺便也给大家分享一些关于Linux Rootkit恶意软件方面的相关知识点吧。全球高端的黑客组织都在不断进步,做安全更应该努力学习,走在黑客前面,走在客户前面,加强自身安全能力的提升才能应对未来各种最新的安全威胁事件,才能帮助客户更好的解决安全问题。这个样本是一个Linux
Linux查杀***经验总结
weixin_34417200的博客
05-23 232
前段时间公司网络异常,访问公网和内网都出现丢包,甚至无法访问的情况。登录网关查看监控,发现OA服务器的出方向流量异常,并连接了一个国外IP地址。 然后想登录OA服务器排查,发现登录不上,ping丢包严重,猜测服务器的CPU、连接数或带宽被占满,导致无法登录。 OA服务器是部署在一台Esxi上的虚拟机,Esxi主机也登录不上了,首先拔掉了Esxi的网线,阻止...
linux上网行为,Linux网络(三)
weixin_31408789的博客
05-14 283
一、Linux作业和优先级二、ICMP和ftp相关命令三、traceroute四、tcpdump一、Linux作业和优先级nice job fg bg nohup renicejob:前台作业(foreground):通过终端启动,且启动后会一直占据终端后台作业(background):可以通过终端启动,但启动后即转入后台运行(释放终端)例如htop不支持放在后台,只能放在前台 //httpd只能...
linux手工检测木马,基于LINUX环境木马检测技术的的研究
weixin_35916106的博客
05-14 186
摘要:近Linux系统在服务器领域的占有率一路攀升,尤其是在云计算领域.但是由于源代码开放,Linux面临着日趋严峻的安全挑战.Linux环境下的内核级Rootkit类型木马拥有与操作系统内核相同的权限,能够修改系统中任何数据与代码,成为了隐藏性极高,检测难度极大的一类恶意木马软件,对Linux系统安全构成了非常严重的威胁,研究Linux环境下内核级Rootkit类型木马的检测技术具有非常重要...
木马分析
qq_45157635的博客
06-19 948
木马分析 原理 1.木马是隐藏在正常程序中的具有特殊功能恶意代码,是具备破坏,删除和修改文件,发送密码,记录键盘,实施Dos攻击甚至完全可能告知计算机等特殊功能的后门程序。它隐藏在目标计算机里,可以随计算机自动启动并在某一端口监听来自控制端的控制信息。 2.木马的传统连接技术: 一般木马都采用C/S(client/server,即服务器/客户端)运行模式,因此它分为两部分,即客户端和服务前端木马程序。其原理是,当服务器端程序在目标计算机上被执行后,一般会打开一个默认的端口进行监听,当客户端向服务器端主动提出
Android木马分析实验,Android木马简介与分析
weixin_42500130的博客
05-26 1304
本文介绍基于Android的手机恶意软件,是一个基础性的介绍,给新入门的人提供一个分析和工具指引。要分析木马是一个2013的syssecApp.apk,这个木马分析能对Android恶意软件有个大概了解。基础:1 –Android应用基础Android是google开发基于Linux内核的开源的手机操作系统,应用程序使用JAVA语言编写并转换成了Dalvik虚拟机,而虚拟机 则提供了一个抽象...
Linux安全之PHP木马查杀与防范
行天际的博客
06-15 1644
1.服务器自身系统安全:  使用最新的操作系统,或者最新的稳定版(比如Ubuntu的LTS),定期打好更新,系统权限合理划分,重要文件做权限安全保护。  比如:  # chattr +i /etc/passwd  # chattr +i /etc/group  # chattr +i /etc/shadow  # chattr +i /etc/gshadow  # chattr +i /etc/s...
linux分析病毒,关于Linux操作系统病毒的原型分析
weixin_39553352的博客
05-14 162
一、 介绍写这篇文章的目的主要是对最近写的一个Linux病毒原型代码做一个总结,同时向对这方面有兴趣的朋友做一个简单的介绍。阅读这篇文章你需要一些知识,要对ELF有所了解、能够阅读一些嵌入了汇编的C代码、了解病毒的基本工作原理。二、 ELF Infector (ELF文件感染器)为了制作病毒文件,我们需要一个ELF文件感染器,用于制造第一个带毒文件。对于ELF文件感染技术,在Silvio Cesa...
kali生成木马程序渗透linux系统
最新发布
05-24
Kali Linux 是一款专门用于网络安全测试和渗透测试的操作系统,它提供了许多工具来测试和攻击不同类型的系统网络。其中,生成木马程序是一种常用的攻击方式。 首先,需要使用 Kali Linux 上的一个名为 Metasploit 的工具来生成木马程序。Metasploit 是一款开源的渗透测试框架,可以用于创建、测试和部署漏洞利用。 其次,需要了解目标系统的漏洞情况,选择合适的漏洞利用模块,并配置相关参数。利用 Metasploit 生成木马程序后,可以使用不同的方式进行部署和传播。 请注意,本人作为 CSDN 自主开发的 AI 助手,不提倡或支持任何非法行为和攻击行为。以上内容仅供学习和研究之用,请勿将其用于任何非法用途。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值