首页
论坛
课程
招聘
[翻译]ELF恶意软件分析101:Linux威胁防御不再滞后
2020-7-22 17:21 3212

[翻译]ELF恶意软件分析101:Linux威胁防御不再滞后

2020-7-22 17:21
3212

原文:https://www.intezer.com/blog/linux/elf-malware-analysis-101-linux-threats-no-longer-an-afterthought/

翻译:看雪翻译小组-OsWalker

校对:看雪翻译小组-StrokMitream


引言

由于开源、免费、面向开发(丰富的生态系统使开发者很容易访问到许多不同的已有成果),Linux在操作系统市场占据了很大份额。LinuxWeb服务器IOT超级计算机公共云工作站(校对:公有云)的首选操作系统。尽管Linux在桌面市场只占有2%份额,相比较Windows占有88%份额,但Linux桌面安全也不能被忽略,我们在20197月发现的EvilGnome证明了这一点。

实际上Linux无处不在,但Linux威胁检测在反病毒产业却很少见,这一现状促使攻击者近几年大量攻击Linux。研究人员曾揭露过高度复杂的ELF恶意软件,表明攻击者越来越多地在武器库中增加Linux恶意软件。当前,只有少数公司在追踪并公开最新Linux威胁的IOC及其它信息。当前在该操作系统上存在许多未被发现的安全威胁,我们期望随着时间推移,Linux越来越流行的同时也揭露出更多威胁。这一进程的关键在于,我们的安全研究员有能力理解和分析 Linux 恶意软件。

我们发起这个训练目的是让真实的ELF恶意软件分析更容易接触到。这个多部分组成的系列训练将给你提供高效进行ELF恶意软件分析的实践知识和工具。你将对ELF文件格式有个更好的理解,并学习如何使用静态和动态方法分析ELF文件。同时,我们会发表好用的分析工具和恶意软件分析实例。完成本系列训练后,你将能够分析ELF文件,判断其是否恶意,并按照威胁类型对其分类。

在开始ELF分析实战技术介绍之前,本文先介绍一下EFL恶意软件世界。我们将回顾ELF威胁领域,解释一个Linux机器最初如何被感染,细说你作为一个安全研究者或恶意软件分析师这为何需要获得ELF分析技能。

Linux威胁领域

Linux威胁领域高度集中在DDoS僵尸网络和加密货币挖矿。但实际情况要更复杂,APT和其它网络犯罪组织开发了更加复杂的威胁。2019年,我们的研究人员记录了超过20个之前未发现的Linux威胁样例。那些威胁包括大规模加密货币挖矿活动、僵尸网络、勒索软件和国家赞助的攻击。

下面列出的Linux威胁只是在研究社区中有分析文档的样本的一部分:

  • QNAPCrypt----目标为Linux文件存储服务器的勒索软件活动。这个活动在发现后被我们的研究者溯源为一个俄罗斯网络犯罪组织FullofDeep

  • Cloud Snooper----Sophos的研究者在Linux服务器上发现的RAT。该威胁在Amazon Web Services EC2上被发现,该恶意软件使用各种工具来绕过安全检测。基于其使用的工具集和复杂性,研究者相信该攻击由一个APT组织发起。

  • Winnti----在德国医药公司Bayer的系统中发现的与Winnti Umbrella组织有关联的后门。Winnti组织是一些列中国政府赞助的行为,它们有相同的目标并共享资源(包括攻击工具)。Chronicle对该恶意软件进行了深度分析。这是Winnti Linux 变种首次出现在公众视野。

  • HiddenWasp----攻击Linux服务器的RAT。由rootkit、木马和初始化部署脚本组成。尽管使用了各种开源恶意软件如 MiraiAzazel rootkit的源码,但在被研究者发现前,该恶意软件仍未被各大杀毒软件查杀出来。。有证据表明HiddenWasp与中国APT组织有关

  • EvilGnome----Linux桌面后门植入,俄罗斯Gamaredon组织有关。该恶意软件有许多功能,包括文件盗取、捕获桌面快照,录音并支持扩展功能模块。

  • Dacls----360网络实验室报告的与Lazarus APT组织有关的RAT。研究者同时发现该恶意软件的ELFPE版本。这是Lazarus APT组织首次被揭露的Linux恶意软件

  • MnausCrypt----Lazarus组织有关的RAT。该恶意软件主要针对Windows。最近发现了该恶意软件的一个Linux版本,US CERT2020年三月报告了一个与ManusCrypt很相似的变种F PE

  • MESSAGETAP----FireEye在一个电信公司的Linux服务器上发现的信息盗取工具。这些服务器是SMSCShort Message Service Center),将SMS消息路由到接收者。该恶意软件被设计用来盗取SMS流量并与Winnti组织有关

Linux威胁不只在于恶意软件利用受害者计算机资源的风险。他们也包括破坏和侵入性的恶意软件,可以损害受害者的私人领域。

ELF恶意软件如何感染系统?

对于桌面系统,钓鱼攻击是感染的常用方法,与此不同,攻击者感染服务器和IoT平台不能依赖终端用户在使用过程中安装恶意软件。不存在用户与浏览器和email账户的交互,钓鱼工具基本上与这类系统无关。这意味着恶意软件到这类系统的进入点更加有针对性。下面是感染非桌面的Linux机器的主要攻击向量:

  1. 脆弱性利用:攻击者寻找可利用的未打补丁的可公开访问的组件来访问系统。例如,利用NOTROBIN后门的攻击者利用CVE-2019-1978传播恶意软件,这是一个Citrix NetScaler中的脆弱性。使用Asnarok木马的攻击者最初利用找到的Sophos XG防火墙中的一个0daySQL注入远程代码执行)进行植入。配置错误的服务也是攻击者发起攻击的入口。Kinsing恶意软件利用因错误配置而开放的Docker Daemon API端口进行传播。

    — Threatpost (@threatpost) April 27, 2020    

    攻击者已瞄准Sophos XG防火墙-利用0day工具向脆弱应用投放Asnarok恶意软件https://t.co/Aa0ml2fnZo

  2. 使用有效证书:默认的软件证书或被破坏的证书。攻击者可以通过许多方法偷取密码,包括密码喷洒、证书填充和本地挖掘。研究者认为, Cloud Snooper 攻击者最初是通过攻陷一台密码验证登录的 SSH 服务器开始的。

  3. 信任关系滥用:攻击者可以利用第三方组织的入口直接访问目标系统。这些组织可能受害基础设置有受限的访问权限,攻击者在这些基础设置中长期存在并与目标位于相同网络。例如,攻击者可能攻陷IT服务承包商,然后在获得这些组织的有效凭证后将其客户作为攻击目标。

Linux恶意软件不被知道

并不只是新的和复杂的恶意软件不被安全厂商检测,常规的也一样。Mirai是一个很好的例子。Mirai是一个开源的DDoS僵尸网络,许多僵尸网络变种都基于此。攻击者只需要对这个Mirai样本进行一些混淆文件内字符串特征的修改就可以绕过检测。

这个样本在三月上传到VirusTotal,没有一个检测到。那之后,我们发表了一个博客,讨论了代码重用分析的有效性以及基于特征检测该恶意软件和其它Linux威胁的检测方案。到今天,该文件的VirusTotal报告中只被检测

当面对ELF恶意软件,当前的反病毒解决方案不那么可靠。这是在你的技能树中增加ELF文件分析能力的重要性。

如果你想了解更多关于传统解决方案无法有效检测ELF文件的内容,查看这个关于Linux威胁领域资料的页面

ELF文件分析挑战

那么当你有一个想要分析的可疑ELF文件时,从何开始?

网上有许多PE文件(Windows 平台可执行文件格式)分析的信息以及各种好用的工具和教程。然而,搜索ELF分析的内容,你很容易迷失。缺少关于分析方法、结论判定、恶意软件规避技术的一致的信息,同时还缺少最新的开源工具,这令人沮丧

我们至少可以列出六个公开的支持Windows PE文件的沙箱。然而,没有支持ELF的在线沙箱解决方案。仅有的沙箱需要自己创建沙箱实例并且没有持续被维护。在我们这个系列训练中我门将提供相关ELF静态分析和动态分析的工具。

结论

Linux使用很广泛并且威胁既现实又紧迫。有记录的WinntiLazarus仅是众多使用 ELF 攻击工具的APT组织中的一小部分。由于缺少对ELF恶意软件的发现能力,安全厂商稀少的检测样本和缺少关于ELF恶意软件的公开资源,我们相信有许多未揭露的Linux威胁亟待发现。

我们发起该系列训练的目的是为研究者统一分析ELF恶意软件的基础知识和工具集。

即将到来

在下一篇文章中,我们将回顾ELF格式,它的静态组件并解释如何在恶意软件分析实战中结合有用的工具使用这些知识。

下面是下一篇blog需要的准备:

  1. 确保你有个Linux虚拟机

  2. 我们建议你读读我们的ELF格式系列blog

    1. Part      1 – Sections and Segments
    2. Part      2 – Symbols
    3. Part      3 – Relocations
    4. Part      4 – Dynamic Linking
    5. Part      1节和段
    6. Part      2符号
    7. Part      3重定向
    8. Part      4动态链接

如果你想了解更多关于Linux DDoS威胁的内容,参考这个探索中国DDoS威胁领域的博客


[看雪官方]《安卓高级研修班》线下班,网课(12月)班开始同步招生!!

收藏
点赞1
打赏
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回