|
|
西虹网
西虹网 最近的网络安全研究中,研究人员揭开了一种此前从未被发现的 Linux 恶意程序 OrBit 的面纱,这意味着针对Linux操作系统的恶意程序呈现一个剧增的趋势。cciehttps://www.spoto.net/ccie/243.html思博SPOTO网络工程师培训官网,专注华为思科认证培训18年,被誉为华为思科网络工程师摇篮学校,官方授权认证机构,CCIE、CCNP、CCNA培训、HCNA、HCIA、HCIP培训、HCNP、HCIE,是全球IT技术人才在线培训基地,欢迎咨询400-829-6069!
西虹网
西虹网
西虹网
西虹网
西虹网
西虹网 根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,该恶意软件的名称来自用于临时存储已执行命令输出的文件名之一(“/tmp/.orbit”),该恶意软件实现了先进的规避技术,并通过Hook关键功能在系统上获得持久性,为黑客提供通过 SSH 的远程访问能力,以及获取凭据记录 TTY 命令等。
西虹网
西虹网
西虹网
西虹网 OrBit恶意程序是继BPFDoor、Symbiote和Syslogk之后短短三个月内曝光的第四个针对 Linux 系统的恶意软件。该恶意软件的功能和Symbiote相似,因为它旨在感染受感染机器上所有正在运行的进程。但与后者利用 LD_PRELOAD 环境变量来加载共享对象不同,OrBit 采用了两种不同的方法。
西虹网
西虹网
西虹网
西虹网 OrBit恶意程序采用的第一种方法是将共享对象添加到加载程序使用的配置文件中,第二种方法是修补加载程序本身的二进制文件,以便加载恶意共享对象。
西虹网
西虹网
西虹网
西虹网 OrBit恶意程序攻击链从一个ELF 释放器文件开始,该文件负责提取有效攻击载荷(libdl.so)并将其添加到动态链接器正在加载的共享库中。
西虹网
西虹网
西虹网
西虹网 流氓共享库被设计为Hook来自三个库的函数,libc、libcap 和可插入身份验证模块 (PAM),导致现有和新进程使用修改后的函数,基本上允许它获取凭据、隐藏网络活动和设置通过 SSH 远程访问主机,并实现不为人知的隐藏状态。
西虹网
西虹网
西虹网
西虹网 OrBit恶意程序后门的最终目标是通过Hook读取和写入函数来窃取信息,以捕获系统上已执行进程正在写入的数据,包括 bash 和 sh 命令,并将其结果存储在特定文件中。
西虹网
西虹网
西虹网
西虹网 举报/反馈 |
|
发表于 2022-7-18 14:58:15
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
转播
分享