文章插图
Linux基础软件威胁疑云:从已知到“未知”
上述以OpenSSH为例,揭示了针对Linux开源基础软件,一个公开的恶意代码植入思路可能演化出的多样形式 。由此切入,我们再来探讨Linux开源程序面临的威胁全景 。
? 已知:基础软件污染事件
OpenSSH被选择作为后门载体,一方面由于其本身是登录入口程序,具有功能敏感性;另一方面由于作为Linux系统的daemon程序之一,具有常驻后台的特性 。实际上,Linux的基础软件,包括操作系统基本功能的基础程序,以及Linux服务器主机常用的服务程序,都由于以上两个特性之一,存在已知或未曾披露过的污染 。
Linux操作系统基础程序:病毒持久化温床
Linux由于系统设计理念,存在大量系统原子功能设计为基础程序(如ls、ps、grep等),大量与系统的交互功能由这些基础程序的调用串接完成,因此这些基础软件总是不可避免地得以高频调用 。另一些系统程序,类似sshd,是默认后台执行的daemon看守程序,涉及底层系统管理、监控、服务提供等功能 。因此这些程序天然的成为恶意代码持久化运行的目标载体 。
在DDG僵尸网络中,多种入侵和感染方式结合用于确保挖矿任务的成功下发、维持和隐藏 。在最新的样本分析中,阿里云安全运营中心发现在过往的入侵行为中,存在将多例系统基础程序进行替换的历史 。被替换的基础程序涉及grep,awk,sendmail,chattr,pkill,lsattr,sleep,wget等 。为保证恶意程序本身简洁且高度兼容,这些用于替换的程序没有选择在独立的源码基础上进行修改(即,替换版本的pkill并非原版的pgrep/pkill源码编译),而是统一采用busybox源码插入后门代码,编译后的二进制程序替换到目标系统路径后,由main调用到DDG的木马代码,如下图 。与此类似,近期也新定位到一类新增的系统程序替换污染,将若干系统程序替换为由glibc源码中加入了恶意main代码之后编译的二进制程序 。
文章插图
另一部分具有“入口”性质的Linux系统基础程序,也存在广泛的感染风险威胁 。现已观察到,agetty、dhclient、bash、sftp-server、sudo、login、irqbalance、gssproxy、anacron等代码版本长期稳定的系统程序,存在频繁的更新、挪移操作;而对于Linux系统服务的daemon程序,也是入侵中的篡改、后门植入的敏感领域;在近两年,阿里云安全运营中心已经发现有包括如下系统daemon存在可疑文件变动:dbus-daemon,systemd-logind,systemd-journald,auditd,ntpd,rsyslogd,chronyd,lvmetad,atd,rpc.statd,packagekitd,xinetd,vsftpd,等等 。针对以上可疑的文件挪移、篡改,阿里云云安全中心已经具有监测告警的模型,预警用户进行审计;对于样本的恶意代码分析检测,也已经具有大量沉淀,且在逐步覆盖对可疑事件中的样本的判别能力 。
推荐阅读
- 惊蛰, 春日从杯 FU TEA 苏醒
- 惊蛰已到 古树春茶还会远吗
- 40+岁老测试员的生涯回顾,Python自动化从业十年是种什么体验?
- 为啥盗墓贼总比考古学家先找到墓 挖掘兵马俑那盗墓老头
- 霸王龙的咬合力是什么概念 霸王龙的咬合力到底有多大
- 贵台红加盟信息,如何才能买到好的普洱茶春茶
- 招聘|大学毕业生找到一份销售工作,却发现做的事违背良心,该怎么办?
- 乌龟从什么时候开始冬眠? 乌龟何时冬眠,如何冬眠
- 宇航员到了月球以后,体重就只有地球上的六分之一 对于宇航员从月球带回的样本,科学家们的
- 蚊子咬到眼皮怎么消肿