记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

以Linux系统为目标:分析新型Golang语言勒索软件

0x00 概述在过去的两个月中,我一直在研究使用Golang编写的逆向软件,并对其进行逆向工程。Go语言,也成为Golang,是Google设计的一种静态类型的、已编译的编程语言,目前在恶意软件开发社区中正在变得越来越流行。在本文中,我将分析一个新发现的Golang勒索软件,该软件主要针对Linux系统发动攻击。0x01 Go二进制样本分析我们所分析的样本是已经stripped的ELF可执行文件。Stripped后的可执行文件会使逆向工作变得更加困难,因为我们还需要做一些额外的工作,来还原stripped后的二进制文件中的符号。但幸运的是,有一个redress工具可以为我们提供帮助。Redress软件是用于分析使用Go
发布时间:2019-10-17 13:10 | 阅读:8424 | 评论:0 | 标签:勒索软件 Golang linux

CVE-2019-11815:Linux kernel漏洞

Linux kernel中存在漏洞是非常常见的,因为有Linux kernel有大约2600万行代码,单2018年就新添加了338万行,删除了251万行代码。代码的量和复杂性说明了其中必然存在漏洞。2019年5月8日,漏洞数据库NVD(National Vulnerability Database)发布了CVE-2019-11815——Linux kernel漏洞的详情,其CVSS 3.0评分为8.1。漏洞的详情包含网络攻击向量,不需要权限和管理级的代码执行,CIA影响的评分都是high。除了攻击向量、所需权限外,CIA等都影响着CVSS的评分。CVSS 3基准评分的一个部分就是攻击复杂性,CVE-2019-11815
发布时间:2019-05-27 12:25 | 阅读:40986 | 评论:0 | 标签:漏洞 linux

linux挖矿病毒DDG改造后重出江湖蔓延Windows平台

背景概述近日,深信服安全团队捕获一枚Linux、windows双平台的挖矿病毒样本,通过安全人员分析确认,该木马是通过redis漏洞传播的挖矿木马DDG的最新变种,使用当前最新的go语言1.10编译使用了大量的基础库文件,该木马会大量消耗服务器资源,难以清除并具有内网扩散功能。DDG挖矿病毒是一款在Linux系统下运行的恶意挖矿病毒,该病毒从去年一直活跃在现在,已经挖取了价值一千多万人民币的虚拟币货币,此病毒样本在一年左右的时间,已开发出了DDG.3012/DDG3013/DDG3020多个变种版本。主要功能如下:0x1 现象描述根据安全感知SIP报警提示,某主机会每隔3个小时从互联网去下载一个update.sh的恶意
发布时间:2019-04-11 17:25 | 阅读:60483 | 评论:0 | 标签:系统安全 linux

Linux容器安全探索

0x01、业务需求Linux容器技术通过共享主机操作系统内核,实现轻量的资源虚拟化和隔离,近年来在 DevOps、微服务、公有云服务等领域有着广泛的应用。然而在容器技术被广泛接受和使用的同时,容器以及容器运行环境的安全成为了亟待研究和解决的问题。为了更真实的了解容器方面的安全场景以及应对手段,做了以下技术探讨。在日常的安全工作当中,在态势感知平台,全流量检测系统中,我们发现有外联DGA域名、C2地址、挖矿的情况的资产地址并非云主机本身,而是云主机上运行的docker镜像或者k8s环境上的docker镜像。根据以上发现,我们做了深入研究。入侵场景:我们发现越来越多的web中间件都部署到docker容器中,在容器中没有太多
发布时间:2019-03-06 12:20 | 阅读:66371 | 评论:0 | 标签:系统安全 linux

紧急预警!WatchDogsMiner挖矿蠕虫大量感染Linux服务器

近日,深信服安全团队追踪到公有云上及外部Linux服务器存在大量被入侵,表现为/tmp临时目录存在watchdogs文件,出现了crontab任务异常、网络异常、系统文件被删除、CPU异常卡顿等情况,严重影响用户业务。多个用户邀请深信服安全专家远程排查,最终经过分析确认,用户Linux服务器被植入新型恶意挖矿蠕虫,且较难清理。深信服安全团队将其命名为WatchDogsMiner,并紧急发布预警,提醒企业用户及时开展自查修复,防范WatchDogsMiner挖矿蠕虫。· 病毒名称:WatchDogsMiner· 病毒性质:挖矿蠕虫· 影响范围:国内不少用户受感染,包括公有云用户· 危害等级:
发布时间:2019-03-01 00:20 | 阅读:65254 | 评论:0 | 标签:系统安全 linux

Linux内存取证:解析用户空间进程堆(下)

前两篇文章(第一篇、第二篇),我们详细的对解析用户空间进程堆的方法进行了阐述,不过理论还需实践的检验,本篇文章,我们就接着将前面所讲的方法和理论进行评估,并将它们用于实际案例中就行检测。结果评估本节描述了HeapAnalysis类及其插件的评估。结果验证结果验证是对上述所讲的方法和技术可靠性的重要验证进程,所有测试均可以在以下环境中进行,且验证进程支持不同的Glibc版本:1.Arch Linux 32位,×86,内核版本4.4.5-ARCH,Glibc版本:2.20,2.21,2.22,2.23和2.24;2.Arch Linux 64位,×64,内核版本4.4.5-ARCH,Glibc版本:2.20,2.21,2.
发布时间:2019-01-31 12:21 | 阅读:97606 | 评论:0 | 标签:技术 linux

Linux内存取证:解析用户空间进程堆(中)

上文我们对解析用户空间进程堆的动机和历史,做了一个简要的概述。另外,我们Glibc堆的3层结构也做了一些概述,这些结构是解析用户空间进程堆的关键。至于每个结构所起的作用,请看本文的分析。内存视图本节描述如何以及在何处将前一节中描述的结构存储在内存中,以用于运行中的Linux用户空间进程。内存中的块块的结构名为malloc_chunk,包含以下字段:· prev_size:如果上一个块已经被释放了,那该字段将包含上一个块的大小;· size:从当前块的开头到下一个块的距离(以字节为单位);· fd:正向链接(Forward link),指向下一个被释放的块;· bk:反向链接(Backwar
发布时间:2019-01-29 12:20 | 阅读:78654 | 评论:0 | 标签:技术 linux

Linux内存取证:解析用户空间进程堆(上)

前言在取证分析中,对内存的分析通常是还原事件的重要步骤。以前对内存工作的分析主要集中于那些驻留在内核空间中的信息,如进程列表、网络连接等,特别是在Microsoft Windows操作系统上,但是这项工作主要关注的是Linux用户空间进程,因为它们可能还包含有价值的调查信息。由于许多进程数据位于堆中,所以这项工作首先集中在对Glibc堆实现的分析,以及如何将堆相关信息存储在使用此实现的Linux进程的虚拟内存中。到目前为止,从内存取证的角度来看,堆通常被认为是一个大的内聚内存区域,这使得在内部识别相关信息变得相当困难。我们为基于分析结果的内存分析框架Rekall引入了Python类,并允许访问堆中包含的所有块及其元信息
发布时间:2019-01-28 12:20 | 阅读:84875 | 评论:0 | 标签:技术 linux

在没有execve的情况下如何运行Linux可执行文件

ELF(ExecutableandLinkableFormat,可执行和可链接格式)作为嵌入式系统(如Linux、BSD系统和Solaris系统)中基本的文件格式,被广泛的使用着。按照ELF文件标准,使用ELF格式的文件分为可重定位文件,可执行文件、目标共享文件、核心转储文件。ELF文件用于定义不同文件类型的对象文件内容和格式,可移植性很强。ELF文件有许多技巧,比如我们在*nix Meterpreter实现中使用的那些技巧,但这些技巧需要使用我们的特殊工具链或配置有-static-pie标志的GCC 8编译器构建每个可执行文件。如果碰到特殊情况该怎么办?比如内核不需要磁盘上的文件来加载和运行代码。手工执行技巧对于可执
发布时间:2019-01-18 12:20 | 阅读:71002 | 评论:0 | 标签:技术 linux

利用Azure安全中心可以提前检测到Linux受到的攻击

一般来说,黑客会在攻击之前选择攻击目标,比如盗取存储在受害者计算机上的信息,或者获取设备的某些访问权限,更有甚者,直接使用受害设备本身的处理能力,甚至将计算机作为其他攻击的起点(比如挖矿或作为肉鸡)。在Microsoft Azure的Linux虚拟机(VM)上,研究人员经常看到攻击者安装并运行加密货币挖掘软件。Azure安全中心(ASC)使用在多个Linux发行版上运行的代理,在启用auditd时,它会收集包括流程创建事件的日志。它们通过检测pipeline运行,以查找恶意和可疑的活动,安全警报会显示在ASC的门户网站上。Microsoft威胁情报中心使用了一系列方法来识别新出现的威胁,包括复杂的混合Linux蜜罐服务
发布时间:2018-12-03 12:20 | 阅读:66414 | 评论:0 | 标签:Web安全 linux

如何在任意进程中修改内存保护属性

最近,我们在进行一项安全研究时,需要在任意进程中修改内存空间的保护标志。起初,我们发现这项任务看起来很简单,但在实际操作中,却发现困难重重,还好这些都不是什么大问题。在解决这些问题的过程中,我们还学到了一些新的东西,主要是关于Linux机制和内核开发的。在以下的详解中,我们会介绍我们所采取的三种方法以及每次寻求更好解决方案的原因。背景介绍在现代操作系统中,每个进程都有自己的虚拟地址空间(从虚拟地址到物理地址的映射)。此虚拟地址空间由内存页面(某些固定大小的连续内存块)组成,且每个页面都有保护标志,这些保护标志决定了允许对该页面的访问类型(读取、写入和执行)。不过,这种机制依赖于架构页表(architecture pag
发布时间:2018-11-30 12:20 | 阅读:82400 | 评论:0 | 标签:Web安全 linux

厉害了!Linux加密货币挖矿机可删除杀毒软件

Doctor Web安全研究人员发现了一种专门用于提取加密货币的木马,它可以感染其他网络设备并删除系统中运行的防病毒软件。该木马被命名为Linux.BtcMine.174,是一个用shell语言编写的脚本,包含1000多行代码。恶意软件由多个组件组成。在启动时,木马首先会检查C2服务器的可用性,然后从C2服务器下载其他需要的模块,并在磁盘上搜索具有写入权限的文件夹,然后加载这些模块。之后,脚本将移动到先前选择的名为diskmanagerd的文件夹,并作为守护程序重新启动。该木马会使用nohup程序。如果nohup不在系统中,木马就会自动下载并安装包含nohup的coreutils实用程序包。在设备上的安装成功后,恶意脚
发布时间:2018-11-26 12:20 | 阅读:87168 | 评论:0 | 标签:系统安全 linux 加密

Alpine Linux APK包管理器远程代码执行漏洞分析

概述Alpine是一款面向安全应用的轻量级Linux发行版本,常作为Docker镜像使用。在研究过程中,我们发现了Alpine Linux默认包管理器APK的一些漏洞。该漏洞允许网络中间人(或恶意包镜像)在用户的机器上实现任意代码执行。这一漏洞的后果尤为严重,因为在使用默认仓库(Repositories)的过程中,并不会通过TLS的方式提供包。目前,这一漏洞已经得到修复,并且Alpine的基础镜像已经更新。受漏洞影响的用户需要及时对镜像进行更新。在获得代码执行漏洞利用后,我想出了一个很酷的方法,通过写入/proc/<pid>/mem,使原始apk进程退出,并返回状态码(Exit Code)0,且该方法不需要
发布时间:2018-09-17 12:20 | 阅读:83960 | 评论:0 | 标签:漏洞 linux

Linux内核exp提权实战

获取root权限是Linux漏洞利用的终极目标。跟Windows中的System用户一样,root用户拥有对操作系统的所有管理权限。在渗透中,有时候成功利用某些漏洞只会获取一个低权限用户,所以需要使用提权技巧,提升到权限更高的root用户,完全控制整个系统。第一步 信息收集&搜索exp在上一篇文章中,我们使用metasploit利用shellshock漏洞获取到了靶机上的一个低权限的shell。而我们的终极目标是root权限,所以我们需要提权,打破低权限shell的限制。上一篇文章链接: http://www.4hou.com/vulnerable/12984.html我们将使用一个内核exp提权到root用户
发布时间:2018-08-17 12:20 | 阅读:194001 | 评论:0 | 标签:技术 linux Linux提权 exp 提权

攻击者如何向正在运行的Linux进程注入恶意代码

概述目前,已经有很多详细的技术文章,讲解攻击者是如何将被感染的文件注入到二进制代码中,以便下次启动受感染的程序时执行恶意代码。但是,针对正在运行的进程,攻击者可以采取什么方式实现感染呢?本文将主要介绍攻击者如何在内存中向正在运行的进程实现注入,换而言之,本文主要介绍如何编写自己的调试器。相关研究成果在展开细节之前,我们首先介绍一些相关的基础知识和研究成果。我们的第一个示例与恶意软件无关,而是一个多年来始终在研究的问题:运行时修补(Run-time Patching)。在实际中,有一些系统不能轻易关闭,否则将会造成很大的经济损失。在这种情况下,如何将补丁更新到正在运行的进程(最好是不需要重新启动应用程序)成为了一个热点问
发布时间:2018-07-25 12:20 | 阅读:112223 | 评论:0 | 标签:技术 linux 注入

通过Joe Sandbox Linux沙箱对VPNFilter的分析报告

随着越来越多的恶意软件将Linux操作系统作为攻击目标,Linux恶意软件正成为安全新闻头条的热门话题。在2018年,有超过110亿的嵌入式设备具有网络功能(Gartner),因此,以物联网(IoT)为目标的bot前景一片大好。而Mirai和VPNFilter只是最近的一些例子。几个月来,我们一直在研究一种新产品,以分析针对Linux的恶意软件。近期,我们发布了Joe Sandbox Linux,这是一款恶意软件深层分析引擎,用于对抗Ubuntu和CentOS上存在的威胁。通过在Linux上添加分析,Joe Sandbox是现在市面上唯一可利用的恶意软件分析系统,它可以分析Windows、MacOS、Linux、And
发布时间:2018-06-12 12:20 | 阅读:111602 | 评论:0 | 标签:技术 linux 恶意软件 物联网

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云