企业官网建设流程全解析

黄浦区网站建设公司,wordpress插件不兼容,沈阳网站建设公司电话,域名哪个网站续费BPFDOOR Linux 恶意软件分析 嘿#xff0c;恶意软件爱好者们#xff0c; 今天#xff0c;我将分析一款名为“BPFDoor”的恶意软件。此恶意软件于2022年被发现。 在分析恶意软件之前#xff0c;别忘了使用虚拟机#xff0c;并且永远不要忘记设置仅主机#xff08;Host Onl…BPFDOOR Linux 恶意软件分析嘿恶意软件爱好者们今天我将分析一款名为“BPFDoor”的恶意软件。此恶意软件于2022年被发现。在分析恶意软件之前别忘了使用虚拟机并且永远不要忘记设置仅主机Host Only网络连接。概述BPFDoor 是一款 Linux/Unix 后门恶意软件它允许威胁攻击者远程连接到 Linux shell从而完全控制受感染的设备。当此恶意软件被植入您的 Linux/Unix 环境时它将非常危险。该恶意软件专门被设计用于允许威胁攻击者远程连接到受感染系统并且不需要在您的机器上开放任何端口即可运行。BPFDoor 是一种被动型恶意软件这意味着它可以监听一个或多个端口以接收传入的数据包。该恶意软件使用一个在网络层工作的伯克利包过滤器嗅探器。在我看来这款恶意软件的功能与远程访问木马大致相同。作为一种逃避检测的技术BPFDoor 在感染系统后还会重命名自身。要更好地理解伯克利包过滤器是什么您可以查看此链接 → https://www.ibm.com/docs/en/qsip/7.4?topicqueries-berkeley-packet-filters。至此我们已经简要介绍了这款 Linux/Unix 恶意软件。现在我将解释它使用哪种类型的数据包。BPFDoor 只解析 TCP、UDP 和 ICMP 数据包它会检查特定的数据值。此外如果 TCP 和 UDP 数据包具有正确的“魔法值”以及正确的密码恶意软件将立即采取行动借助支持的命令获取反向 shell。请按 Enter 键或点击以查看完整尺寸的图片https://www.bleepingcomputer.com/news/security/bpfdoor-stealthy-linux-malware-bypasses-firewalls-for-remote-access/端起您的咖啡让我们来简要分析一下这款恶意软件。基本静态恶意软件分析我们开始通过静态分析来探究这款恶意软件以了解它属于哪个恶意软件家族。在此步骤中我们不会运行这个 ELF 文件。分析前需要了解的内容使用防病毒工具确认恶意性使用哈希值识别恶意软件从文件的字符串、函数和头部中收集信息每种技术都可能提供不同的信息这取决于您的目标需求。尽可能多地收集信息非常重要。请按 Enter 键或点击以查看完整尺寸的图片它是一个 ELF 文件。请按 Enter 键或点击以查看完整尺寸的图片MD5 哈希值。为了理解此恶意软件是否被加壳您可以使用命令hexdump -C 文件名 | grep -C 1 UPX此命令专门搜索 UPX 加壳特征。在此过程之后我们使用了“Certutil”来识别“md5”但是您也可以使用“PESTUDIO”。请按 Enter 键或点击以查看完整尺寸的图片有趣的 API 网络API 加密API 内存。请按 Enter 键或点击以查看完整尺寸的图片Virustotal 上有 36 个供应商将其识别为恶意软件。在某些情况下检测结果是通用的并且会错误地将上述 Solaris 变种标记为 Linux 恶意软件尽管它并非 Linux 二进制文件。请按 Enter 键或点击以查看完整尺寸的图片12 个字符串被列入黑名单。Socket套接字允许同一台或不同机器上的两个不同进程之间进行通信。我们也可以使用 PEID 来识别加壳器。什么是 PEID为了检测加壳文件我们可以使用 PEID。您可以使用 PEID 来检测用于构建应用程序的加壳器或编译器类型。这不是 EXE 文件但我们可以将其从 ELF 转换为 EXE但由于该文件的魔数问题这不会成功但让我们试试看如您所见这行不通我将把 md5sum 值放到 virustotal 上检查恶意软件家族。请按 Enter 键或点击以查看完整尺寸的图片前往 virustotal - 输入 md5sum - 社区。该恶意软件的源代码首先我想知道这款恶意软件是否有源代码。据推测这篇帖子帮助了我 → https://twitter.com/cyb3rops/status/1523227511551033349?langen请按 Enter 键或点击以查看完整尺寸的图片char sh[] 很有趣。请按 Enter 键或点击以查看完整尺寸的图片请按 Enter 键或点击以查看完整尺寸的图片看起来这里有一个 shell。为了确认这一点我们只需将十六进制值复制到在线的十六进制转换程序。请按 Enter 键或点击以查看完整尺寸的图片太棒了。我们将更深入地分析这个源代码。有趣的是我们有一个名为“getshell()”的函数。我将能够分析这个函数。我们还有 rc4_ctx, crypt_ctx, decrypt_ctx。RC4也称为 Rivest Cipher 4是一种流密码形式。它通过算法一次一个字节地加密消息。存在许多流密码但 RC4 是最受欢迎的之一。它应用简单即使处理非常大的数据块速度也很快。获取 Ahmet Göker 的故事到您的收件箱。免费加入 Medium 以获取此作者的更新。订阅 订阅来源 (https://www.okta.com/identity-101/rc4-stream-cipher/)请按 Enter 键或点击以查看完整尺寸的图片如果我们能检测到“getshell()”函数以便更好地理解这个函数的作用那就太好了。请按 Enter 键或点击以查看完整尺寸的图片看起来 CC 服务器可能会选择随机的临时端口。因为正如我上面提到的“它可以监听一个或多个端口接收来自一个或多个主机的传入数据包攻击者可以利用这些数据包远程向受感染的网络发送命令。”它并不用于特定的端口。请按 Enter 键或点击以查看完整尺寸的图片tv[0].tv_sec 1225394246。这部分很有趣因为二进制文件将自己复制到/dev/shm/kdmtmpflush这个目录仅在 RAM 中并且每次重启都会清空。您听说过“epoch”吗让我解释一下它是什么。这并不简单。什么是 epoch在计算领域epoch 是计算机时钟和时间戳值所依据的日期和时间。传统上epoch 对应于协调世界时某个特定日期的 0 时、0 分、0 秒具体日期因系统而异。来源 (https://www.techtarget.com/searchdatacenter/definition/epoch)——————————————————————————————————————————————————————让我们继续我们的研究。如果我们理解了“epoch”是什么我们就能够将这个 epoch 时间转换为人类可读的日期时间。请按 Enter 键或点击以查看完整尺寸的图片这段代码当然不是至高无上的。 这可能是作者随机生成的。这款恶意软件在执行其任务时有优势这是非常厉害的因为我们讨论过伯克利包过滤器而这应该能绕过 Linux/Unix 中的防火墙规则。绕过本地防火墙应用层防火墙实现了基本的基于规则的配置非常简单。在没有明确使用的情况下它允许授权和监听服务与系统进行通信——以确保它在网络上“隐藏”起来。在绕过防火墙方面这款恶意软件将做得非常好。运行此恶意软件后它会将/dev/shm/重命名为/dev/shm/kdmtmpflush并同时运行自身。这是 Linux 中的目录 →请按 Enter 键或点击以查看完整尺寸的图片运行此文件后该文件将自动删除。您可以随时检查进程 ID/proc/PID并执行简单的ls命令以便能够找到该恶意进程的真实 ID。您需要是 root 用户才能运行此恶意软件。在该恶意软件进行恶意活动时我找到了一篇关于此步骤的精彩文章。链接 - https://www.sandflysecurity.com/blog/bpfdoor-an-evasive-linux-backdoor-technical-analysis/让我们继续我们的研究。请按 Enter 键或点击以查看完整尺寸的图片看第 683 行 system() 它执行 /sbin/iptables。什么是 IptablesIptables 基本上是 Linux 中的防火墙。iptables 防火墙通过将网络流量与一组规则进行比较来工作。规则定义了数据包要匹配该规则必须具有的特征以及对匹配数据包应采取的操作。Windows 没有像 Linux 那样的 iptables 等价物。——————————————————————————————————————————————————————————————————————————————————————————————————————————————————之后它将休眠 1 秒在此过程完成时它将创建套接字监听之前指定的端口。请按 Enter 键或点击以查看完整尺寸的图片我们可以从这段源代码中读到它删除了/dev/shm中的所有目录和子目录然后将字符串再次复制到/dev/shm我推测它将复制/kdmtmpflush并赋予 755 权限并且在运行后这个文件将被永久删除或隐藏。请按 Enter 键或点击以查看完整尺寸的图片BPFDoor 规避检测的部分技术是使用上述选择将二进制文件重命名为看起来像正常的 Linux 守护进程。我忘了提到黑客利用位于台湾的受感染路由器作为 VPN 隧道通过虚拟专用服务器运行 BPFDoor。该恶意软件利用 Solaris 漏洞获取 root 权限。请按 Enter 键或点击以查看完整尺寸的图片https://thehackernews.com/2022/06/quick-and-simple-bpfdoor-explained.html我们可以做些什么为了让 BPFDoor 启动威胁攻击者需要将恶意的二进制文件上传到服务器。最佳的防御措施是确保病毒和恶意软件签名是最新的以捕获任何潜在的指标并在环境中创建规则以帮助检测看似不可检测的威胁。来源 (https://thehackernews.com/2022/06/quick-and-simple-bpfdoor-explained.html)————————————————————————————————————————————————————————在下一部分我们可以动态地研究这款恶意软件我必须不断提高自己 ——————————————————————————————————————————————————————感谢阅读这篇恶意软件博客。如果您对此类内容感兴趣请关注我并订阅…并与您的朋友分享。您可以在以下平台找到我Linkedinhttps://www.linkedin.com/in/ahmetg%C3%B6ker/Twitterhttps://twitter.com/TurkishHoodie_Youtubehttps://www.youtube.com/c/TurkishHoodieGithubhttps://github.com/DarkGhost010Ahmet Göker | 漏洞利用研究员 | 恶意软件研究员 | 密码分析员 | CTF 选手 | 逆向工程请按 Enter 键或点击以查看完整尺寸的图片CSD0tFqvECLokhw9aBeRqojLf1fq1JERLOdY0q0SC4ANtT03VNUXVS8fXtKJZcF8j3sLQz6LuahI2oliZDQ7KeK6bSpBiqEdD1A68OBcU更多精彩内容 请关注我的个人公众号 公众号办公AI智能小助手对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号网络安全技术点滴分享