ebpf!一种新型内核马/WebShell
2023-12-27 08:31:16 Author: 潇湘信安(查看原文) 阅读量:57 收藏

声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。

现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安设为星标”,否则可能看不到了

项目简介

@veo师傅研究的一个全链路内存马系列(ebpf内核马、nginx内存马、WebSocket内存马)。
本项目不含有完整的利用工具,仅提供无害化测试程序、防御加固方案,以及研究思路讨论。

技术原理

ebpf内核马:通过ebpf hook入/出口流量,筛选出特定的恶意命令,再通过hook execve等函数,将其他进程正常执行的命令替换为恶意命令,达到WebShell的效果。

技术特点

无进程、无端口、无文件(注入后文件可删除)执行命令不会新建shell进程,无法通过常规行为检测将WebShell注入内核,无法通过常规内存检测可改造内核马,适配HTTP协议以外的所有协议

技术缺点

内核版本需要大于4.15.0,即 Ubuntu 16、CentOS 8命令不是直接执行,需要等待其他进程执行命令无回显

使用方式

下载测试程序 releases 并运行

POST veo=/bin/touch /tmp/pwn

研究中遇到的问题

1. 为什么不通过ebpf直接执行命令

根据ebpf的编写规则,ebpf自己是不能执行命令的,它只能hook各种函数。所以有两种方法可以间接达到执行命令的效果
自己开一个进程,ebpf通过ebpf map传输命令参数到这个进程,通过这个进程执行命令监听其他进程执行的命令,将其修改为恶意命令参数

2. 怎么通过ebpf识别HTTP报文

XDP是读不到报文内容的,所以最底层用TC格式化HTTP报文就可以,你需要算IP header、TCP header的长度等定位包体内容。另外ebpf有循环次数限制,所以最好payload是放在包体的开头或结尾

3. 怎么让ebpf脱离加载器在内核中持续运行,即使加载器程序退出

详细了解 eBPF 程序的生命周期,可参考 
https://eunomia.dev/zh/tutorials/28-detach/

防御加固方案

通过bpftool可以检测出是否有ebpf恶意程序权限收敛,收敛SYS_ADMIN、CAP_BPF等权限确认 /proc/sys/kernel/unprivileged_bpf_disabled 为 1

下载地址

点击下方名片进入公众号

回复关键字【231125】获取下载链接


信 安 考 证

需要考以下各类安全证书的可以联系我,价格优惠、组团更便宜,还送【潇湘信安】知识星球1年!

CISP、PTE、PTS、DSG、IRE、IRS、NISP、PMP、CCSK、CISSP、ISO27001...


推 荐 阅 读



文章来源: http://mp.weixin.qq.com/s?__biz=Mzg4NTUwMzM1Ng==&mid=2247508030&idx=1&sn=9b2b0dc4eccc1af1209604eb4ce86b5c&chksm=cec7de2aa09c8d9ea59be26c852fdd7e3bd35864f9fda8869f8a3d2fd38f8a73425d5227cb42&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh