- 综合排序
- 最热优先
- 最新优先
- 来自专栏FreeBuf
HCRootkit Sutersu Linux Rootkit 分析
这些文件会危害具有标准 rootkit 功能的主机。 3、主代理使用特有自定义基于protobuf的协议进行 C2 通信。 该rootkit最早由Avast共享,引发我们确认该rootkit覆盖范围和进一步的研究。除了删除内核模块和userland样本外,我们以下的分析还提供了对安装程序(恶意病毒种植程序)的深入了解。 图-1 Virus Total for Dropper 图-2 内核rootkit 通过 mktemp 系统调用生成临时文件名后,rootkit 首先写入磁盘。 图-4 Userland ELF 写入磁盘 The Rootkit – Sutersu Avast 指出的内核模块是开源 rootkit “Sutersu”。 该rootkit 具有广泛的内核版本支持,并支持多种架构,包括x86、x86_64 和ARM。正如人们对 rootkit 所期望的那样,Sutersu 支持文件、端口和进程隐藏。
1.1K20发布于 2021-10-11 - 来自专栏FreeBuf
r77-Rootkit:一款功能强大的Ring 3 Rootkit
关于r77-Rootkit r77-Rootkit是一款功能强大的无文件Ring 3 Rootkit,并且带有完整的安全工具和持久化机制,可以实现进程、文件和网络连接等操作及任务的隐藏。 “$77config”键在注册表编辑器被注入了Rootkit之后会自动隐藏。 但是,一旦Rootkit运行,计划任务也会通过前缀隐藏。 测试环境 测试控制台可以用来向单独进程注入r77,或接触进程跟Rootkit的绑定关系: 工具下载 r77 Rootkit 1.2.0.zip:【点击阅读原文】(解压密码:bytecode77) 项目地址 https://bytecode77.com/r77-rootkit
2.1K20发布于 2021-07-02 - 来自专栏python3
rootkit后门检查工具RKHunter
一、概述 简介 中文名叫”Rootkit猎手”, rkhunter是Linux系统平台下的一款开源入侵检测工具,具有非常全面的扫描范围,除了能够检测各种已知的rootkit特征码以外,还支持端口扫描、常用程序文件的变动情况检查 rootkit主要有两种类型:文件级别和内核级别。 文件级别的rootkit: 一般是通过程序漏洞或者系统漏洞进入系统后,通过修改系统的重要文件来达到隐藏自己的目的。 很简单, 可以参考这个网页提供的方法: http://www.rootkit.nl/articles/rootkit_hunter_faq.html 基本上,官方网站与一般网管老手的建议都一样, 如果被 rootkit 之类的程序包攻击后 ( 也就是上一节的检测表中的第二部分所攻击时 ),那么最好最好直接重新安装系统, 不要存在说可以移除 rootkit 或者木马程序的幻想,因为,『隐藏』本来就是 rootkit 与木马程序的拿手好戏!
5.3K11发布于 2020-03-12 - 来自专栏人人都是极客
利用eBPF探测Rootkit漏洞
在本文中,我们将探索控制eBPF事件的方法,并研究一个使用BPF事件捕获rootkit的案例。 Rootkit是一种存在于内核中复杂类型的恶意漏洞攻击,并将介绍Tracee用于检测Syscall 钩子的新特性,它实现了在内核中使用eBPF事件的独特方式。 目前使用rootkit的复杂攻击往往是针对内核空间,这是因为攻击者试图避免被安全防御方案,以及监控用户空间事件或分析基本系统日志的取证工具检所测到。 现在,开始运行Tracee,来看看它将如何检测出Diamorphine rootkit。 在这种情况下,rootkit使用kill -63作为用户空间和内核空间之间的通信通道。
1.8K10编辑于 2022-07-12 CC++ Rootkit 实现进程伪装
欺骗任务管理器等行为工具,隐藏进程的另一种方法。原理是修改 EPROCESS 中的成员。如下分别提供驱动层伪装与应用层伪装的实现代码。
1.1K00编辑于 2022-12-28- 来自专栏FreeBuf
针对Linux Rootkit HCRootkit的分析
Lacework Labs 最近发现了一个新的在野 Rootkit。除了释放的内核模块和用户态样本文件外,还针对 Dropper 进行了深入了解。 值得注意的是,ELF Dropper 和内核 Rootkit 在 VirusTotal 上的检出率很低。 通过 mktemp系统调用生成临时文件后,首先将 Rootkit 写入磁盘。 Rootkit Sutersu 其内核模块基于开源的 Rootkit Sutersu修改而来。该 Rootkit 支持内核版本广泛,支持架构多样(x86、x86_64 和 ARM)。 s28 = “nf_hook_pre_routing” condition: uint32(0)==0x464c457f and 10 of them } rule linux_mal_suterusu_rootkit uint32(0)==0x464c457f and all of them } 参考来源: https://www.lacework.com/blog/hcrootkit-sutersu-linux-rootkit-analysis
1.1K10发布于 2021-10-11 - 来自专栏FreeBuf
linux中发现基于sshd的rootkit
internet Storm Center安全专家近日发表一篇报告,报告中称在linux系统中发现基于ssh服务的rootkit,使用RPM安装的系统会受到影响。 报告中指出目前rootkit支持三个命令:Xver、XCAT、Xbnd,第一个命令打印rootkit版本,xCAT打印数据在会话中,并传回给攻击者,Xbnd命令设置一个监听器。 该rootkit会替换服务器中的libkeyutils库,主要功能包括收集用户凭据,除账号密码之外,还可以收集RSA和DSA的私有密钥。 通过以下命令可以查看服务器是否中招。
2K60发布于 2018-02-01 CC++ Rootkit 修改PEB隐藏dll
InLoadOrderModuleList 成员保存了模块信息,而模块信息的结构为 _LDR_DATA_TABLE_ENTRY。
58310编辑于 2022-12-28- 来自专栏网络安全攻防
K8s Rootkit集群控制
k0otkit是一种通用的后渗透技术,可用于对Kubernetes集群的渗透,攻击者可以使用k0otkit快速、隐蔽和连续的方式(反向shell)操作目标Kubernetes集群中的所有节点,K0otkit使用到的技术主要有以下几个:
51430编辑于 2023-10-23 - 来自专栏技术杂记
如何隐藏钩子:rootkit 的管理程序2
考虑到分配的寻址可预测性,两个 可以在多个测试中进行观察: 1. 两个分配都按 16 页对齐,添加了 0x20 字节的标头 启用整页堆设置(或默认设置为 0x8)。 2. 两种分配的内存地址都是高度可预测的。 事实上,两个分配的地址会因测试而异 'just' 大约 0x1'000'000 字节,这在 0x19'000'000+0x12'000'000 几乎连续受控内存的术语 空间: ; 为便于阅读而编辑的 windbg 脚本日志 ; 通过重新启动应用程序并记录相同的分配产生 ; 显示两
4.9K480编辑于 2022-03-21 - 来自专栏FreeBuf
调查显示,77%的Rootkit用于间谍目的
Rootkit虽不是最常见的恶意软件类型,但根据过去发生的一些重大攻击事件表明,Rootkit一般都和木马、后门等其他恶意程序结合使用,起到拦截网络流量、监视用户、窃取登录凭据或劫持资源以执行DDoS攻击的作用 ,77%的Rootkit被网络犯罪分子用于收集数据等间谍目的。 定制化的rootkit 该研究还发现,暗网论坛主要是用户级Rootkit的销售宣传地,这些用户级Rootkit通常用于大规模攻击。 在某些情况下,开发人员会根据买方的需要提供定制的Rootkit。67%的宣传广告显示Rootkit倾向为Windows“量身定制”。 Rootkit 扫描程序、系统完整性检查和异常网络流量分析也将有助于检测Rootkit。
91020发布于 2021-11-16 - 来自专栏LINUX阅码场
Linux Rootkit如何避开内核检测的
Rootkit在登堂入室并得手后,还要记得把门锁上。 我们必须知道都有哪些侦测措施用来应对Rootkit,常见的,不外乎以下: systemtap,raw kprobe/jprobe,ftrace等跟踪机制。它们通过内核模块起作用。 自研内核模块,采用指令特征匹配,指令校验机制排查Rootkit。 gdb/kdb/crash调试机制,它们通过/dev/mem,/proc/kcore起作用。 和杀毒软件打架一样,Rootkit和反Rootkit也是互搏的对象。无论如何互搏,其战场均在内核态。 很显然,我们要做的就是: 第一时间封堵内核模块的加载。 试问如何抓住Rootkit现场? 注意,上面的两个机制,必须让禁用/dev/mem,/proc/kcore先于封堵模块执行,不然就会犯形而上学的错误,自己打自己。
1.6K10发布于 2020-05-15 - 来自专栏程序人生 阅读快乐
黑客大曝光_恶意软件和Rootkit安全
抵御恶意软件和Rootkit不断掀起的攻击浪潮! 《黑客大曝光:恶意软件和Rootkit安全》用现实世界的案例研究和实例揭示了当前的黑客们是如何使用很容易得到的工具渗透和劫持系统的,逐步深入的对策提供了经过证明的预防技术。 本书介绍了检测和消除恶意嵌入代码、拦截弹出式窗口和网站、预防击键记录以及终止Rootkit的方法,详细地介绍了最新的入侵检测、防火墙、蜜罐、防病毒、防Rootkit以及防间谍软件技术。 《黑客大曝光:恶意软件和Rootkit安全》包括以下内容: · 理解恶意软件感染、生存以及在整个企业中传染的方法。 · 了解黑客使用存档文件、加密程序以及打包程序混淆代码的方法。 · 检测,杀死和删除虚拟模式、用户模式和内核模式Rootkit。 · 预防恶意网站、仿冒、客户端和嵌入式代码攻击。 · 使用最新的防病毒、弹出窗口拦截程序和防火墙软件保护主机。
1.1K10发布于 2018-10-10 - 来自专栏技术杂记
如何隐藏钩子:rootkit 的管理程序
在本文中,一个易受攻击的 Microsoft XML 模块被定向到 通过自助服务两字节内联内存补丁实现无懈可击的行为 通过任意代码执行机会。 - [ 目录 1 - 简介 2 - 漏洞 2.1 - 触发器 2.2 - 影响向量 2.3 - 分析崩溃 2.4 - 估计可利用性 2.5 - 补丁分析和根本原因 3 - 控制 3.1 - 膨胀堆栈 1:XSLT 递归 3.2 - 膨胀堆栈 2:JavaScript 递归 3.4 -
2.7K20编辑于 2022-03-21 - 来自专栏FreeBuf
恶意软件FontOnLake Rootkit正在威胁Linux系统
此外,为了隐藏自身的存在,FontOnLak总是伴随着一个 rootkit。这些二进制文件通常在Linux系统上使用,并且还可以作为一种持久性机制。 ESET表示发现了两个不同版本的Linux rootkit,它们基于一个名为Suterusu的开源项目,在功能上有重叠之处,除了能隐藏自身外,还包括隐藏进程、文件、网络连接,同时还能够执行文件操作,提取并执行用户模式的后门 参考来源:https://thehackernews.com/2021/10/researchers-warn-of-fontonlake-rootkit.html
1.7K40发布于 2021-10-21 - 来自专栏FreeBuf
Hacking Team:攻击向量之Bios Rootkit
实际上并不能排除可能性,Bios Rootkit通过物理的接触,如通过U盘,进行感染。 这样的场景可以延伸出来,或发生在电脑维修店、二手电脑、网吧、学校电脑室等。 Bios Rootkit是比较高水平的技术,检测很困难。在泄露的源码中,因此更多的人可以从这基础上衍生更多的Bios Rootkit病毒,降低了技术门槛。 二、Bios Rootkit感染方式 HT内部泄露文档介绍,Bios Rootkit是通过U盘,进入UEFI Shell进行感染。 Bios Rootkit的感染方式,决定传播广度有限,但从网络渗透来说,绝对是一个可靠的突破口。目前还没资料证明Bios Rootkit其它感染方式,但并不能排除可能性。 泄露的文档资料: ? 三、示意图 Bios Rootkit有三个模块:rkloader.mod,dropper.mod和ntfs.mod,攻击示意图如下: ?
2.2K101发布于 2018-02-06 - 来自专栏FreeBuf
黑客使用新的 Rootkit 攻击银行ATM
据The Hacker News网站消息,威胁情报和事件响应公司 Mandiant发现,一个未知的黑客组织部署了以Oracle Solaris 系统为目标的新型Rootkit,其目的是破坏ATM网络,并使用虚假的银行卡在不同的银行进行未经授权的取款 攻击者曾长期通过利用名为 CAKETAP 的 Rootkit 隐藏网络连接、进程和文件。 研究人员从其中一台受害的 ATM 交换机服务器中恢复了内存取证数据,指出内核 Rootkit 的一种变体具有特殊功能,能够拦截卡和 PIN 验证,并使用被盗数据执从 ATM 终端取款。 此外,该Rootkit还使用两个称为 SLAPSTICK 和 TINYSHELL 的后门,它们都归因于 UNC1945,用于通过 rlogin、telnet 或 SSH 获得对关键任务系统的持久远程访问
98610编辑于 2022-04-11 - 来自专栏技术杂记
如何隐藏钩子:rootkit 的管理程序1
--[ 3 - 控制 在这一点上很明显,唯一合理的方法来控制 漏洞是膨胀堆栈,以便崩溃的指针会 落入可以控制的用户态内存区域: msxml6!XEngine::stns+0x6: 6f6
4.8K390编辑于 2022-03-21 - 来自专栏giantbranch's blog
通过chkrootkit学习如何在linux下检测RootKit
Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。 Rootkit一词更多地是指被作为驱动程序,加载到操作系统内核中的恶意软件。 chkrootkit简介 chkrootkit是一个linux下检RootKit的脚本,在某些检测中会调用当前目录的检测程序 官网:http://www.chkrootkit.org/ 下载源码:ftp /chkrootkit | grep INFECTED 总体流程 首先删除别名,确保接下来的一些操作不会用了被RootKit改变了的别名 ### workaround for some Bourne shell 特征的字符串 搜索的是下面的比较通用的ROOTKIT字符串 # Many trojaned commands have this label GENERIC_ROOTKIT_LABEL="^/bin/.
72000编辑于 2024-12-31 - 来自专栏FreeBuf
分析过程:服务器被黑安装Linux RootKit木马
& f0rb1dd3分享的Linux RootKit高级技术,加载执行Linux Rootkit木马,如下所示: 2.解密Linux RootKit木马数据过程,如下所示: 3.Linux RootKit Linux RootKit木马,发现是Reptile木马源代码修改的,如下所示: 7.Reptile是一款开源的Linux RootKit木马程序,Linux RootKit木马功能非常强大,如下所示 : 可以隐藏文件、目录、自身、网络连接、反弹shell木马等,Linux RootKit木马运行之后,如下所示: 该Linux RootKit木马可以通过Volatility内存检测的方法发现木马后门模块 ,如下所示: 笔者曾研究过多个基于Linux平台的RootKit家族样本,说不定你的服务器上就被安装了这些RootKit家族样本,RootKit包含应用层和驱动层,应用层主要使用的技术就是二次打包修改 目前eBPF的RootKit对环境要求比较高,暂时还不太流行,不过也已经发现了一些eBPF RootKit的恶意软件家族Symbiote,还有像此前NSA方程式组织开发的顶级后门Bvp47也使用了BPF
2K50编辑于 2022-11-14
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号