中文字幕亚洲第一精品|精品国产免费一区二区|久久婷婷五月六月综合版|中文字幕熟妇久久久人妻|久久综合精品国产一区无码|国产成人精品永久免费视频|午夜亚洲国产精品理论片a级|久久精品一区二区三区无码护土

 訪問(wèn)手機(jī)版  

Linux系統(tǒng)入門學(xué)習(xí)|Linux培訓(xùn)|考試認(rèn)證|工資待遇與招聘,認(rèn)準(zhǔn)超級(jí)網(wǎng)工!

 招聘|合作 登陸|注冊(cè)

網(wǎng)絡(luò)工程師培訓(xùn)

當(dāng)前位置:網(wǎng)絡(luò)工程師 > 技術(shù)課程 > linux > 熱點(diǎn)關(guān)注 > linux系統(tǒng)入門學(xué)習(xí)

Linux惡意程序分析之0×00

時(shí)間:2018-07-05

日常使用電腦中,我們偶爾會(huì)遇到惡意程序的攻擊。Linux系統(tǒng)對(duì)于Windows系統(tǒng)來(lái)說(shuō)要少一些,但是也不意味著沒(méi)有。既然學(xué)習(xí)了Linux系統(tǒng),那么對(duì)于Linux的惡意程序也要了解一下。今天我們就來(lái)說(shuō)說(shuō)0×00。
0×00的常見特征:
1、體積小,功能相對(duì)單一
在收集到的幾十個(gè)樣本中,最大的(沒(méi)有去除符號(hào)表)也只有1.8M,如果去除符號(hào)表的話只有400K左右,很多病毒甚至只有幾K。 且大部分樣本都只干一件事,如發(fā)起DOS攻擊,收集用戶信息、某些軟件漏洞的POC等。一般附帶一個(gè)命令執(zhí)行接口,來(lái)接收黑客下達(dá)的指令,并不會(huì)像windows下的病毒那樣功能豐富,集進(jìn)程注入,注冊(cè)表修改,文件修改,進(jìn)程隱藏,鍵盤記錄,信息收集等與一身。
主要原因:linux對(duì)權(quán)限控制比較嚴(yán)格,沒(méi)有root權(quán)限沒(méi)有辦法對(duì)其他程序進(jìn)行修改、注入,無(wú)法訪問(wèn)一些敏感的文件。 另外linux分支較多,如果內(nèi)核版本不匹配程序可能因?yàn)橐蕾噹?kù)版本問(wèn)題無(wú)法執(zhí)行,所以即使衍生出大量其他程序也未必能執(zhí)行。
2、加殼一般使用UPX
在收集到的樣本中,幾款被加殼的樣本都使用UPX進(jìn)行加殼,暫時(shí)沒(méi)有發(fā)現(xiàn)使用其他殼。
3、命令執(zhí)行,調(diào)用system函數(shù)  
作為后門,同時(shí)也作為下發(fā)一些攻擊命令的通道。
4、一些漏洞的POC  
Linux下的惡意樣本有一大部分是結(jié)合常用軟件的漏洞來(lái)感染的。
5、關(guān)鍵數(shù)據(jù)加密  
病毒通常會(huì)對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行加密,如真實(shí)連接的url,IP,執(zhí)行的命令等信息。
6、工具化,帶有命令選項(xiàng)  
Linux下的病毒,有些能夠接受不同的命令選項(xiàng),就像linux下的工具那樣,不像windows下那樣只要運(yùn)行起來(lái)就好了。這樣方便更好的與其他程序聯(lián)動(dòng),更利用bash腳本組合多個(gè)病毒一起工作。
7、僵尸網(wǎng)絡(luò),發(fā)起DOS攻擊  
收集到的樣本中,發(fā)現(xiàn)帶有DOS攻擊功能的樣本比例很高。因?yàn)閘inux用作服務(wù)的場(chǎng)景較多,網(wǎng)絡(luò)性能,處理器性能,內(nèi)存性能都比較好,并且有些網(wǎng)絡(luò)管理員并不經(jīng)常查看系統(tǒng),所以很適合作為僵尸機(jī),發(fā)起DOS攻擊。 同時(shí)目前網(wǎng)游,電子支付等在linux下使用的較少,沒(méi)有發(fā)現(xiàn)有樣本有盜號(hào)行為, 對(duì)linux服務(wù)器來(lái)說(shuō),最有價(jià)值的東西就是數(shù)據(jù)庫(kù),黑客在拖庫(kù)之后,為了最大化利用資源,作為DOS僵尸機(jī)是一個(gè)最好的用途。
8、收集用戶的信息,通常為root賬號(hào)密碼  
有些情況下,程序并不運(yùn)行在root權(quán)限下。 但是通過(guò)收集一些用戶的操作指令,可以截獲root的賬號(hào)密碼,從而獲得root權(quán)限。
9、難以提取特征函數(shù)  
Windows下可以總結(jié)出一大堆病毒常用的winAPI,但是linux下的病毒基本都使用常用的底層函數(shù),與其他程序并沒(méi)有太大的區(qū)別,難以通過(guò)使用的函數(shù)來(lái)判斷病毒。