一、概況
前段時間,卡巴斯基捕獲到winnti網絡犯罪組織在windows下進行apt攻擊的通用工具——hdd rootkit。近期,騰訊反病毒實驗室在linux系統下也捕獲到同類工具。winnti組織利用hdd rootkit在windows和linux系統下進行持續而隐蔽的apt攻擊。經分析發現,hdd rootkit先是篡改系統的引導區,然後在進入linux系統前利用自帶的ext檔案系統解析子產品,将隐藏在硬碟深處的後門檔案解密出來後加入到開機啟動腳本或系統服務裡。目前受攻擊的系統有centos和ubuntu。
圖1:hdd rootkit在linux下的攻擊流程
二、hdd rootkit在linux下的詳細分析
1.過程展示
分析hdd rootkit:
圖2:分析hdd rootkit得到的參數提示
運作hdd rootkit:
圖3:運作hdd rootkit工具
通過圖3,能看出hdd rootkit平台已經把rkimage和backdoor解密并寫入扇區裡面,而且計算了他們的crc16值(這部分後面有更詳細的分析)。接下來,我們看看mbr的變化:一是第一扇區已經被改寫(如圖4);二是開機瞬間顯示出hdd rootkit的調試資訊(如圖5)。當系統中毒以後,第1扇區存放病毒的mbr,第25扇區存放bootcode,第26與第27扇區存放加密後的原始mbr。
圖4:左邊是被修改的mbr,右邊是原始的mbr
圖5:開機時rkimage的輸出資訊,注意:debug版本才有資訊輸出
2.安裝階段詳細分析
(1)運作安裝方式與參數:
圖6:hdroot_32_bin安裝方式
在linux下運作hdd rootkit 如 ./root_32_bin inst ./createfile 1。其中第一個參數是安裝類型,第二個參數是後門檔案,第三個參數是啟動類型(共三種開機啟動方式)。
(2)hdd rootkit的檔案存儲和隐藏:
hdd rootkit早期的版本是把mbr、boot code、rkimage等放在程式資源裡面,在linux系統下則是把這些檔案加密存儲在安裝器裡面。以下分析hdd rootkit如何将加密好的mbr、boot code、rkimage解密出來,又重新加密寫入到第一個扇區和空閑的扇區裡面。
圖7:左邊是加密的結構體,右邊是解密過程
hdd rootkit将rkimage和backdoor再次加密後寫入扇區,将後門檔案藏得更深。
圖8:将rkimage和backdoor檔案寫入扇區
擷取引導盤,準備寫入mbr和bootcode,步驟如圖9和圖10所示。
圖9:步驟一
圖10:步驟二
(3)rkimage 功能分析
rkimage是hdd rootkit下釋放的子工具。rkimage不依賴于作業系統,直接解析檔案系統,能根據不同的安裝情況,把後門加入開機啟動。
rkimage子產品:
◆由bootcode拉起,将實模式切換到保護模式;
◆實作ext檔案系統解析與讀寫功能;
◆把隐藏在扇區的後門寫成檔案,根據不同的情況增加開機啟動項。
圖11:rkimage的檔案系統解析子產品的字元串提示
第一種開機啟動方式:
圖12:/etc/rc*.d/s7*cdiskmon 類型
第二種開機啟動方式:
圖13:/etc/rc.d/rc.local類型
第三種開機啟動方式:
圖14:systemd類型
(4)後門檔案
由于擷取的程式樣本有限,在分析過程中并沒有擷取真正有效的backdoor檔案,是以整個攻擊的完整流程和木馬如何把資訊向外通信并未分析到。是以,自主構造了一個寫檔案的可執行程式。
3.調試 hdd rootkit的mbr、bootcode、rkimage關鍵節點
圖15:中毒後的第一扇區
圖16:hdd加載bootcode
圖17:從bootcode進入到rkimage子產品
圖18:rkimage子產品加載gdtr
圖19:rkimage子產品裡面準備切換到保護模式
圖20:rkimage子產品準備執行功能
圖21:rkimage子產品輸出功能代碼的調息資訊
本文作者:佚名
來源:51cto