Symbiote:针对拉丁美洲金融部门的高级Linux平台Rootkit

置顶 已于 2022-09-23 10:33:14 修改
阅读量617 收藏 1
点赞数
分类专栏: Linux服务器安全 文章标签: linux
于 2022-08-18 10:07:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_43312649/article/details/126399176
版权

Symbiote

Symbiote简介

Symbiote是由国外安全公司BlackBerry在今年6月9日披露的一种疑似针对拉丁美洲金融部门的Linux平台高级rootkit,其使用了多种hook技术藏匿自身的行为,具有非常好的免杀性,主要功能是窃取登录凭据并在被感染机器上植入后门。

Symbiote在之前的版本中名称分别为kerneldev.so.bkp、mt64_.so。其中还有一个名为certbotx64的组件,其本质是开源的DNS隧道工具dnscat项目编译出的客户端dnscat项目。经历长时期的开发演进,目前Symbiote较新的版本是名为search.so的64位ELF共享目标文件。

静态解密分析

search.so是共享目标文件,又称动态链接库,通过动态加载到Linux的其他进程中去来运行它的代码。
在这里插入图片描述
它通过设置LD_PRELOAD环境变量的值,利用Linux的预加载机制,可以在程序运行前优先加载自身,从下图可以看出search.so在导出函数中劫持了多个库函数。

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Linux rootkit 深度分析 – 第1部分:动态链接器劫持
分享web安全、AI安全、云安全、业务安全、渗透测试、安全开发、安全工具、行业动态等优质内容……
08-11 1062
Rootkit 通常是攻击者用来完全控制受感染资源并隐藏恶意活动的一种恶意软件。它们通常是持续性攻击活动的一部分,例如窃取敏感信息或进行间谍活动。Rootkit 可能难以检测和删除,因为它们利用高级技术来隐藏它们在系统上的存在。
linux 下 tcpdump详解 后篇(自己实现抓包过滤)
lkq19941204的博客
11-28 2692
linux 下 tcpdump详解 后篇(自己实现抓包过滤)
原始套接字与抓包过滤规则setsockopt(fd, SOL_SOCKET, SO_ATTACH_FILTER, ...)
阿群的笔记(同步备份自简书)
10-28 5062
英文资料: https://www.kernel.org/doc/Documentation/networking/filter.txt https://github.com/torvalds/linux/blob/master/tools/testing/selftests/net/psock_lib.h#L29-L73 struct sock_filter filter[]...
Socket-filter
as3522的博客
07-28 4031
看代码的时候突然遇到了一个很奇怪的结构体 struct sock_filter 当时就是一脸茫然,这是什么? 通过百度大概了解了一下皮毛,这个是过滤器,可以配置规则来过滤一些报文,只提取自己感兴趣的报文。 比较详细的介绍可以参考Linux内核工程导论——网络:Filter(LSF、BPF、eBPF) 本文大概简单介绍一下。 设置BPF过滤器是通过setsockopt调用来完成的,格式...
Linux内核project导论——网络:Filter(LSF、BPF、eBPF)
weixin_34128237的博客
07-13 856
概览     LSF(Linux socket filter)起源于BPF(Berkeley Packet Filter)。基础从架构一致。但使用更简单。LSF内部的BPF最早是cBPF(classic)。后来x86平台首先切换到eBPF(extended)。但因为非常多上层应用程序仍然使用cBPF(tcpdump、iptables),而且eBPF还没有支持非常多平台,所以内...
setsockopt函数功能及参数详解
最新发布
lsqiyue的博客
01-08 7071
应用程序编写者只有在确切了解它的效果并确实需要的情况下,才设置TCP_NODELAY选项,因为设置后对网络性能有明显的负面影响。TCP_NODELAY是唯一使用IPPROTO_TCP层的选项,其他所有选项都使用SOL_SOCKET层。第二个参数level是被设置的选项的级别,如果想要在套接字级别上设置选项,就必须把level设置为 SOL_SOCKET。为了允许SO_LINGER,应用程序应将l_onoff设为非零,将l_linger设为零或需要的超时值(以秒为单位),然后调用setsockopt()。
Linux平台Rootkit木马分析与检测.pdf
09-06
Linux平台Rootkit木马分析与检测 Linux操作系统是当前最流行的操作系统之一,而Rootkit木马作为当前危害最大的木马程序,它能够运行在内核层,从中破坏系统的内核结构,隐蔽性比传统木马程序更强。因此,Rootkit...
Linux Rootkit_evil_linux_rootkit_
10-02
Linux Rootkit,如"evil_linux_rootkit",是恶意软件的一种形式,专为Linux操作系统设计,主要用于隐藏攻击者在系统中的活动。Rootkit通常由黑客使用,以绕过安全措施,持续控制受感染的系统,并避免被常规的安全...
kprobe_rootkit:使用 kprobes 的 Linux 内核 rootkit(来自 http
06-18
【标题】: "kprobe_rootkit: 使用kprobes技术构建的Linux内核Rootkit" 在Linux操作系统中,内核rootkit是一种高级的攻击手段,它允许攻击者隐藏其活动并控制系统的底层层面。其中,"kprobe_rootkit"是一个利用...
Reptile:LKM Linux rootkit
05-07
Debian 9 :4.9.0-8-amd64 Debian 10 :4.19.0-8-amd64 Ubuntu 18.04.1 LTS :4.15.0-38通用Kali Linux :4.18.0-kali2-amd64 Centos 6.10 :2.6.32-754.6.3.el6.x86_64 Centos 7 :3.10.0-862.3.2.el7.x86_64 ...
(十三) 深入浅出TCPIP之setsockopt参数详解
网易搬砖头
11-29 1681
在socket编程中我们会经常用到setsockopt这个函数,那么本节我们将对这个函数的参数和使用做说明:首先看下函数原型:int setsockopt( int socket, in...
linux自动化测试脚本,介绍5款非常棒的移动自动化测试工具
weixin_39903176的博客
04-30 196
导读如今,移动应用在企业的地位越来越重要,消费者对移动设备的要求也越来越高。为适应这一需求,测试团队必须在移动设备推出市场之前,对其性能进行一系列的评估和测试。然而,这是一个既耗时又耗资源的工作,尤其移动设备的自动化测试还非常复杂。在现已出现的开源移动自动化测试工具中,我总结出5款最实用的,希望它们对你有帮助(部分可同时在iOS和Android设备上使用):1、AppiumAppium是一款用于自...
Linux 动态加载并调用动态库(.so)方法介绍
热门推荐
enjoy.day
04-02 3万+
linux动态库
linux中rookit的类型,Linux下一种rootkit的分析和检测
weixin_35803480的博客
05-14 422
原标题:Linux下一种rootkit的分析和检测*本文原创作者:linken,属于FreeBuf原创奖励计划,禁止转载0×01 引言前段时间在github上看到了一个开源的rootkit源码,代码量比较少,OS适配也比较容易。将分析的笔记整理成一篇小文,分享出来。水平有限,难免有疏漏和错误,敬请指教。0×02 rootkit简介这次介绍的是Linux下R0层的rootkit。Intel的x86处...
《Android安全技术揭秘与防范》—第8章8.节什么是Hook技术
weixin_34239169的博客
05-02 193
本节书摘来自异步社区《Android安全技术揭秘与防范》一书中的第8章8.节什么是Hook技术,作者周圣韬,更多章节内容可以访问云栖社区“异步社区”公众号查看。 第8章 动态注入技术Android安全技术揭秘与防范我们在讨论动态注入技术的时候,APIHook的技术由来已久,在操作系统未能提供所需功能的情况下,利用APIHook的手段来实现某种必需的功能也...
Unix操作系统LD_PRELOAD简介
03-07 591
Unix操作系统的动态链接库的知识中,这个功能主要就是用来有选择性的载入Unix操作系统不同动态链接库中的相同函数。 AD: 在Unix操作系统的动态链接库的世界中,LD_PRELOAD就是这样一个环境变量,它可以影响程序的运行时的链接(Runtime linker),它允许你定义在程序运行前优先加载的动态链接库。 这个功能主要就是用来有选择性的载入Un
Rootkit Hunter Sourcecode Learning
weixin_34104341的博客
07-30 593
目录 1. Rootkit Hunter Introduce() 2. Source Code Frame() 3. do_system_check_initialisation() 4. do_system_commands_checks() 5. do_rootkit_checks() 6. do_network_checks() 7. do_local_host_chec...
HIDS入侵检测能力评估list
vlogFeynman的博客
06-21 456
HIDS入侵检测能力评估list 个人笔记旨在对主机入侵检测项目评估做备忘,不提供具体方案、命令、样本! 中华人民共和国网络安全法 暴力破解 1. 阈值、封停设置 2. 白名单规则 3. 检测项:ssh、ftp... 异常登录 1. 告警开关 2. 登录IP、时间、区域、账号 3. 自定义范围 反弹shell 1. 大类:基础命令,工具,脚本,混淆 2. bash -i (sh、csh、zsh...) 3. nc -e | nc mkfifo 4. socat.. 5. awk、telnet 6.
linux LD_PRELOAD 预加载 so 简介
whatday的专栏
09-30 1万+
预加载so的两种方式: 修改/etc/ld.so.preload配置文件,这种方法对配置修改之后运行的进程生效,而无法影响已经在运行的进程; 启动进程前设置LD_PRELOAD变量(如shell中执行LD_PRELOAD=/lib64/inject.so ./myprocess),则只对当前进程生效。 默认情况下进程创建的子进程也会继承Preload环境变量,而父进程可以在子进程初始化前修改子进程的环境变量,从而避免往子代传播。 LD_PRELOAD可以影响程序的运行时的链接,它允许你定义在程序运行前
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

摔不死的笨鸟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值