来自 网络 2022-05-13 14:30 的文章

cdn防护_免费高防cdn_秒解封

cdn防护_免费高防cdn_秒解封

Linux特洛伊木马"盗贼之手"未被激活

8月7日,RSA研究人员首次提到Linux平台的一种新威胁,并将其命名为"盗贼之手"。此特洛伊木马的两个主要功能是抓取Linux特定浏览器的表单和通过后门进入受害者的计算机。此外,它还具有反虚拟化和反监控等功能。以小偷手的整体复杂程度来展示,c语言ddos防御软件,它可以与臭名昭著的非Windows威胁相比较,例如去年发现的MacOsX平台的FlashBack特洛伊木马或最近发现的Android平台的Obad特洛伊木马。

详细分析揭示了滴管加密后初始文件的以下结构及其所有部分(十六进制数显示了滴管的起始偏移量)block):

在本机Linux系统上使用参数"-v"运行程序时,显示版本信息"0.1.0.7"。

滴管和自我保护

滴管与UPX打包机混淆,因此无法对可执行文件进行静态分析。我们通过在初始二进制文件的唯一滴管部分应用带有参数-d的原始UPX程序来实现这一点。几乎所有字符串的可读性都通过使用不同的8位密钥的异或加密来增强。这是Windows和非Windows特洛伊木马之间共享的一个非常常见的属性。

启动后,特洛伊木马会立即检查它是否在虚拟化环境中运行。这一目标的实现取决于虚拟化软件:在列出的SCSI设备中搜索子字符串"VBOX"和"VMware"(要抑制此检查,硬件防御ddos,只需取消对文件/proc/SCSI/SCSI的读取权限即可);在/proc/cpuinfo文件中查找子字符串"UML"、"PowerVM Lx86"、"QEMU"或"IBM/S390";要检查对/proc/vz或/proc/bc的访问,如果OpenVZ内核正在运行,则存在:

这些迹象中的任何一个都会导致执行提前结束。如果根目录是通过比较/proc/1/mountinfo和/proc/\/mountinfo中的特定行创建的,则特洛伊木马程序也会存在。Chrooting基本上是一种安全功能,其中正在运行的进程不能访问根目录,防御ddos公司,但可以访问文件系统树的另一个分支,该分支充当根目录。

然后它解密附加在二进制文件末尾的配置文件(从长度为0x1E0的偏移量0x2444开始),并使用配置文件中的条目(使用regcomp、regexec和regfree命令解析值)。我们分析了以下一个示例(C&C的一个私有IP服务耳语说此bot正在调试过程中,cc防御去掉,而不是在野外):

为了在重新启动后实现持久性,怀疑特洛伊木马程序在路径~/.config/autostart中创建了名为system-firewall.desktop的配置文件,其中包含以下设置(%s已适当更改):

接下来的步骤是将包含主要功能的模块安装到/tmp/目录中,并使用命令更改访问权限参数为-x的chroot。该过程包括将二进制文件映射到内存,并将相关部分复制到缓冲区,缓冲区由AES使用256位密钥解密。对于长度为24848的可执行文件,执行方式如下(标记值表示目标文件名、二进制文件中的起始偏移量和访问权限):

在名称不包含子字符串gnome session、dbus或pulseaudio的每个进程中注入共享对象。注射的方法与Shaun Clowes在Blackhat 2001中描述的方法相似。可在github上重新实现。

核心功能

共享对象启动两个线程。第一个被称为aaa,它监听C&C的命令来执行一个操作:bc命令触发名为p0stfix的BackConnect守护进程,作为一个反向shell,受害者连接到一个特定的套接字;bind命令启动名为unix守护进程的BindPort守护进程,充当绑定shell,攻击者接收shell输出的内容(经过正确的身份验证);socks通过SOCKS5协议的自定义实现执行代理。所有这些特性都是通过嵌入式perl脚本实现的。另一个命令名为d_exec和update,它们将尝试从C&C服务器执行新下载的文件。

第二个线程表示为bbb。它通过上述相同的方法将从偏移量0x19CF4开始的共享对象注入运行的浏览器映射空间。这用作表单抓取功能的初始化。支持的浏览器有Chrome、Chrome和Firefox。Firefox浏览器的数据提交干预是通过对原libnspr40.so的程序流重定向来实现的!PR_Write函数到特洛伊木马的自定义实现hPR_Write_ptr:

截获的数据、机器人执行的统计数据以及C&C发出的命令均通过基于AES加密的自定义通信协议进行解释,该协议采用256位密钥并结合Base64编码:

此外,ddos怎么知道自己防御了多少钱,我们观察到一个反监控检查(如果wireshark或tcpdump正在运行,则无通信):

最后,导出的函数drow_图像以漂亮的ASCII艺术形式显示一个关于信息,确认作者的创造力(可以识别坐在树上的猫头鹰):

结论Linux操作系统被设计为具有高级别的安全性。然而,今年发现了一些通过后门重定向流量或恶意apache模块攻击Web服务器的尝试。此特洛伊木马程序的目的是危害用户桌面系统。通过设计用于滥用敏感浏览器信息的功能,它可以让Linux用户在这个特定环境中向前迈进一步。Windows用户多年来所处的威胁环境。关于Linux平台绝对安全的说法现在似乎更加虚幻了。

来源

对一些选定样本进行了256次哈希:

致谢

感谢我的同事PavelŠrámek对Linux平台的讨论。

在此处添加您的评论,或阅读AVAST Facebook页面上的其他人的评论。