应急响应-Rookit后门查杀

admin 2025年4月21日22:31:41应急响应-Rookit后门查杀已关闭评论20 views字数 1102阅读3分40秒阅读模式

Rookit和内存马的区别

内存马一般是作为控制网站的webshell的进一步权限维持,而Rookit一般是用来控制服务器隐藏常规C2后门的权限维持手法。

Rookit常规隐藏手法-Windows

我们知道常规C2后门的排查手法就是通过网络连接、进程排查进行分析定性,那么Rookit可以做到哪些方面的隐藏呢?

Rookit可以隐藏进程,隐藏网络连接,同时它还可以隐藏文件,让蓝队成员无法排查到这个C2后门的所在。

隐藏进程

应急响应-Rookit后门查杀
应急响应-Rookit后门查杀

隐藏网络连接

应急响应-Rookit后门查杀
应急响应-Rookit后门查杀
应急响应-Rookit后门查杀
应急响应-Rookit后门查杀

隐藏文件

应急响应-Rookit后门查杀
应急响应-Rookit后门查杀
应急响应-Rookit后门查杀

应急处理方法

碰运气-使用对应Rookit的卸载文件进行卸载

应急响应-Rookit后门查杀
应急响应-Rookit后门查杀

常规手法-火绒剑看隐藏的进程

应急响应-Rookit后门查杀

可以看到火绒剑可以看到隐藏的进程,而其他的一些工具无法看到隐藏的进程

通过进程PID我们可以直接结束该进程

常规手法-通过Unhide工具查看隐藏的进程和端口

Just a moment...[1]

应急响应-Rookit后门查杀
应急响应-Rookit后门查杀

上面的条件仅仅只有进程的PID对我们有点用,本地隐藏的端口是没什么用的,因为我们不知道连接的C2服务端以及服务端开放连接的端口,所以说这个条件除非我们卸载了Rookit看到网络连接才能正确的封禁IP和端口,不然基本没用

通过PID我们可以将进程结束掉,从而防止危害进一步扩大。(这边我们尝试通过cmd的结束进程命令来结束恶意进程似乎不行,提示未找到PID,最好还是火绒剑结束比较稳妥)

Rookit常规隐藏手法-Linux

GitHub - f0rb1dd3n/Reptile: LKM Linux rootkit[2]

隐藏进程

/reptile/reptile_cmd hide 5803
应急响应-Rookit后门查杀

隐藏网络连接

/reptile/reptile_cmd tcp 114.55.115.6 4444

应急处理方法

常规方法-通过Unhide工具查看隐藏

sudo apt-get install unhide
unhide proc
应急响应-Rookit后门查杀

通过kill命令即可清除运行的后门进程

至于网络端口只能发现本地的端口,其实没啥用,所以就不演示了,具体的使用方法可以自己体验

补充:Linux杀软-clamav

Linux病毒扫描工具:ClamAV

Clam AntiVirus是一个类UNIX系统上使用的反病毒软件包。主要应用于邮件服务器,采用多线程后台操作,可以自动升级病毒库。ClamAV是一个在命令行下查毒软件,因为它不将杀毒作为主要功能,默认只能查出您计算机内的病毒,但是无法清除。

引用链接

[1]Just a moment...:
https://sourceforge.net/projects/unhide/

[2]GitHub - f0rb1dd3n/Reptile: LKM Linux rootkit:
https://github.com/f0rb1dd3n/Reptile

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月21日22:31:41
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   应急响应-Rookit后门查杀http://cn-sec.com/archives/3980273.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.