2018年oakland论文:理解linux恶意软件
论文地址:http://www.s3.eurecom.fr/~yanick/publications/2018_oakland_linuxmalware.pdf
introduction
论文提出了linux而已软件长期没有被关注,尤其是学术界。
早期的几个linux下恶意软件的事件有VirusTotal,一些人的博客,以及对Mirai僵尸网络的一篇分析文章,在原文的引文234中。
这篇文章作为第一个全面分析linux下恶意软件的文章,对10548个linux下的恶意软件进行了长达一年的分析。这篇文章的贡献在于
1、记录了设计用来支持分析Linux恶意软件的几个工具的设计和实现,并讨论了处理这种特殊类型的恶意文件时所涉及的挑战
2、在一年内首次对10548个Linux恶意软件样本进行了大规模的实证研究。
3、揭示并讨论了现实世界中恶意软件使用的一些低层特定于linux的技术,并提供了当前使用情况的详细统计数据。
挑战
目标多样性:目的设备有很多种,比如智能电视,智能摄像头等待一些IOT设备。而这些设备分析起来都比较复杂
1、架构多样性:linux支持多种架构,所以要全面分析linux的恶意软件还需要做多种架构的支持
2、加载器和库:ELF允许自定义加载器和库,不同的环境使用的加载器和库不同,可能会直接造成程序不可执行
3、操作系统:由于ELF也是支持多种操作系统,很难区分开这写ELF是为那种系统编写的,因为其他系统中甚至连系统调用号否不一样
静态链接:会导致库函数被编译进可执行文件中,导致二进制分析变得很困难
分析环境:一些嵌入式设备上,恶意软件假定以管理员权限运行,而在分析恶意软件时,赋予而已软件root权限,则会赋予它更改沙箱的能力
缺乏相关工作:这是第一个全面分析恶意软件的工作,如何分析有很多的问题
分析流程
数据搜集:从VirusTotal获得样本
文件和元数据分析:直接分析ELF文件的格式等信息
静态分析:利用IDA分析加壳等信息
动态分析:kvm加qemu虚拟机运行,利用systemtap等共计收集运行时的一些信息
行为分析
1、ELF头操纵
文章指出而已软件经常通过更改ELF头
异常的ELF头,为什么需要更改这些信息
1、删除节信息:可以执行
2、更改可执行文件所在系统:报出提示但是还是可以执行
无效ELF
1、节表异常
2、重叠段
对用户程序的影响
IDA对异常ELF的处理最好,readelf、gdb等都不够好
2、持久性
子系统初始化:/stc/rcX.d下面这些脚本,rc.local脚本等,systemv intit的配置更改
cron进程:cron是Unix系统中基于时间的作业调度程序
文件替换和感染:替换掉关键地方的文件,感染关键文件
修改用户主目录中的配置文件:比如bashrc等
3、欺骗
使用一些特定的名字,比如正常软件的名字,或是每次执行都更改已从进程的名字
4、权限获取
隐藏自身痕迹:删除/var/log文件,删除/var/log/wtmp(包含登录信息)
系统漏洞提权
linux模块
5、打包和多态
UPX
自定义打包器
6、进程交互
多进程DDOS攻击
使用shell命令,实现持久性和删除历史等
进程注入,向运行进程注入代码来改变进程行为,或是窃取一些进程信息,3种方式实现进程跟踪
1、ptrace,子进程执行,执行ptrace,然后父进程也执行
2、ptrace加PID跟踪目标进程,然后向/proc/<target_pid>/mem中写值
3、执行process_vm_writev调用。process_vm_writev调用是2012年引入的一个新的系统调用,使用内核3.2在两个进程的地址空间之间直接传输数据。
7、信息获取
proc文件系统和sys文件系统
/etc目录下的配置文件
8、逃避
沙盒检测:搜集系统中的一些信息来看是不是有Wmware,qemu等信息
进程枚举:测试机器是否被感染,或是选择进程去杀死
ptrace反调试
拖延代码:只是用来进行网络通信