KoviD:红队 Linux 内核 rootkit

admin 2025年5月9日15:01:54评论6 views字数 2308阅读7分41秒阅读模式

KoviD 是一个可加载内核模块 (LKM),专为Linux内核 5 及更高版本设计。主要功能包括:

  • 对 SysFS 进行自我隐藏。
  • 提供反向shell后门。
  • 隐藏 proc 文件系统中的进程。
  • 处理子进程、新创建的进程。
  • 隐藏 KauditD 日志、系统日志、用户存在。
  • 隐藏所有隐藏任务的 CPU 使用情况。
  • 授予 root 权限。
  • 隐藏文件和目录。
KoviD:红队 Linux 内核 rootkit
支持的版本
6.x EXPERIMENTAL: Linux 6.8.0-52-generic #53~22.04.1-Ubuntu SMP PREEMPT_DYNAMIC x86_64 x86_64 x86_64 GNU/Linuxgcc-12 (Ubuntu 12.3.0-1ubuntu1~22.0412.3.05.x: Ubuntu 22.04.1 LTSLinux hash-virtual-machine 5.19.0-41-generic #42~22.04.1-Ubuntu SMP PREEMPT_DYNAMICUTC 2 x86_64 x86_64 x86_64 GNU/Linux5.x: Linux Standard-PC-Q35-ICH9-2009 5.15.0-43-generic #46-UbuntuSMP x86_64 x86_64 x86_64 GNU/Linux5.x: Ubuntu 22.04 LTSLinux 5.15.0-43-generic #46-Ubuntu SMP Tue Jul 12 10:30:17 UTC 2022 x86_64 x86_64 x86_64 GNU/Linuxgcc (Ubuntu 11.2.0-19ubuntu1) 11.2.05.x: Ubuntu 20.10Linux ubuntu 5.8.0-55-generic #62-Ubuntu SMP Tue Jun 1 08:21:18 UTC 2021 x86_64 x86_64 x86_64 GNU/Linuxgcc (Ubuntu 10.3.0-1ubuntu1~20.1010.3.05.x: Ubuntu 18.04.5 LTSLinux ubuntu 5.4.0-89-generic #100~18.04.1-Ubuntu SMP Wed Sep 29 10:59:42 UTC 2021 x86_64 x86_64 x86_64 GNU/Linuxgcc (Ubuntu 7.5.0-3ubuntu1~18.047.5.04.x: Debian GNU/Linux 10Linux debian10teste 4.19.0-18-amd64 #1 SMP Debian 4.19.208-1 (2021-09-29) x86_64 GNU/Linuxgcc (Debian 8.3.0-68.3.04.x: CentOS Linux release 8.3.20114.18.0-240.22.1.el8_3.x86_64 #1 SMP Thu Apr 8 19:01:30 UTC 2021 x86_64 x86_64 x86_64 GNU/Linuxgcc (GCC) 8.3.1 20191121 (Red Hat 8.3.1-5)

特征

隐藏自身(模块)

KoviD 隐藏自身,使其难以被检测到。它自定义内核代码以规避反 rootkit检测器,并从 /sys/module 列表中消失。

隐藏文件和目录

KoviD 通过劫持 filldir 和 filldir64 内核函数有效地隐藏文件和目录,大大简化了流程。

函数和系统调用劫持:Ftrace

KoviD 利用了 Ftrace,这是一种在内核 v5+ 版本中合法劫持函数和系统调用的方法。与传统的钩子技术相比,这种方法提供了更高的稳定性。

后门

KoviD 集成了多种流行且可靠的系统后门方法,例如使用自定义数据包进行端口连接。支持 Netcat、OpenSSL 和 Socat 会话

防火墙规避

KoviD 发送数据包并建立反向 Shell 连接。这些数据包会触发 Netfilter 钩子并指示 KoviD 创建反向 Shell 连接。这些传出的数据包会绕过 iptables 规则,从而有效规避检查。

任务

隐藏进程是一项至关重要的功能,它使 KoviD 能够在不被发现的情况下运行。它为子进程提供全面支持,确保不会遗留任何挂起的进程。

日志

KoviD 的隐藏任务会导致日志丢失,使管理员更难检测到其存在。它会清除由 w、lsmod、ps、who、ls 等用户空间工具生成的日志。

TCP/UDP 日志

KoviD 隐藏网络连接并操纵网络日志,以保持后门的隐蔽性。Libpcap+recvmsg。(ss、tcpdump、netstat……)

r00t

使用 kill -SIGCONT 666 轻松获得 root 权限。

CPU——隐藏/挖掘

KoviD 会隐藏 CPU 消耗,使其进程不可见,从而避免 CPU 过度消耗。不过,请注意不要让 CPU 过载,因为这可能会导致异常的使用模式。

持久性

KoviD 通过 Volundr 提供持久性。它可以感染可执行文件(例如 SSHD),以确保 KoviD 在重启时加载。您也可以使用自己喜欢的工具,此处仅建议使用 Volundr。

基地址

KoviD 允许检索其他可执行文件的基地址,而无需打开 /proc/<pid>/maps。

带通滤波器

KoviD 可以逃避一些依赖 BPFBerkeley Packet Filter)检测 rootkit 的反 rootkit 工具。

使用
sudo insmod ./kovid.kocat /proc/sys/kernel/tainted
地址:
https://github.com/carloslack/KoviD

原文始发于微信公众号(红队笔记录):KoviD:红队 Linux 内核 rootkit

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月9日15:01:54
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   KoviD:红队 Linux 内核 rootkithttps://cn-sec.com/archives/4046252.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息