Linux下的Rootkit驻留技术分析

 前言

Linux作为服务器和IoT设备使用的主要操作系统,针对它的恶意软件也层出不穷。针对Linux设备的恶意软件(以下称为rootkit)通常需要长期驻留于目标操作系统以达到获利目的，所以如何实现驻留也是Linux rootkit作者的重点考虑内容之一，对此，实验室进行了可能的思路探索和分析。

在接下来的说明中，我们统一使用一个名为evil的静态链接ELF文件作为我们要实现驻留的rootkit，所有的驻留尝试均围绕这个程序展开。

技术汇总

1. 用户态下的可利用点

1.1 各种init的利用

Linux init

在systemd成为主流之前，sysvinit是大多数发行版的选择，即使是Ubuntu之前使用的upstart，和sysvinit也是完全兼容的，直到今天，Debian系发行版仍保留sysvinit的兼容性。作为Linux的init程序，也就是PID 1，负责启动之后的所有进程，所有的服务都是由它管理，因此它是实现rootkit驻留的最常见手段。

对于传统的sysvinit，常见的驻留点都需要以root身份写入：

/etc/init.d/etc/rc[runlevel].d/etc/rc.local 

其实sysv的服务文件就是遵循sysv规范的shell脚本，它在嵌入式设备中也很常见。给出一个sysv风格的服务文件如下：

#!/bin/shPATH=/bin:/usr/bin:/sbin:/usr/sbin 
DESC="cron daemon"NAME=cron 
DAEMON=/usr/sbin/cron 
PIDFILE=/var/run/crond.pid 
SCRIPTNAME=/etc/init.d/"$NAME"test -f $DAEMON || exit 0 
 
. /lib/lsb/init-functions 
 
[ -r /etc/default/cron ] && . /etc/default/cronparse_environment() {    for ENV_FILE in /etc/environment /etc/default/locale; do 
        [ -r "$ENV_FILE" ] || continue 
        [ -s "$ENV_FILE" ] || continue 
 
        for var in LANG LANGUAGE LC_ALL LC_CTYPE; do 
            value=$(egrep "^${var}=" "$ENV_FILE" | tail -n1 | cut -d= -f2) 
            [ -n "$value" ] && eval export $var=$value 
 
            if [ -n "$value" ] && [ "$ENV_FILE" = /etc/environment ]; then 
                log_warning_msg "/etc/environment has been deprecated for locale information; use /etc/default/locale for $var=$value instead" 
            fi 
        done 
    done 
 
    # Get the timezone set. 
    if [ -z "$TZ" -a -e /etc/timezone ]; then 
        TZ=$(cat /etc/timezone)    fi}# Parse the system's environmentif [ "$READ_ENV" = "yes" ]; then 
    parse_environmentficase "$1" instart)    log_daemon_msg "Starting periodic command scheduler" "cron" # 这一行是我们修改的目标 
    start_daemon -p $PIDFILE $DAEMON $EXTRA_OPTS 
    log_end_msg $? 
    ;; 
stop)    log_daemon_msg "Stopping periodic command scheduler" "cron" 
    killproc -p $PIDFILE $DAEMON 
    RETVAL=$? 
    [ $RETVAL -eq 0 ] && [ -e "$PIDFILE" ] && rm -f $PIDFILE 
    log_end_msg $RETVAL 
    ;; 
restart)    log_daemon_msg "Restarting periodic command scheduler" "cron" 
    $0 stop    $0 start 
    ;; 
reload | force-reload)    log_daemon_msg "Reloading configuration files for periodic command scheduler" "cron" 
    # cron reloads automatically 
    log_end_msg 0 
    ;; 
status) 
    status_of_proc -p $PIDFILE $DAEMON $NAME && exit 0 || exit $? 
    ;; 
*)    log_action_msg "Usage: /etc/init.d/cron {start|stop|status|restart|reload|force-reload}" 
    exit 2 
    ;;esacexit 0 

（编辑：云计算网_泰州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!