社区编辑申请
注册/登录
Rootkit隐藏进程和端口检测
安全 黑客攻防
本文介绍基于应用层分析的rootkit解决方案,unhide在应用层发现隐藏进程、端口,该方案风险小,可集成到主机安全agent中。

一、引言

Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。

rootkit检测也成为主机安全一项重要功能,针对rootkit中最常见隐藏进程、端口检测,主要分为两种检测思路,一种基于内核内存分析,一种基于应用层分析。

基于内存分析Rootkit检测可参考Rootkit检测,该方案缺点是需要增加内核模块,风险高,检测效果相对较好。

本文介绍第二种方案,unhide在应用层发现隐藏进程、端口,该方案风险小,可集成到主机安全agent中。

二、应用层隐藏进程检测

1. 进程隐藏和检测方式

进程隐藏两种方式:

  • 替换ps命令,在读取/proc/pid目录时,过滤掉需隐藏进程信息
  • 加载内核模块,通过拦截proc文件系统的回调函数,过滤掉需隐藏进程信息

检测核心思想:

通过libc系统函数盲测进程pid的存活状态,再根据ps结果对比差异,判断该pid是隐藏进程。

unhide提供如下19种检测方式,大致可分为四类:一类通过procfs下的进程目录信息,第二类通过系统调用函数, 第三类通过前两类组合方式,第四类通过爆力破解(不推荐)。

  1. tab_test[TST_PROC].func = checkproc 
  2.    tab_test[TST_CHDIR].func = checkchdir 
  3.    tab_test[TST_OPENDIR].func = checkopendir 
  4.    tab_test[TST_READDIR].func = checkreaddir 
  5.    tab_test[TST_GETPRIO].func = checkgetpriority 
  6.    tab_test[TST_GETPGID].func = checkgetpgid 
  7.    tab_test[TST_GETSID].func = checkgetsid 
  8.    tab_test[TST_GETAFF].func = checksched_getaffinity 
  9.    tab_test[TST_GETPARM].func = checksched_getparam 
  10.    tab_test[TST_GETSCHED].func = checksched_getscheduler 
  11.    tab_test[TST_RR_INT].func = checksched_rr_get_interval 
  12.    tab_test[TST_KILL].func = checkkill 
  13.    tab_test[TST_NOPROCPS].func = checkallnoprocps 
  14.    tab_test[TST_BRUTE].func = brute 
  15.    tab_test[TST_REVERSE].func = checkallreverse 
  16.    tab_test[TST_QUICKONLY].func = checkallquick 
  17.    tab_test[TST_SYS_INFO].func = checksysinfo 
  18.    tab_test[TST_SYS_INFO2].func = checksysinfo2 
  19.    tab_test[TST_SYS_INFO3].func = checksysinfo3

从名字上可以看出,unhide使用chdir,opendir,readdir,getpriority,getpgid,getsid,sched_getaffinity,kill,sysinfo等libc函数。

下面分别从三类中各选择一种检测方式分析。

2. procfs检测

抽取checkreaddir检测分析:

  • 遍历/proc目录, 子文件名如果是数字,代表是一个进程pid
  • 读取进程状态task目录(/proc/pid/task), 获取各子线程号
  • 通过ps命令查找是否存在该线程
  • 对比差异,不存在判断为隐藏进程
    1. procdir = opendir("/proc");  
    2. dirproc = readdir(procdir));  
    3. taskdir = opendir(task);  
    4. dir = readdir(taskdir)  
    5. checkps(procpids,PS_THREAD) 

该类方法能检测出对第二种无效。

3. syscall检测

抽取checkgetsid检测分析:

max_pid通过读取 /proc/sys/kernel/pid_max获取:

  • 从1到max_pid遍历进程, 通过getsid返回值和错误码探测进程存活状态
  • 通过ps命令查找是否存在该进程
  • 再次通过getsid确认进程存活状态,防止在执行ps这时间内,进程退出了
  • 对比差异,不存在判断为隐藏进程
    1. ret = getsid(syspids) 
    2. checkps(syspids,PS_PROC | PS_THREAD); 
    3. ret = getsid(syspids) 

该类方法都能检测上述两种隐藏进程方式。

4. compund检测

抽取checkallquick检测分析:

  • 从1到max_pid遍历进程
  • 通过kill返回值和错误码探测进程存活状态
  • 通过getpriority返回值和错误码探测进程存活状态
  • 通过getpgid返回值和错误码探测进程存活状态
  • 通过getsid返回值和错误码探测进程存活状态
  • 通过sched_getaffinity返回值和错误码探测进程存活状态
  • 通过sched_getparam返回值和错误码探测进程存活状态
  • 通过sched_getscheduler返回值和错误码探测进程存活状态
  • 通过sched_rr_get_interval返回值和错误码探测进程存活状态
  • 通过chdir,opendir读取进程目录(/proc/pid)
  • 通过ps命令查找是否存在该进程
  • 再次通过kill确认进程存活状态,防止在执行ps这时间内,进程退出
  • 对比差异,只有进程不存在(found=0)或者进程经过11项检测(found == 11)认为是正常的,其余都判断为隐藏进程
    1. ret = kill(syspids, 0); 
    2. ret = getpriority(PRIO_PROCESS, syspids); 
    3. ret = getpgid(syspids); 
    4. ret = getsid(syspids); 
    5. ret = sched_getaffinity(syspids, sizeof(cpu_set_t), &mask); 
    6. ret = sched_getparam(syspids, &param); 
    7. ret = sched_getscheduler(syspids); 
    8. statstatusproc = stat(directory, &buffer); 
    9. statusdir = chdir(directory); 
    10. dir_fd = opendir(directory) ; 
    11. checkps(syspids,PS_PROC | PS_THREAD) 
    12. ret = kill(syspids, 0); 
    13. if (found_killbefore == found_killafter) { 
    14.      if ( ! ((found_killbefore == 0 && found == 0) || 
    15.              (found_killbefore == 1 && found == 11)) ) { 
    16.         printbadpid(syspids); 
    17.      } 

三、应用层隐藏端口检测

核心思想:通过libc系统函数bind,listen盲测端口

1. tcp隐藏端口检测

  • 从1到65535遍历端口
  • 创建一个基于tcp协议SOCK_STREAM的socket
  • 通过bind返回值和错误码探测端口状态
  • 如果被占用,通过listen 错误码是EADDRINUSE确定端口占用
  • 通过ss或netstat命令过滤tcp协议,查看端口情况
  • 对比差异,确认该端口为隐藏端口
    1. socketsocket_desc=socket(AF_INET,SOCK_STREAM,0); 
    2. bind(socket_desc,(struct sockaddr *)&address,sizeof(address)); 
    3. listen(socket_desc,1); 
    4. if(EADDRINUSE == errno) { 
    5.     checkoneport(i, tcpcommand, TCP); 

2. udp隐藏端口检测

相比tcp, udp使用SOCK_DGRAM的socket, 缺少listen这步,其余检测步骤类似

  1. socketsocket_desc=socket(AF_INET,SOCK_DGRAM,0); 
  2. bind(socket_desc,(struct sockaddr *)&address,sizeof(address)); 
  3. if(EADDRINUSE == errno) { 
  4.     checkoneport(u, udpcommand, UDP); 

四、结论

本文提供的通过应用层方式检测rootkit中最常见的隐藏进程和端口,风险性小,可无缝集成到主机安全agent中。

责任编辑:赵宁宁 来源: Freebuf
相关推荐

2022-05-03 22:25:57

Python浏览器语言

2022-05-14 08:05:18

Linux内存管理

2022-05-16 07:35:21

Windows远程桌面远程服务器

2022-05-21 23:46:16

自动驾驶雷达传感器

2022-05-08 20:48:34

Exchange版本漏洞

2022-04-19 11:23:26

release3.1子系统鸿蒙

2022-05-13 09:15:21

三层交换机二层交换机VLAN

2022-05-10 14:11:55

人工智能金融科技机器学习

2022-05-22 21:23:10

前端监控系统

2022-05-16 15:35:00

漏洞黑客

2022-05-06 15:14:20

视频数据

2022-04-11 09:39:58

Linux进程编程

2022-05-18 07:44:13

2022-03-31 10:42:04

端口转发Linux

2022-05-06 10:21:22

Python人脸识别

2022-04-07 10:02:58

前端检测工具

2022-05-09 16:33:03

EDR终端安全

2022-05-06 19:32:38

物联网数字孪生

2022-04-07 15:28:16

HarmonyOS鸿蒙操作系统

2022-05-12 15:54:43

机器学习加密流量分析安全

同话题下的热门内容

支付巨头PayPal曝大漏洞,黑客可直接窃取用户资金奥地利、爱沙尼亚重要机构或正成为俄黑客目标

编辑推荐

DDos攻击解析T级攻击态势下解析DDOS高防IP系统架构2019 HackerOne黑客报告:白帽收入最高竟是普通程序员的40倍利用静态分析加固开源入侵检测系统(IDS)的最佳实践如何利用fBox算法检测隐蔽性强的欺诈用户
我收藏的内容
点赞
收藏

51CTO技术栈公众号