入口之争:从OpenSSHsshd后门谈起
而下一级会调用到auth_password函数,这里会无差别提取请求中的明文密码,并由配置判断分派,是否由系统KRB5(Kerberos)、PAM(Pluggable Authentication Module)还是原始账密方式执行校验。这里的后门实现一般同时包含了特权密码植入和合法账密窃取落盘:
而再下一级到sys_auth_passwd中,在正常的密码加盐哈希校验之前,同样也有后门实现直接进行明文密码比对,如下:
对抗分析:多种后门的免杀实现
其次,针对人工分析中,需要根据函数代码逻辑与交叉引用指纹定位敏感函数的情况,对简单的auth_password做大范围代码改动和插入使其“面目全非”,规避人工审计:
再次,根据ESET等外部披露的后门均将窃取的合法账号密码以固定格式化字符串记录到本地的特征,转为采用在代码中直接命令外传账密的方法,规避基于格式化字符串作为特征的静态扫描检测:
稍微复杂一点的实现
当然,以上仅分析了sshd常规的后门花式实现,但植入少量代码可以实现的后门行为空间本身非常大。现已发现同样有零散案例,后门不仅限于窃取系统账密凭证数据,如下例子实现了对其它应用敏感信息的检索外泄:
▐ sshd后门攻击特征和发展趋势
从数据中,可以解读到如下信息:
另一部分具有“入口”性质的Linux系统基础程序,也存在广泛的感染风险威胁。现已观察到,agetty、dhclient、bash、sftp-server、sudo、login、irqbalance、gssproxy、anacron等代码版本长期稳定的系统程序,存在频繁的更新、挪移操作;而对于Linux系统服务的daemon程序,也是入侵中的篡改、后门植入的敏感领域;在近两年,阿里云安全运营中心已经发现有包括如下系统daemon存在可疑文件变动:dbus-daemon,systemd-logind,systemd-journald,auditd,ntpd,rsyslogd,chronyd,lvmetad,atd,rpc.statd,packagekitd,xinetd,vsftpd,等等。针对以上可疑的文件挪移、篡改,阿里云云安全中心已经具有监测告警的模型,预警用户进行审计;对于样本的恶意代码分析检测,也已经具有大量沉淀,且在逐步覆盖对可疑事件中的样本的判别能力。
在这份数据中,抽样采集了Linux主要程序的碎片化分布。上图选取了碎片化较多和较正常的部分daemon类程序数据;作为对照,如auditd、atd等代码简单且近几年无代码变更的系统daemon程序,日活md5版本数约在100上下,而其余版本数量居于前列的daemon则表现出偏离正常版本数的趋势。而下图则统计了各类常见应用的碎片化,除了curl、rpm、chmod等已知病毒做污染的常见目标程序外,Nginx、httpd的碎片化趋势显然超出了正常区间;部分基础软件月均新增版本超过5000,构成了碎片化潜在威胁中的重点关注目标。
对抗方案:从单机审计到数据判别
▐ 样本分析审计的难点
针对已知类型、攻击思路和可疑代码目标位置的恶意程序,如果需要在单机上进行审计,排查是否中招,将面临以下困难:
二进制无符号,相关函数没有特征可定位。例如OpenSSH的auth相关函数,并没有特征常量字符串定位,同时又由于不同配置下的条件编译,导致二进制代码也没有统一特征或调用关系,所以很难在反编译函数中定位到目标。
多数开源项目固有版本多、差异大,包括大小版本、发行版back port版本,需要跨差异进行比对、做函数差异分析需要完备的跨版本特征储备。如rhel版本相比上游原始OpenSSH release的同版本号版本即有一定差异。
后门的实现可能并不会引入具有特征的代码,甚至可能只是代码层面的微小变动。此时,就需要对载体代码原本的功能逻辑和潜在脆弱点具备了解。但同时,对目标有选择地审计也会造成盲区,因此全量代码比对存在必要。
持久化代码一般为独立函数、隐藏调用链,而比对发现非特定版本的二进制增量代码,在没有基于语义解析的自动化工具辅助下,需要大量人工分析投入。
成熟的攻击样本基本配备完备的隐藏方案。例如,后门程序往往篡改了rpm配置文件,使得rpm -Va做rpm包校验无效;或消除了各类日志以避免通过行为异常发现。
▐ 云上大数据判别
虽然个人用户很难判定自己主机的文件是否已经被替换为恶意版本,但是攻击事件往往不是孤立稀疏的,因此作为阿里云安全运营中心,就具备站在更高维度监控异动的可能。
阿里云的云安全中心目前具有对云上新增二进制程序样本的自动分析能力,针对集中或规律性出现、存在大量碎片化的Linux基础软件,从数据层面做趋势监控,并基于代码语义层面的相似度聚类,快速定位并辅助专家分析差异代码,圈定潜在恶意版本。在3月以来,云安全中心的云查杀模块,上线了“被污染的基础软件”这一个新的告警类别,将上述所有Linux基础软件的污染、后门篡改统一告警,引导用户进行复核和修复。对于大数据监控与自动化分析的方案,将在后续文章进行单独介绍。
▐ 用户防护建议
虽然基础软件篡改类型的恶意样本与入侵往往较为严密,在攻击成本和个人用户发现难度之间存在杠杆,但一般用户仍然可以从以下方面尝试被动发现和主动防护:
积极处理各类异常告警并修复漏洞。虽然基础软件污染难以做事后发现,但其自身并不构成完整攻击,总是和其它入侵事件配合。因此用户需要对于各类告警做通盘考虑,修复告警的漏洞,确保告警的各类病毒、webshell等的清理结果,筛查分析各种可疑事件告警。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至123456@qq.com 举报,一经查实,本站将立刻删除。
