Rookit和内存马的区别
内存马一般是作为控制网站的webshell的进一步权限维持,而Rookit一般是用来控制服务器隐藏常规C2后门的权限维持手法。
Rookit常规隐藏手法-Windows
我们知道常规C2后门的排查手法就是通过网络连接、进程排查进行分析定性,那么Rookit可以做到哪些方面的隐藏呢?
Rookit可以隐藏进程,隐藏网络连接,同时它还可以隐藏文件,让蓝队成员无法排查到这个C2后门的所在。
隐藏进程
隐藏网络连接
隐藏文件
应急处理方法
碰运气-使用对应Rookit的卸载文件进行卸载
常规手法-火绒剑看隐藏的进程
可以看到火绒剑可以看到隐藏的进程,而其他的一些工具无法看到隐藏的进程
通过进程PID我们可以直接结束该进程
常规手法-通过Unhide工具查看隐藏的进程和端口
Just a moment...[1]
上面的条件仅仅只有进程的PID对我们有点用,本地隐藏的端口是没什么用的,因为我们不知道连接的C2服务端以及服务端开放连接的端口,所以说这个条件除非我们卸载了Rookit看到网络连接才能正确的封禁IP和端口,不然基本没用
通过PID我们可以将进程结束掉,从而防止危害进一步扩大。(这边我们尝试通过cmd的结束进程命令来结束恶意进程似乎不行,提示未找到PID,最好还是火绒剑结束比较稳妥)
Rookit常规隐藏手法-Linux
GitHub - f0rb1dd3n/Reptile: LKM Linux rootkit[2]
隐藏进程
/reptile/reptile_cmd hide 5803
隐藏网络连接
/reptile/reptile_cmd tcp 114.55.115.6 4444应急处理方法
常规方法-通过Unhide工具查看隐藏
sudo apt-get install unhideunhide proc
通过kill命令即可清除运行的后门进程
至于网络端口只能发现本地的端口,其实没啥用,所以就不演示了,具体的使用方法可以自己体验
补充:Linux杀软-clamav
Clam AntiVirus是一个类UNIX系统上使用的反病毒软件包。主要应用于邮件服务器,采用多线程后台操作,可以自动升级病毒库。ClamAV是一个在命令行下查毒软件,因为它不将杀毒作为主要功能,默认只能查出您计算机内的病毒,但是无法清除。
引用链接
[1]Just a moment...:
https://sourceforge.net/projects/unhide/
[2]GitHub - f0rb1dd3n/Reptile: LKM Linux rootkit:
https://github.com/f0rb1dd3n/Reptile
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论