Linux环境下攻击者入侵成功以后常常使用的一些后门技术,并且对最著名的rootkit工具之一?knark进行了详细的分析,并且指出了在发现系统被入侵以后如何发现是否是kark及如何恢复。
什么是"rootkit"?
入侵者入侵后往往会进行清理脚印和留后门等工作,最常使用的后门创建工具就是rootkit。不要被名字所迷惑,这个所谓的“rootkit”可不是给超级用户root用的,它是入侵者在入侵了一太主机后,用来做创建后门并加以伪装用的程序包。这个程序包里通常包括了日志清理器,后门等程序。同时,程序包里通常还带有一些伪造的ps、ls、who、w、netstat等原本属于系统本身的程序,这样的话,程序员在试图通过这些命令查询系统状况的时候,就无法通过这些假的系统程序发觉入侵者的行踪。
在一些黑客组织中,rootkit(或者backdoor)是一个非常感兴趣的话题。各种不同的rootkit被开发并发布在internet上。在这些rootkit之中,LKM尤其被人关注,因为它是利用现代操作系统的模块技术。作为内核的一部分运行,这种rootkit将会越来越比传统技术更加强大更加不易被发觉。一旦被安装运行到目标机器上,系统就会完全被控制在hacker手中了。甚至系统管理员根本找不到漏洞的时候也可以给hacker系统的访问权限。
入侵者通过:设置uid程序,系统木马程序,cron后门等方法来实现入侵者以后从非特权用户使用root权限。
*设置uid程序。黑客在一些文件系统理放一些设置uid脚本程序。无论何时它们只要执行这个程序它们就会成为root。
*系统木马程序。黑客替换一些系统程序,如"login"程序。因此,只要满足一定的条件,那些程序就会给黑客最高权限。
*Cron后门。黑客在cron增加或修改一些任务,在某个特定的时间程序运行,他们就可以获得最高权限。
具体可能通过以下方法给予远程用户以最高访问权限:".rhost"文件,ssh认证密钥,bindshell,木马服务程序。
*".rhosts"文件。一旦"++"被加入某个用户的.rhosts文件里,任何人在任何地方都可以用这个账号来登陆进来而不需要密码。
*ssh认证密钥。黑客把他自己的公共密钥放到目标机器的ssh配置文件"authorized_keys"里,他可以用该账号来访问机器而不需要密码。
*Bindshell。黑客绑定一个shell到一个特定的tcp端口。任何人telnet这个端口都可以获得交互的shell。更多精巧的这种方式的后门可以基于udp,或者未连接的tcp,甚至icmp协议。
*Trojaned服务程序。任何打开的服务都可以成为木马来为远程用户提供访问权限。例如,利用inetd服务在一个特定的端口来创建一个bindshell,或者通过ssh守护进程提供访问途径。
在入侵者植入和运行后门程序之后,他会设法隐藏自己存在的证据,这主要涉及到两个方面问题:如何来隐藏他的文件且如何来隐藏他的进程。
为了隐藏文件,入侵者需要做如下事情:替换一些系统常用命令如"ls","du","fsck"。在底层方面,他们通过把硬盘里的一些区域标记为坏块并把它的文件放在那里。或者如果他足够疯狂,他会把一些文件放入引导块里。
为了隐藏进程,他可以替换"ps"程序,或者通过修改argv[]来使程序看起来象一个合法的服务程序。有趣的是把一个程序改成中断驱动的话,它就不会出现在进程表里了。
RootKit-Knark的历史
Knark是第二代的新型rootkit工具-其基于LJM(loadablekernelmodule)技术,使用这种技术可以有效地隐藏系统的信息。作者在代码和README文件中都标注有不承担责任的声明,声明该代码不可以被用作非法活动。然而该软件可以容易地被用于这种目的。
Knark是由creed@sekure.net编写的,主要基于http://www.dataguard.no/bugtraq/1997_4/0059.html中RunarJensen编写的代码heroin.c,设计思想主要来自于Phrack52中plaguez发表的文章WeakeningtheLinuxKernel"。在重新编写了heroin.c的大部分代码以后,Creed决定重新命名为"Knark",在瑞典语中是指吸毒者。Creed编写的其他软件可以在www.sekure.net/~happy-h/得到,但是由于该站点只有瑞典语版本,因此应用并不广泛。
Knark的第一个公开版本是0.41,发布于June,1999。可以在B4B0#9中索引到它:http://packetstorm.securify.com/mag/b4b0/b4b0-09.txt。随后0.50和0.59被发布,当前版本是0.59。可以从这里下载0.59版。
Knark特性
Knark0.59具有以下特性:
*隐藏或显示文件或目录
*隐藏TCP或UDP连接
*程序执行重定向
*非授权地用户权限增加("rootme")
*改变一个运行进程的UID/GID的工具
*非授权地、特权程序远程执行守护进程
*Kill–31来隐藏运行的进程
联合使用程序执行重新定向和文件隐藏,入侵者能提供各种后门程序执行。由于执行重定向是在内核级别进行的,因此文件检测工具不会发现程序文件被修改-原始的执行程序并没有被修改,因此配置检测工具在路径环境中也不会发现任何异常。
如果Knark结合另外一个用来隐藏系统当前加载的模块的LKM工具modhide,就可能实现甚至通过lsmod命令也不能发现knark的存在。
*
* |