2018年oakland论文:理解linux恶意软件

论文地址:http://www.s3.eurecom.fr/~yanick/publications/2018_oakland_linuxmalware.pdf

introduction

论文提出了linux而已软件长期没有被关注,尤其是学术界。

早期的几个linux下恶意软件的事件有VirusTotal,一些人的博客,以及对Mirai僵尸网络的一篇分析文章,在原文的引文234中。

这篇文章作为第一个全面分析linux下恶意软件的文章,对10548个linux下的恶意软件进行了长达一年的分析。这篇文章的贡献在于

1、记录了设计用来支持分析Linux恶意软件的几个工具的设计和实现,并讨论了处理这种特殊类型的恶意文件时所涉及的挑战

2、在一年内首次对10548个Linux恶意软件样本进行了大规模的实证研究。

3、揭示并讨论了现实世界中恶意软件使用的一些低层特定于linux的技术,并提供了当前使用情况的详细统计数据。

挑战

目标多样性:目的设备有很多种,比如智能电视,智能摄像头等待一些IOT设备。而这些设备分析起来都比较复杂

1、架构多样性:linux支持多种架构,所以要全面分析linux的恶意软件还需要做多种架构的支持

2、加载器和库:ELF允许自定义加载器和库,不同的环境使用的加载器和库不同,可能会直接造成程序不可执行

3、操作系统:由于ELF也是支持多种操作系统,很难区分开这写ELF是为那种系统编写的,因为其他系统中甚至连系统调用号否不一样

静态链接:会导致库函数被编译进可执行文件中,导致二进制分析变得很困难

分析环境:一些嵌入式设备上,恶意软件假定以管理员权限运行,而在分析恶意软件时,赋予而已软件root权限,则会赋予它更改沙箱的能力

缺乏相关工作:这是第一个全面分析恶意软件的工作,如何分析有很多的问题

分析流程

数据搜集:从VirusTotal获得样本

文件和元数据分析:直接分析ELF文件的格式等信息

静态分析:利用IDA分析加壳等信息

动态分析:kvm加qemu虚拟机运行,利用systemtap等共计收集运行时的一些信息

行为分析

1、ELF头操纵

文章指出而已软件经常通过更改ELF头

异常的ELF头,为什么需要更改这些信息

1、删除节信息:可以执行

2、更改可执行文件所在系统:报出提示但是还是可以执行

无效ELF

1、节表异常

2、重叠段

对用户程序的影响

IDA对异常ELF的处理最好,readelf、gdb等都不够好

2、持久性

子系统初始化:/stc/rcX.d下面这些脚本,rc.local脚本等,systemv intit的配置更改

cron进程:cron是Unix系统中基于时间的作业调度程序

文件替换和感染:替换掉关键地方的文件,感染关键文件

修改用户主目录中的配置文件:比如bashrc等

3、欺骗

使用一些特定的名字,比如正常软件的名字,或是每次执行都更改已从进程的名字

4、权限获取

隐藏自身痕迹:删除/var/log文件,删除/var/log/wtmp(包含登录信息)

系统漏洞提权

linux模块

5、打包和多态

UPX

自定义打包器

6、进程交互

多进程DDOS攻击

使用shell命令,实现持久性和删除历史等

进程注入,向运行进程注入代码来改变进程行为,或是窃取一些进程信息,3种方式实现进程跟踪

1、ptrace,子进程执行,执行ptrace,然后父进程也执行

2、ptrace加PID跟踪目标进程,然后向/proc/<target_pid>/mem中写值

3、执行process_vm_writev调用。process_vm_writev调用是2012年引入的一个新的系统调用,使用内核3.2在两个进程的地址空间之间直接传输数据。

7、信息获取

proc文件系统和sys文件系统

/etc目录下的配置文件

8、逃避

沙盒检测:搜集系统中的一些信息来看是不是有Wmware,qemu等信息

进程枚举:测试机器是否被感染,或是选择进程去杀死

ptrace反调试

拖延代码:只是用来进行网络通信

05-28 10:24