0×00的常见特征:
1、体积小,功能相对单一
在收集到的几十个样本中,最大的(没有去除符号表)也只有1.8M,如果去除符号表的话只有400K左右,很多病毒甚至只有几K。 且大部分样本都只干一件事,如发起DOS攻击,收集用户信息、某些软件漏洞的POC等。一般附带一个命令执行接口,来接收黑客下达的指令,并不会像windows下的病毒那样功能丰富,集进程注入,注册表修改,文件修改,进程隐藏,键盘记录,信息收集等与一身。
主要原因:linux对权限控制比较严格,没有root权限没有办法对其他程序进行修改、注入,无法访问一些敏感的文件。 另外linux分支较多,如果内核版本不匹配程序可能因为依赖库版本问题无法执行,所以即使衍生出大量其他程序也未必能执行。
2、加壳一般使用UPX
在收集到的样本中,几款被加壳的样本都使用UPX进行加壳,暂时没有发现使用其他壳。
3、命令执行,调用system函数
作为后门,同时也作为下发一些攻击命令的通道。
4、一些漏洞的POC
Linux下的恶意样本有一大部分是结合常用软件的漏洞来感染的。
5、关键数据加密
病毒通常会对关键数据进行加密,如真实连接的url,IP,执行的命令等信息。
6、工具化,带有命令选项
Linux下的病毒,有些能够接受不同的命令选项,就像linux下的工具那样,不像windows下那样只要运行起来就好了。这样方便更好的与其他程序联动,更利用bash脚本组合多个病毒一起工作。
7、僵尸网络,发起DOS攻击
收集到的样本中,发现带有DOS攻击功能的样本比例很高。因为linux用作服务的场景较多,网络性能,处理器性能,内存性能都比较好,并且有些网络管理员并不经常查看系统,所以很适合作为僵尸机,发起DOS攻击。 同时目前网游,电子支付等在linux下使用的较少,没有发现有样本有盗号行为, 对linux服务器来说,最有价值的东西就是数据库,黑客在拖库之后,为了最大化利用资源,作为DOS僵尸机是一个最好的用途。
8、收集用户的信息,通常为root账号密码
有些情况下,程序并不运行在root权限下。 但是通过收集一些用户的操作指令,可以截获root的账号密码,从而获得root权限。
9、难以提取特征函数
Windows下可以总结出一大堆病毒常用的winAPI,但是linux下的病毒基本都使用常用的底层函数,与其他程序并没有太大的区别,难以通过使用的函数来判断病毒。
上一个教程:Linux入门系统和黑客系统全面认识!
下一个教程:返回列表
