应急响应中Linux库文件劫持

最新推荐文章于 2023-06-30 23:34:33 发布
最新推荐文章于 2023-06-30 23:34:33 发布
阅读量918 收藏 5
点赞数 1
分类专栏: 应急响应 文章标签: linux 网络安全 安全 系统安全 安全威胁分析 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youuzi/article/details/129008153
版权

前言

在日常的应急工作中,经常遭遇挖矿病毒的案例,但是往往用ps,top等命令是看不到异常的,且即使kill掉进程和计划任务项往往过一会进程就会重新起来。这种情况往往是存在预加载恶意动态链接库的后门,其实网上有很多详细的文章去讲解这个技术,这里笔者也是为了插个眼。

概述

动态链接库预加载机制是系统提供给用户运行自定义动态链接库的一种方式,在可执行程序运行之前就会预先加载用户定义的动态链接库的一种技术。

原理

在网上有大佬已经做了总结,感兴趣的可以去看看:

https://www.freebuf.com/column/162604.html

1.  应用程序在通过系统接口调用内核时会预先加载动态链接库, 即使程序不依赖这些动态链接库,LD_PRELOAD环境变量和/etc/ld.so.preload配置文件中指定的动态链接库依然会被加载。

    2.  这个库里面主要包括两个内容:LD_PRELOAD和/etc/ld.so.preload

    3.  LD_PRELOAD用于预加载环境变量

    4.  /etc/ld.so.preload用于预加载配置文件

    5.  默认情况下LD_PRELOAD和/etc/ld.so.preload无配置

    6.  动态编译:不论程序依赖不依赖动态链接库,都会加载LD_PRELOAD环境变量和/etc/ld.so.preload配置文件中指定的动态链接库依然会被装载,他们的优先级比LD_LIBRARY_PATH环境变量所定义的链接库查找路径的文件优先级高

   
    7.  全局符号:全局符号介入指的是应用程序调用库函数时,调用的库函数如果在多个动态链接库中都存在,即存在同名函数,那么链接器只会保留第一个链接的函数,而忽略后面链接进来的函数,所以只要预加载的全局符号中有和后加载的普通共享库中全局符号重名,那么就会覆盖后装载的共享库以及目标文件里的全局符号。
        注:这也是造成劫持的某种手段

    8.  静态编译:不动态加载系统库文件,直接将程序所需要的各种文件全部集中到该软件平台中,这样就可以解决系统库文件被劫持,中了rootkit等导致连接、网络等被隐藏的情况,常用的工具如busybox

根据上图,可知库劫持主要有3种利用方式:

1、更改LD_PRELOAD环境变量的值,用以加载恶意动态链接库
2、修改/etc/ld.so.preload配置文件内容,用以加载恶意的动态链接库<strong>(主要利用方式)</strong>
3、修改动态链接器的值,比如修改预加载的配置文件路径(/etc/ld.so.preload)为自定义路径,或者修改默认环境变量等

利用方式及检测

劫持LD_PRELOAD

利用方式

这种方式相对比较简单,默认情况下LD_PRELOAD变量是空

利用方式:

LD_PRELOAD=/lib/evil.so  #LD_PRELOAD的值设置为要预加载的动态链接库
export LD_PRELOAD        #导出环境变量使环境变量生效
unset LD_PRELOAD         #解除设置的LD_PRELOAD环境变量

检测方式

因为利用方式是通过更改环境变量LD_PRELOAD的值加载恶意文件,所以可以通过直接查看环境变量的值 “echo $LD_PRELOAD”即可查看是否存在劫持。

或者可能存在echo命令被劫持,可以选择用busybox来执行这条命令。同时也可以通过”strace“命令来跟踪相关命令加载的库文件来分析。因为正常预加载的就两个”LD_PRELOAD“ 和 ”/etc/ld.so.preload”,因此这种方式也可以作为判断依据

处置方法

  • 将LD_PRELOAD环境变量的值重新置为空

  • 删除恶意的动态链接库文件

劫持/Etc/Ld.So.Preload

利用方式

这种劫持方式目前来说是比较主流的劫持方式,主要是通过修改/etc/ld.so.preload文件的内容,同时劫持后会无法用TAB键补齐/etc/ld.so.preload文件,cat命令也会被预加载的库文件劫持。

检测方式

由于劫持动态链接库文件后,系统命令被修改,TAB补齐等方式失效,所以需要使用busybox执行命令,同时手工输出全路径。

或者,可以利用“strace”命令追踪系统命令的加载情况。(注:strace命令后接less命令,避免文件太多卡死)

处置方法

  • 去掉/etc/ld.so.preload文件的隐藏属性

  • 删除加载的恶意动态链接库文件

劫持动态链接器

利用方式

修改动态链接器实现恶意功能有多种方法。常规为替换动态链接器中的默认预加载配置文件/etc/ld.so.preload为自定义文件路径。

检测方式

  • 动态链接器完整性检查

修改动态链接器后会破坏原有文件的完整性,可以使用rpm校验功能,来检测是否发生改变

  • strace命令查看预加载配置文件

可以通过strace命令查看系统命令的预加载配置文件是不是/etc/ld.so.preload文件(注:strace命令后接less命令,避免文件太多卡死)

使用busybox自带的cat命令查看该文件,因为使用正常cat命令无法查看该文件,被预加载的库函数给隐藏

处置方法

清除修改动态链接器的rootkit,需要使用相同系统的相同版本动态链接器替换被修改了的动态链接器,才能达到彻底清除的目的,暂时缓解的方式则是将上方检测过程中看到的恶意动态链接库删除,以及将对应的动态链接库配置文件中的内容清除。

参考链接

https://www.freebuf.com/column/162604.html

https://www.freebuf.com/articles/system/223311.html

dayouziei
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
应急响应实战笔记.rar
02-14
应急响应实战笔记,包含入侵排查篇:Windows 入侵排查、Linux 入侵排查、常见的 Webshell 查杀工具、如何发现隐藏的 Webshell 后门、勒索病毒自救指南;日志分析篇:Windows日志分析、Linux日志分析、Web日志分析、MSSQL日志分析、MySQL日志分析;权限维持篇:Windows权限维持--后门篇、Linux权限维持--隐藏篇、Linux权限维持--后门篇、三大渗透测试框架权限维持技术、常见WebShell管理工具;Windows实战篇:FTP暴力破解、蠕虫病毒、勒索病毒、ARP病毒、挖矿病毒;Linux实战篇:SSH暴力破解、捕捉短连接、挖矿病毒、盖茨木马、DDOS病毒;Web实战篇:网站被植入Webshell、批量挂黑页、新闻源网站劫持、移动端劫持、搜索引擎劫持、网站首页被篡改、编辑器入侵事件等
linux-Morpheus自动EttercapTCPIP劫持工具
08-13
Morpheus - 自动Ettercap TCP / IP劫持工具
动态劫持挖矿病毒处理
u010101453的博客
05-20 255
动态劫持病毒的定位与扫毒
解决LINUX在root用户下出现Operation not permitted
versionwen的博客
10-06 4566
在一次日常服务器维护,我的服务器出现如下提示, 而且每条命令都出现ERROR: ld.so: object '/usr/lib64/libthread.so.1' from /etc/ld.so.preload cannot be preloaded: ignored.相关的截图如下所示 ...
Linux LD_PRELOAD动态链接劫持
SHELLCODE_8BIT的博客
12-02 734
【代码】LD_PRELOAD。
分享一则Linux系统邮件提示 /usr/local/lib/libprocesshider.so > /etc/ld.so.preload 的病毒解决方法
txl910514的专栏
04-13 924
crontab: edits left in /tmp/crontab.IFed5j,说明/var/spool/cron/root,/tmp/crontab.IFed5j这两个目录文件都有问题,跟定时任务是相关联的,先清除这几个文件,防止上锁,先解锁,再删除。# 服务清理及自启动清理,查看/etc/rc.d/init.d/目录,/etc/rc.d/rc.local文件,/lib/systemd/system文件。i:设定文件不能被删除、改名、设定链接关系,同时不能写入或新增内容。
警惕利用Linux预加载型恶意动态链接的后门
cleanfield的专栏
01-17 1726
一、动态链接预加载型rootkit概述 动态链接预加载机制是系统提供给用户运行自定义动态链接的一种方式,在可执行程序运行之前就会预先加载用户定义的动态链接的一种技术,这种技术可以重写系统的函数,只需要在预加载的链接重新定义相同名称的函数,程序调用函数时,重新定义的函数即会短路正常的函数,这种技术可以用来重写系统有漏洞的函数,达到修复漏洞的目的,如get_host_byname导致ghost漏洞的这类函数。这种技术也可以被不怀好意的攻击者用来写rootkit,通过重写mkdir, m
linux LD_PRELOAD 预加载 so 简介
whatday的专栏
09-30 1万+
预加载so的两种方式: 修改/etc/ld.so.preload配置文件,这种方法对配置修改之后运行的进程生效,而无法影响已经在运行的进程; 启动进程前设置LD_PRELOAD变量(如shell执行LD_PRELOAD=/lib64/inject.so ./myprocess),则只对当前进程生效。 默认情况下进程创建的子进程也会继承Preload环境变量,而父进程可以在子进程初始化前修改子进程的环境变量,从而避免往子代传播。 LD_PRELOAD可以影响程序的运行时的链接,它允许你定义在程序运行前
Linux 文件劫持
travelnight的博客
09-09 1740
Linux文件劫持
海思Hi3516DV300芯片与ubuntu16.04开发环境的搭建
weixin_42569526的博客
07-11 1704
海思Hi3516DV300芯片与ubuntu16.04开发环境的搭建 安装依赖包以及编译arm-himix200交叉编译器 步骤 1 配置默认使用 bash #sudo dpkg-reconfigure dash 选择 no 步骤 2 安装软件包 执行: #sudo apt-get install make libc6:i386 lib32z1 lib32stdc++6 zlib1g-dev libncurses5-dev sudo apt install lib32z1-dev #sudo apt-get
detours劫持实现代码.rar
04-02
detours劫持实现代码
Linux系统调用劫持的检测方法.pdf
09-06
Linux系统调用劫持的检测方法.pdf
Linux系统调用劫持:技术原理、应用及检测.pdf
09-07
Linux系统调用劫持:技术原理、应用及检测.pdf
ERROR: ld.so: object '/usr/local/lib/lbb.so' from /etc/ld.so.preload cannot be preloaded (cannot ope
热门推荐
zhanghenan123的博客
03-21 1万+
出现此问题病毒了,执行如下操作即可完全解决 echo "" > /etc/ld.so.preload chattr +i /etc rm -rf /var/spool/cron/* rm -rf /etc/cron.d/* chattr +i /var/spool/cron/ rm -f /usr/local/lib/lbb.so chattr +i /usr/local/lib ki...
Linux编程入门二调试
肥叔菌的博客
04-17 8621
该篇主要简要介绍linux下常用的一些调试的工具。参考自徐晓鑫 后台开发核心技术与应用实践 strace 所有操作系统在其内核都有一些内建的函数,这些函数可以用来完成一些系统级别的功能,一般称Linux系统上的这些函数为“系统调用”(system call)。这些函数代表了用户空间到内核空间的一种转换。应用程序不能直接访问Linux内核,也不能直接调用内核函数。应用程序可以跳转到system_ca...
ERROR: ld.so: object ‘/usr/local/lib/pscan.so‘ from /etc/ld.so.preload cannot be preloaded...
srg2000的博客
01-03 4946
报错现象 在连接远程服务器Linux系统时,一连接就出现了以下报错,输入命令时,又出现了以下类似的报错。如图所示: 解决方法 1.输入命令(作用:在这个文件里写入空内容) echo "" > /etc/ld.so.preload 2.出现以下错误时 证明你这个文件可能是只允许读操作的文件,不允许被修改或删除,这时需要输入以下命令去除文件的ia属性,再进行更改。 chattr -ia /etc/ld.so.preload 3.去除之后,在执行步骤1的语句 echo "" > /etc/ld
主机提权篇_命令劫持&&环境变量修改
shelter1234567的博客
06-30 597
SUID提权环境变量劫持命令拼接。
Linux 命令被劫持了,怎么处理?看这里
Memory1011的博客
03-02 629
转自:http://www.pinlue.com/article/2021/03/0208/5711549730758.html
linux动态链接劫持
最新发布
07-28
Linux动态链接劫持是一种常见的安全漏洞,攻击者利用该漏洞替换系统或应用程序所依赖的动态链接,以执行恶意代码或获取敏感信息。以下是对该问题的解释和预防措施: 动态链接(Dynamic Link Library,简称DLL)是一种可重用的代码和资源集合,它可以被多个程序共享调用。在Linux系统,动态链接以.so文件的形式存在。 攻击者可以通过将恶意的.so文件替换为目标程序所依赖的动态链接来实施动态链接劫持。当程序启动时,系统会自动加载并执行这个恶意的.so文件,从而使攻击者能够在目标程序执行任意代码。 为了防止动态链接劫持,我们可以采取以下措施: 1. 使用绝对路径加载动态链接:在程序指定绝对路径来加载所依赖的动态链接,而不是依赖于系统默认的搜索路径。这样可以确保加载的是正确的文件。 2. 使用相对路径加载动态链接:如果不方便使用绝对路径,可以使用相对路径加载动态链接。但要确保相对路径是可信的,以防止攻击者替换为恶意的文件。 3. 设置LD_LIBRARY_PATH环境变量:将LD_LIBRARY_PATH环境变量设置为只包含可信路径,以限制动态链接的搜索范围。 4. 定期更新和升级系统:及时安装系统和应用程序的安全补丁,以修复已知的漏洞。 5. 使用数字签名验证:对动态链接进行数字签名,并在程序验证签名,确保加载的是经过合法认证的文件。 通过以上预防措施,可以有效减少动态链接劫持的风险,并提升系统的安全性。同时,开发者应该对自己的代码进行安全审计和漏洞修复,以防止其他类型的攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值