Linux下的Rootkit駐留技術(shù)分析

作者：admin 2018-12-20 10:55:29

針對Linux設(shè)備的惡意軟件(以下稱為rootkit)通常需要長期駐留于目標(biāo)操作系統(tǒng)以達(dá)到獲利目的，所以如何實(shí)現(xiàn)駐留也是Linux rootkit作者的重點(diǎn)考慮內(nèi)容之一，對此，實(shí)驗(yàn)室進(jìn)行了可能的思路探索和分析。

前言

Linux作為服務(wù)器和IoT設(shè)備使用的主要操作系統(tǒng),針對它的惡意軟件也層出不窮。針對Linux設(shè)備的惡意軟件(以下稱為rootkit)通常需要長期駐留于目標(biāo)操作系統(tǒng)以達(dá)到獲利目的，所以如何實(shí)現(xiàn)駐留也是Linux rootkit作者的重點(diǎn)考慮內(nèi)容之一，對此，實(shí)驗(yàn)室進(jìn)行了可能的思路探索和分析。

在接下來的說明中，我們統(tǒng)一使用一個(gè)名為evil的靜態(tài)鏈接ELF文件作為我們要實(shí)現(xiàn)駐留的rootkit，所有的駐留嘗試均圍繞這個(gè)程序展開。

技術(shù)匯總

1. 用戶態(tài)下的可利用點(diǎn)

1.1 各種init的利用

Linux init

在systemd成為主流之前，sysvinit是大多數(shù)發(fā)行版的選擇，即使是Ubuntu之前使用的upstart，和sysvinit也是完全兼容的，直到今天，Debian系發(fā)行版仍保留sysvinit的兼容性。作為Linux的init程序，也就是PID 1，負(fù)責(zé)啟動之后的所有進(jìn)程，所有的服務(wù)都是由它管理，因此它是實(shí)現(xiàn)rootkit駐留的最常見手段。

對于傳統(tǒng)的sysvinit，常見的駐留點(diǎn)都需要以root身份寫入：

/etc/init.d/etc/rc[runlevel].d/etc/rc.local

其實(shí)sysv的服務(wù)文件就是遵循sysv規(guī)范的shell腳本，它在嵌入式設(shè)備中也很常見。給出一個(gè)sysv風(fēng)格的服務(wù)文件如下：

#!/bin/shPATH=/bin:/usr/bin:/sbin:/usr/sbin 
DESC="cron daemon"NAME=cron 
DAEMON=/usr/sbin/cron 
PIDFILE=/var/run/crond.pid 
SCRIPTNAME=/etc/init.d/"$NAME"test -f $DAEMON || exit 0 
 
. /lib/lsb/init-functions 
 
[ -r /etc/default/cron ] && . /etc/default/cronparse_environment() {    for ENV_FILE in /etc/environment /etc/default/locale; do 
        [ -r "$ENV_FILE" ] || continue 
        [ -s "$ENV_FILE" ] || continue 
 
        for var in LANG LANGUAGE LC_ALL LC_CTYPE; do 
            value=$(egrep "^${var}=" "$ENV_FILE" | tail -n1 | cut -d= -f2) 
            [ -n "$value" ] && eval export $var=$value 
 
            if [ -n "$value" ] && [ "$ENV_FILE" = /etc/environment ]; then 
                log_warning_msg "/etc/environment has been deprecated for locale information; use /etc/default/locale for $var=$value instead" 
            fi 
        done 
    done 
 
    # Get the timezone set. 
    if [ -z "$TZ" -a -e /etc/timezone ]; then 
        TZ=$(cat /etc/timezone)    fi}# Parse the system's environmentif [ "$READ_ENV" = "yes" ]; then 
    parse_environmentficase "$1" instart)    log_daemon_msg "Starting periodic command scheduler" "cron" # 這一行是我們修改的目標(biāo) 
    start_daemon -p $PIDFILE $DAEMON $EXTRA_OPTS 
    log_end_msg $? 
    ;; 
stop)    log_daemon_msg "Stopping periodic command scheduler" "cron" 
    killproc -p $PIDFILE $DAEMON 
    RETVAL=$? 
    [ $RETVAL -eq 0 ] && [ -e "$PIDFILE" ] && rm -f $PIDFILE 
    log_end_msg $RETVAL 
    ;; 
restart)    log_daemon_msg "Restarting periodic command scheduler" "cron" 
    $0 stop    $0 start 
    ;; 
reload | force-reload)    log_daemon_msg "Reloading configuration files for periodic command scheduler" "cron" 
    # cron reloads automatically 
    log_end_msg 0 
    ;; 
status) 
    status_of_proc -p $PIDFILE $DAEMON $NAME && exit 0 || exit $? 
    ;; 
*)    log_action_msg "Usage: /etc/init.d/cron {start|stop|status|restart|reload|force-reload}" 
    exit 2 
    ;;esacexit 0

我們在start case中做些修改，使之在啟動時(shí)執(zhí)行我們的evil程序：

對于systemd，我們可以用更多手段實(shí)現(xiàn)駐留，甚至不需要root權(quán)限也可以：

/etc/systemd/system/etc/systemd/user/lib/systemd/system/lib/systemd/user 
~/.local/share/systemd/user 
~/.config/systemd/user

以下是一個(gè)利用systemd服務(wù)文件的示例：

systemctl --user enable service可以使服務(wù)隨用戶登錄啟動，systemctl enable service可以讓服務(wù)隨系統(tǒng)啟動。

bashrc

bashrc或者zshrc等文件會隨著shell的運(yùn)行而被執(zhí)行，利用時(shí)只需在里面加入惡意的shell script即可。

常見位置：

/etc/profile 
~/.bashrc 
~/.bash_profile 
~/.bash_logout

示例如下：

xinitrc

如果目標(biāo)主機(jī)有安裝Xorg，我們也可以以下位置寫入shell script實(shí)現(xiàn)rootkit駐留，不需要root權(quán)限。

～/.xinitrc 
~/.xserverrc/etc/X11/xinit/xinitrc/etc/X11/xinit/xserverrc 
其它initrc

任何應(yīng)用程序都可能在啟動時(shí)執(zhí)行代碼，而且它們很可能會執(zhí)行用戶home目錄的rc文件。例如，我們甚至可以在vimrc里寫入vimscript來執(zhí)行代碼實(shí)現(xiàn)rookit的駐留，這同樣不需要root權(quán)限。

一個(gè)可能的示例如下：

1.2 圖形化環(huán)境的利用

雖然標(biāo)準(zhǔn)的服務(wù)器版Linux發(fā)行版是不會預(yù)裝Xorg的，但還是存在相當(dāng)一部分用戶使用CentOS預(yù)裝gnome2的版本作為服務(wù)器操作系統(tǒng)。因此，基于gnome等桌面環(huán)境和Xorg的駐留有時(shí)候也是重要的而且會容易被忽略的手段。

XDG autostart for system

/etc/xdg/autostart下的desktop文件會被主流桌面環(huán)境在啟動時(shí)執(zhí)行。一個(gè)可能的示例如下：

XDG autostart for user

類似的，用戶可以在自己的~/.config/autostart目錄下加入需要自啟動的desktop文件。

1.3 crond的利用

這是一個(gè)很常見的駐留點(diǎn)，但需要注意的是，很多惡意軟件并不僅僅會把自己寫入用戶的crontab(如/var/spool/cron/root)，它們會把自己寫入軟件包使用的crontab里面，如/etc/cron.d，這樣更不容易引起用戶注意。

1.4 替換文件

替換或者patch一些會被服務(wù)或用戶本身執(zhí)行的程序文件，以同時(shí)執(zhí)行惡意代碼，也是很常見的駐留方式。

我們可以方便的獲取到開源項(xiàng)目的源碼，進(jìn)行修改，加上我們的惡意代碼并重新編譯，替換目標(biāo)系統(tǒng)的相應(yīng)文件。這樣我們的代碼就會隨之執(zhí)行。

下面我們修改openssh portable 7.9的源碼，使之在特定條件下執(zhí)行我們的代碼：

這里修改的函數(shù)是uncompress_buffer，用于處理壓縮傳輸?shù)膕sh連接。我們需要觸發(fā)它的時(shí)候，只需發(fā)起一個(gè)ssh -C即可。

如果沒有源碼，我們同樣可以給現(xiàn)有的binary注入shellcode，不過這種實(shí)現(xiàn)達(dá)到的功能相對有限，且可能會導(dǎo)致原文件損壞。下面使用backdoor-factory進(jìn)行shellcode注入，這個(gè)工具支持自定義shellcode：

如果我們的目標(biāo)主機(jī)是git或svn服務(wù)器，有機(jī)會接觸到項(xiàng)目源碼的話，也可以通過修改目標(biāo)的源碼植入惡意代碼，或者把編譯環(huán)境動手腳，在項(xiàng)目構(gòu)建時(shí)插入惡意代碼，比如在configure腳本里或者M(jìn)akefile里插入代碼，既可以在本機(jī)運(yùn)行，又有可能在編譯之后在更多主機(jī)(取決于項(xiàng)目用途)上運(yùn)行，進(jìn)一步擴(kuò)大感染范圍。這個(gè)思路也是當(dāng)年中國xcode事件黑客的思路。

1.5 動態(tài)鏈接庫劫持

替換動態(tài)鏈接庫

libc會被幾乎所有的ELF調(diào)用，而特定的lib則會被特定的ELF調(diào)用，只要某個(gè)ELF的執(zhí)行概率夠高，我們同樣可以用我們重新編譯的惡意so替換掉它所鏈接的某個(gè)so文件，達(dá)到執(zhí)行惡意代碼的效果。

當(dāng)然，以這種思路來看，替換掉整個(gè)libc也是未嘗不可的。

下面以sshd的動態(tài)鏈接庫為例，sshd使用的so文件如下：

libz.so.1看上去像是zlib的文件，可以驗(yàn)證一下：

那么我們可以去下載zlib源碼，在可能會被調(diào)用的函數(shù)里加上我們的私貨。

經(jīng)過grep搜索openssh portable 7.9的源碼，可以看到packet.c使用了zlib的函數(shù)：

確定了我們需要注入代碼的函數(shù)，就可以去修改zlib源碼了，在inflate.c的inflate函數(shù)里加入簡單的system調(diào)用，來執(zhí)行我們的evil程序：

完成修改之后我們make構(gòu)建項(xiàng)目，然后用我們的惡意libz.so替換原本的文件。

此處修改的zlib，通常只會在ssh客戶端指定了使用壓縮時(shí)，才會被使用。所以我們需要使用ssh -C命令去測試。

提醒一點(diǎn)，作為動態(tài)鏈接庫，它們的函數(shù)可能被頻繁調(diào)用，我們在利用的時(shí)候要避免造成不必要的負(fù)載。另外，由于大部分程序都是動態(tài)鏈接庫文件，我們也需要格外小心，避免加入的代碼調(diào)用的程序最終往回調(diào)用我們修改的庫文件本身(尤其是在修改libc的時(shí)候)，造成死循環(huán)，導(dǎo)致系統(tǒng)停止響應(yīng)。

ld.so.preload

最常見的實(shí)現(xiàn)是在/etc/ld.so.preload中寫入我們需要讓libc執(zhí)行的so文件，或者設(shè)置LD_PRELOAD環(huán)境變量，這樣，任何依賴系統(tǒng)libc的user space程序，都會在運(yùn)行之前執(zhí)行我們的so文件，從而實(shí)現(xiàn)了有效的rootkit駐留(鑒于幾乎所有目標(biāo)主機(jī)都是動態(tài)編譯的，幾乎所有程序都要使用系統(tǒng)libc)。

下面我們編寫一個(gè)簡單的惡意so(shared object)作為說明：

這里的惡意so將編譯為libevil.so。通常的lib都是為主程序提供庫函數(shù)的，只有被調(diào)用的代碼才會被執(zhí)行，于是我們需要解決的第一個(gè)問題是讓我們的代碼在lib被加載時(shí)直接自動運(yùn)行。類似于Windows下的DllMain，gcc提供了function attributes，我們可以用形如__attribute__((constructor))的attribute來達(dá)到目的。對應(yīng)的，__attribute__((destructor)) 則會在lib被unload的時(shí)候執(zhí)行。

具體解釋見官方文檔：

我們使用如下代碼構(gòu)建libevil，這里有一個(gè)坑，execl函數(shù)只有出錯(cuò)時(shí)才返回，如果使用它執(zhí)行了外部程序,那么在外部程序執(zhí)行完之后，libevil將會退出當(dāng)前進(jìn)程(也就是我們本來要執(zhí)行的進(jìn)程)，使任何ELF都無法正常執(zhí)行。解決方法是使用 fork 函數(shù)創(chuàng)建子進(jìn)程，在子進(jìn)程里執(zhí)行execl啟動外部程序。

使用如下命令構(gòu)建我們的 libevil.so：

設(shè)置LD_PRELOAD環(huán)境變量，使我們的libevil在ld執(zhí)行任何ELF之前被執(zhí)行。

需要注意的是，我們的libevil會在每個(gè)動態(tài)ELF執(zhí)行之前被執(zhí)行，如果在其中調(diào)用了外部的動態(tài)ELF，那個(gè)ELF執(zhí)行時(shí)會再次調(diào)用libevil，就會造成死循環(huán)，使系統(tǒng)處于不可用狀態(tài)。

我們也可以在libevil里實(shí)現(xiàn)rootkit的所有功能。

2. 內(nèi)核態(tài)的駐留

傳統(tǒng)的rootkit就是指這類惡意軟件，對于Linux rootkit來說，最有效的方法就是把自己作為kernel module加載，因?yàn)榇蠖鄶?shù)Linux目標(biāo)都是允許動態(tài)加載kernel module的。

在kernel space里運(yùn)行惡意代碼的好處顯而易見，由于大部分審計(jì)工具都在user space運(yùn)行，管理員通常很難發(fā)現(xiàn)惡意軟件的存在，這就帶來了上面的方法所不能達(dá)到的隱蔽性。

2.1 LKM – 可加載內(nèi)核模塊

目前有一些開源的LKM (Loadable Kernel Modules) 木馬demo，比較有代表性的是Reptile，它使用自己的kernel module實(shí)現(xiàn)了隱藏和駐留。

下面我們使用這個(gè)思路來實(shí)現(xiàn)一個(gè)簡單的內(nèi)核惡意代碼執(zhí)行：

這里的LKM實(shí)現(xiàn)比較簡單，只是在加載和退出的時(shí)候執(zhí)行了兩個(gè)shell腳本，并使用printk輸出了內(nèi)核調(diào)試信息。我們只需定義兩個(gè)函數(shù)分別用于initialize和exit即可完成LKM的主體框架了，module.h會有相應(yīng)函數(shù)module_init和module_exit用來實(shí)現(xiàn)。

MODULE_LICENSE也需要設(shè)置，因?yàn)長inux是GPL授權(quán)，我們需要聲明兼容的授權(quán)協(xié)議，否則Linux會提示tainted kernel(雖然不影響正常使用，但會比較容易引起注意)。編譯LKM的方法可以參考Linux內(nèi)核文檔，或者直接參考現(xiàn)有的LKM項(xiàng)目的Makefile，這里的Makefile內(nèi)容如下：

LKM代碼如下，使用user space helper達(dá)到了執(zhí)行外部程序的目的：

使用insmod命令動態(tài)加載LKM到內(nèi)核，立即生效：

下面是dmesg的相關(guān)輸出：

LKM執(zhí)行惡意代碼有比較大的局限性，因?yàn)楸仨氠槍ο嗤瑑?nèi)核版本編譯才能正常使用，從而引入了Linux headers的依賴，實(shí)現(xiàn)大范圍傳播的難度較大。防范此類攻擊(也是最危險(xiǎn)和隱蔽的一種)的最有效方法就是關(guān)閉Linux的動態(tài)模塊加載功能，對于大多數(shù)Linux服務(wù)器，關(guān)掉這個(gè)功能通常不會造成額外影響。

2.2 initrd的利用

Reptile會把自己寫入/etc/rc.modules以便在系統(tǒng)啟動時(shí)插入自己的module。但通過initrd實(shí)現(xiàn)更加隱蔽可靠。initrd即init ram disk，用于提供一個(gè)基本的環(huán)境以便啟動完整的Linux。

鑒于initrd很少受到關(guān)注和保護(hù)，它又一定會在啟動時(shí)被加載入內(nèi)存，我們可以在這個(gè)內(nèi)存文件系統(tǒng)中插入自己的LKM并修改init腳本使我們的LKM在啟動時(shí)被加載，從而實(shí)現(xiàn)惡意代碼執(zhí)行。

這里以Kali(Linux 4.18，基于Debian Sid)為例，分析可能的利用點(diǎn)：

下圖是init腳本functions定義中，加載自定義kernel module的函數(shù)，我們可以把自己的LKM放到modules目錄下(例如 ./usr/lib/modules/4.17.0-kali3-amd64/kernel)，然后在 ./conf/modules里寫上自己的LKM，我們的LKM就會隨著initrd加載到內(nèi)核。

或者我們也可以直接在load_modules函數(shù)內(nèi)增加modprobe操作來加載惡意LKM。