前言

疫情還沒有結(jié)束，放假只能貓家里繼續(xù)分析和研究最新的攻擊技術(shù)和樣本了，正好前段時間群里有人說服務(wù)器被黑，然后扔了個樣本在群里，今天咱就拿這個樣本開刀，
給大家研究一下這個樣本究竟是個啥，順便也給大家分享一些關(guān)于Linux Rootkit惡意軟件方面的相關(guān)知識點 吧。

全球高端的黑客組織都在不斷進步，做安全更應(yīng)該努力學(xué)習(xí)，走在黑客前面，走在客戶前面，加強自身安全能力的提升才能應(yīng)對未來各種最新的安全威脅事件，才能幫助客戶更好的解決安全問題。

這個樣本是一個Linux
Rootkit類型的惡意樣本，根據(jù)國外安全廠商報道最近半年Linux惡意軟件呈指數(shù)級增長，在2022年上半年記錄的惡意軟件樣本在2022年1月至2022年6月期間增加了近650%，隨著云計算的發(fā)展，針對Linux的惡意軟件攻擊樣本在未來應(yīng)該會越來越多，然而盡管
Linux 惡意軟件樣本大量增加，但 Windows 仍是受惡意軟件感染最多的操作系統(tǒng)。

分析

1.通過逆向分析，發(fā)現(xiàn)該惡意樣本是一個Linux RootKit木馬程序，樣本參考了2018年H2HC(Hackers 2 Hackers
Conference)會議上Matveychikov & f0rb1dd3分享的Linux RootKit高級技術(shù)，加載執(zhí)行Linux
Rootkit木馬，如下所示：

2.解密Linux
RootKit木馬數(shù)據(jù)過程，如下所示：

3.Linux
RootKit木馬數(shù)據(jù)，如下所示：

4.筆者自己編寫了一個簡單的解密程序，用于解密上面的Linux
RootKit木馬數(shù)據(jù)，如下所示：

5.解密Linux
RootKit木馬數(shù)據(jù)之后，如下所示：

6.通過逆向分析解密出來的Linux
RootKit木馬，發(fā)現(xiàn)是Reptile木馬源代碼修改的，如下所示：

7.Reptile是一款開源的Linux
RootKit木馬程序，Linux RootKit木馬功能非常強大，如下所示：

可以隱藏文件、目錄、自身、網(wǎng)絡(luò)連接、反彈shell木馬等，Linux
RootKit木馬運行之后，如下所示：

該Linux
RootKit木馬可以通過Volatility內(nèi)存檢測的方法發(fā)現(xiàn)木馬后門模塊，如下所示：

筆者曾研究過多個基于Linux平臺的RootKit家族樣本，說不定你的服務(wù)器上就被安裝了這些RootKit家族樣本，RootKit包含應(yīng)用層和驅(qū)動層，應(yīng)用層主要使用的技術(shù)就是二次打包修改、替換常用二進制文件、LD_PRELOAD環(huán)境變量寫入/etc/ld.so/preload、捆綁合并等方式，驅(qū)動層主要使用的syscall
hook以及最近兩三年比較流行的通過eBPF技術(shù)來實現(xiàn)文件，進程、網(wǎng)絡(luò)的隱藏等。

威脅情報

HASH

5B788FEEF374BBAC8A572ADAF1DA3D38

總結(jié)

筆者通過研究的一些高端樣本可以預(yù)測在未來基于底層RootKit或者高級隱藏技術(shù)的惡意軟件可能會增多，像此前TeamT-N-T黑客組織也曾使用Linux
RootKit的Diamorphine木馬來達到隱藏目的，同時一些勒索病毒也開始使用底層驅(qū)動程序進行輔助攻擊。

未來幾年不管是Windows平臺，還是Linux平臺，安全對抗都會持續(xù)升級，可能會出現(xiàn)更多使用高級技術(shù)或者底層技術(shù)的惡意軟件家族，包含更高級的混淆加密反調(diào)試反虛擬機等免殺技術(shù)，更底層的木馬隱藏技術(shù)，會成為高級威脅攻擊的主流攻擊技術(shù)。

最近幾年隨著云計算的發(fā)展，云原生安全似乎又成為了一個熱點，同時eBPF技術(shù)的成熟與發(fā)展，又出現(xiàn)了一批基于eBPF技術(shù)的RootKit攻擊技術(shù)，一些開源代碼也被公布在了GitHub平臺上面bad-
bpf、ebpfkit、boopkit、TripleCross等eBPF
RootKit項目未來可能也會成為黑客利用的工具，被應(yīng)用到各種針對Linux平臺的惡意軟件當(dāng)中。

目前eBPF的RootKit對環(huán)境要求比較高，暫時還不太流行，不過也已經(jīng)發(fā)現(xiàn)了一些eBPF
RootKit的惡意軟件家族Symbiote，還有像此前NSA方程式組織開發(fā)的頂級后門Bvp47也使用了BPF隱藏信道，隨著eBPF技術(shù)的進一步發(fā)展與成熟，基于eBPF的后門可能會越來越多，目前已經(jīng)有一些比較簡單的檢測eBPF木馬的方法，例如使用bpf-
hookdetect、Hades、ebpfkit-
monitor、bpftool等工具進行簡單的獵捕工作，同時可以使用IDA\Ghidra的eBPF逆向分析插件、readelf、llvm-
objdump等工具進行相關(guān)的逆向分析工作。

安全就是這樣，有攻必有防，我們通過不斷研究最新的攻擊技術(shù)，攻擊樣本，然后找到相應(yīng)的檢測和防御技術(shù)，黑客組織為了獲取更大的利益，也在不斷研究各種最新的安全技術(shù)，然后開發(fā)出更高級更隱蔽的惡意軟件攻擊樣本，安全研究人員只有不斷的學(xué)習(xí)與進步，與時俱進，才能更好的發(fā)現(xiàn)和對應(yīng)這些高端黑客組織的攻擊活動。

安全技術(shù)發(fā)展已經(jīng)有幾十年了，國內(nèi)外各種安全大會上基本上每年都會有一些新的安全技術(shù)分享，同時也會有一些新的安全概念被提出來，其實萬變不離其宗，安全的核心永遠是對抗，有攻就一定有防，就像矛與盾一樣。

最近幾年比較熱門的云原生安全技術(shù)，筆者通過深度研究一些云原生安全攻擊事件案例之后，發(fā)現(xiàn)其實云原生安全技術(shù)底層對抗邏輯并沒有太多的改變，只是增加了一些上層的東西，上層的東西對抗其實是比較簡單的，解決起來并沒有太大的技術(shù)難題，更難的對抗還是在底層技術(shù)的對抗。

安全研究人員需要去更多的關(guān)注和解決云原生安全的底層技術(shù)，而不要總是停留在表層技術(shù)的研究，黑客都在不斷的進步，如果安全研究人員不持續(xù)保持進步，研究更高級更底層的安全技術(shù)，可能根本無法及時發(fā)現(xiàn)和對應(yīng)那些高端黑客組織的攻擊活動，安全的路還很長，需要持續(xù)不斷的努力，活到老，學(xué)到老。

筆者一直從事與惡意軟件威脅情報等相關(guān)安全分析與研究工作，包含挖礦、勒索、遠控后門、僵尸網(wǎng)絡(luò)、加載器、APT攻擊樣本、CS木馬、Rootkit后門木馬等，涉及到多種不同的平臺(Windows/Linux/Mac/Android/iOS)，筆者做安全研究的興趣就是喜歡研究一些最新的惡意軟件家族樣本，跟蹤國內(nèi)外報道的各種安全事件中涉及到的攻擊樣本等，通過詳細分析各種安全攻擊事件中涉及的樣本、漏洞和攻擊技巧等，可以了解全球黑客組織最新的攻擊技術(shù)以及攻擊活動趨勢等。

同時還可以推判出他們大概準備做什么，發(fā)起哪些攻擊活動，以及客戶可能會受到什么危害等，通過研究全球的黑客組織以及攻擊活動，做到知已知彼，各位讀者朋友如果有遇到什么新的惡意軟件家族樣本或最新的家族變種都可以私信發(fā)給筆者，感謝給筆者提供樣本的朋友們！

全球的黑客組織以及攻擊活動，做到知已知彼，各位讀者朋友如果有遇到什么新的惡意軟件家族樣本或最新的家族變種都可以私信發(fā)給筆者，感謝給筆者提供樣本的朋友們！

網(wǎng)絡(luò)安全工程師企業(yè)級學(xué)習(xí)路線

這時候你當(dāng)然需要一份系統(tǒng)性的學(xué)習(xí)路線

如圖片過大被平臺壓縮導(dǎo)致看不清的話，可以在文末下載（無償?shù)?#xff09;，大家也可以一起學(xué)習(xí)交流一下。

一些我收集的網(wǎng)絡(luò)安全自學(xué)入門書籍

一些我白嫖到的不錯的視頻教程：

上述資料【掃下方二維碼】就可以領(lǐng)取了，無償分享