Linux下的APT攻击工具HDD Rootkit分析-阿里云开发者社区

开发者社区> 玄学酱> 正文

Linux下的APT攻击工具HDD Rootkit分析

简介:
+关注继续查看

一、概况

前段时间,卡巴斯基捕获到Winnti网络犯罪组织在Windows下进行APT攻击的通用工具——HDD Rootkit。近期,腾讯反病毒实验室在Linux系统下也捕获到同类工具。Winnti组织利用HDD Rootkit在Windows和Linux系统下进行持续而隐蔽的APT攻击。经分析发现,HDD Rootkit先是篡改系统的引导区,然后在进入Linux系统前利用自带的Ext文件系统解析模块,将隐藏在硬盘深处的后门文件解密出来后加入到开机启动脚本或系统服务里。目前受攻击的系统有Centos和Ubuntu。

图1:HDD Rootkit在Linux下的攻击流程

二、HDD Rootkit在Linux下的详细分析

1.过程展示

分析HDD Rootkit:

图2:分析HDD Rootkit得到的参数提示

运行HDD Rootkit: 

图3:运行HDD Rootkit工具

通过图3,能看出HDD Rootkit平台已经把RKimage和Backdoor解密并写入扇区里面,而且计算了他们的Crc16值(这部分后面有更详细的分析)。接下来,我们看看mbr的变化:一是第一扇区已经被改写(如图4);二是开机瞬间显示出HDD Rootkit的调试信息(如图5)。当系统中毒以后,第1扇区存放病毒的MBR,第25扇区存放BootCode,第26与第27扇区存放加密后的原始MBR。

图4:左边是被修改的mbr,右边是原始的mbr

图5:开机时RKimage的输出信息,注意:debug版本才有信息输出

2.安装阶段详细分析

(1)运行安装方式与参数: 

图6:hdroot_32_bin安装方式

在Linux下运行HDD Rootkit 如 ./root_32_bin inst ./createfile 1。其中第一个参数是安装类型,第二个参数是后门文件,第三个参数是启动类型(共三种开机启动方式)。

(2)HDD Rootkit的文件存储和隐藏:

HDD Rootkit早期的版本是把MBR、Boot Code、RKimage等放在程序资源里面,在Linux系统下则是把这些文件加密存储在安装器里面。以下分析HDD Rootkit如何将加密好的MBR、Boot Code、RKimage解密出来,又重新加密写入到第一个扇区和空闲的扇区里面。

图7:左边是加密的结构体,右边是解密过程

HDD Rootkit将Rkimage和Backdoor再次加密后写入扇区,将后门文件藏得更深。 

图8:将RKimage和Backdoor文件写入扇区

获取引导盘,准备写入MBR和Bootcode,步骤如图9和图10所示。 

图9:步骤一

图10:步骤二

(3)RKimage 功能分析

RKimage是HDD Rootkit下释放的子工具。RKimage不依赖于操作系统,直接解析文件系统,能根据不同的安装情况,把后门加入开机启动。

RKimage模块:

◆由Bootcode拉起,将实模式切换到保护模式;

◆实现Ext文件系统解析与读写功能;

◆把隐藏在扇区的后门写成文件,根据不同的情况增加开机启动项。 

图11:RKimage的文件系统解析模块的字符串提示

第一种开机启动方式:

图12:/etc/rc*.d/S7*cdiskmon 类型

第二种开机启动方式:

图13:/etc/rc.d/rc.local类型

第三种开机启动方式:

图14:SYSTEMD类型

(4)后门文件

由于获取的程序样本有限,在分析过程中并没有获取真正有效的Backdoor文件,所以整个攻击的完整流程和木马如何把信息向外通信并未分析到。因此,自主构造了一个写文件的可执行程序。

3.调试 HDD Rootkit的MBR、Bootcode、RKImage关键节点 

图15:中毒后的第一扇区

图16:HDD加载Bootcode 

图17:从Bootcode进入到RKimage模块

图18:RKimage模块加载GDTR

图19:RKimage模块里面准备切换到保护模式

图20:RKimage模块准备执行功能

图21:RKimage模块输出功能代码的调息信息





本文作者:佚名
来源:51CTO

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
针对巴基斯坦的某APT活动事件分析
本文讲的是针对巴基斯坦的某APT活动事件分析,2017年6月,360威胁情报中心发现了一份可疑的利用漏洞执行恶意代码的Word文档,经过分析后,我们发现这有可能是一起针对巴基斯坦的政府官员的APT攻击事件,
1614 0
「镁客·请讲」智易科技李杰:技术工具化,打造AI时代的“操作系统”
在李杰看来,从智能化时代的终局进行倒推,AI将会是一个重要的基础设施,就如同现在的互联网。
273 0
HanLP 关键词提取算法分析详解
给定若干个句子,提取关键词。而TextRank算法是 graphbased ranking model,因此需要构造一个图,要想构造图,就需要确定图中的顶点如何构造,于是就把句子进行分词,将分得的每个词作为图中的顶点。
1202 0
怎么设置阿里云服务器安全组?阿里云安全组规则详细解说
阿里云服务器安全组设置规则分享,阿里云服务器安全组如何放行端口设置教程
8419 0
《Spark与Hadoop大数据分析》——1.1 大数据分析以及 Hadoop 和 Spark 在其中承担的角色
本节书摘来自华章计算机《Spark与Hadoop大数据分析》一书中的第1章,第1.1节,作者 [美]文卡特·安卡姆(Venkat Ankam),译 吴今朝,更多章节内容可以访问云栖社区“华章计算机”公众号查看。
1331 0
+关注
玄学酱
这个时候,玄酱是不是应该说点什么...
20710
文章
438
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载