Rootkit入侵工具Knark分析及防范.docVIP

　　Rootkit入侵工具Knark分析及防范～教育资源库 　　什么是rootkit? 　　入侵者入侵后往往会进行清理脚印和留后门等工作，最常使用的后门创建工具就是rootkit。不要被名字所迷惑，这个所谓的rootkit可不是给超级用户root用的，它是入侵者在入侵了一太主机后，用来做创建后门并加以伪装用的程序包。这个程序包里通常包括了日志清理器，后门等程序。同时，程序包里通常还带有一些伪造的ps、ls、p协议。 　　*Trojaned服务程序。任何打开的服务都可以成为木马来为远程用户提供访问权限。例如, 利用id服务在一个特定的端口来创建一个bind shell，或者通过ssh守护进程提供访问途径。 　　在入侵者植入和运行后门程序之后, 他会设法隐藏自己存在的证据，这主要涉及到两个方面问题: 如何来隐藏他的文件且如何来隐藏他的进程。 　　为了隐藏文件, 入侵者需要做如下事情: 替换一些系统常用命令如ls, du, fsck。在底层方面, 他们通过把硬盘里的一些区域标记为坏块并把它的文件放在那里。或者如果他足够疯狂，他会把一些文件放入引导块里。 　　为了隐藏进程, 他可以替换 ps程序, 或者通过修改argv[]来使程序看起来象一个合法的服务程序。有趣的是把一个程序改成中断驱动的话，它就不会出现在进程表里了。 　　RootKit-Knark的历史 　　Knark是第二代的新型rootkit工具-其基于LJM(loadable kernel module)技术，使用这种技术可以有效地隐藏系统的信息。在代码和README文件中都标注有不承担责任的声明，声明该代码不可以被用作非法活动。然而该软件可以容易地被用于这种目的。 　　Knark是由creedsekure.编写的，主要基于mag/b4b0/b4b0-09.txt。随后0.50和0.59被发布，当前版本是0.59。可以从这里下载0.59版。 　　Knark特性 　　Knark0.59具有以下特性： 　　*隐藏或显示文件或目录 　　*隐藏TCP或UDP连接 　　*程序执行重定向 　　*非授权地用户权限增加(rootme) 　　*改变一个运行进程的UID/GID的工具 　　*非授权地、特权程序远程执行守护进程 　　*Kill ndash;31来隐藏运行的进程 　　联合使用程序执行重新定向和文件隐藏，入侵者能提供各种后门程序执行。由于执行重定向是在内核级别进行的，因此文件检测工具不会发现程序文件被修改-原始的执行程序并没有被修改，因此配置检测工具在路径环境中也不会发现任何异常。 　　如果Knark结合另外一个用来隐藏系统当前加载的模块的LKM工具modhide，就可能实现甚至通过lsmod命令也不能发现knark的存在。 　　Knark软件包的安装和使用 　　该软件包的核心软件是knark,c，它是一个Linux LKM(loadable kernel-module)。运行命令make来编译knark软件包，通过insmod knark命令来加载该模块。当knark被加载，隐藏目录/proc/knark被创建， 123下一页 友情提醒：，特别！该目录下将包含以下文件： 　　author 自我介绍 　　files 系统中隐藏文件列表 　　hides 在/proc/[tcp　udp]隐藏的字符串 　　pids 被隐藏的pids列表，格式类似于ps命令输出 　　redirects 被重定向的可执行程序入口列表 　　该软件包编译以后将有下面这些工具软件(它们都依赖于被加载的模块knark.o。除了taskhack.c，其用于直接修改/dev/kmem) 　　hidef 用于在系统中隐藏文件 　　在/usr/lib目录下创建子目录hax0r，然后运行命令./hidef /usr/lib/.hax0r，则该目录会被隐藏，ls或du等命令都不能显示该目录及其子目录。 　　unhidef 用来恢复被隐藏的文件 　　你可以通过访问cat /proc/knark/files来察看你隐藏了哪些文件。通过./unhidef /usr/lib/.hax0r命令来解除对隐藏文件的隐藏。但是这里有个小小的bug，使得被隐藏的目录在/proc/knark/files中显示的是其加载开始的路径，也就是说如果系统有一个文件系统加载在/mnt,你隐藏了/mnt/secret，则在/proc/knark/files中显示的被隐藏的目录为/secret。因此不会影响根文件被隐藏的目录。 　　ered 用来配置重定向程序的执行 　　拷贝特洛伊木马版本的sshd为/usr/lib/.hax0r/sshd_trojan，然后运行./ered /usr