Rootkit“偷天换日”大法:你敲的ls其实是黑客的刀
💡
原文中文,约2200字,阅读约需6分钟。
📝
内容提要
团队在处理恶意远控事件时,发现netstat与busybox结果不一致,怀疑存在Rootkit。经过排查库文件劫持和DNS告警,最终定位到被替换的netstat文件,发现并清除恶意行为。
🎯
关键要点
- 团队在处理恶意远控事件时,发现netstat与busybox结果不一致,怀疑存在Rootkit。
- 通过排查环境变量和配置文件,排除了库文件劫持的可能性。
- DNS告警分析显示UDP流量无法通过netstat定位相关PID,采用手动指定恶意域名的C2进行TCP连接捕捉。
- 使用MD5Sum和rpm -Va检测文件完整性,发现多个文件的MD5值发生变化。
- 定位到被替换的netstat文件,确认其存在恶意行为,包括修改命令、开启端口和隐藏行为。
❓
延伸问答
如何判断系统中是否存在Rootkit?
可以通过比较netstat与busybox命令的输出结果,检查是否存在不一致,或使用MD5Sum和rpm -Va检测文件完整性来判断。
在处理恶意远控事件时,如何捕捉相关进程?
可以手动指定恶意域名的C2地址,然后捕捉TCP连接,以定位相关进程。
为什么netstat命令的结果可能与busybox不一致?
可能是因为系统中存在Rootkit,导致netstat命令被替换或修改。
如何排查库文件劫持的可能性?
需要检查环境变量$LD_PRELOAD和配置文件/etc/ld.so.preload,确保没有被劫持。
使用rpm -Va检测文件完整性时,如何解读输出结果?
输出结果中的S、M、5、D、L、U、G、T分别表示文件长度、权限、MD5校验和、设备节点、符号链接、所有者、组和最后修改时间的变化。
发现恶意文件后,应该如何处理?
可以使用kill命令终止相关进程,并清除恶意文件。
➡️
