天波哥收集整理了linux世界中的10大病毒的特點及影響。Linux系統由于其高度的安全性和開源特性,比起Windows和其他操作系統,病毒和惡意軟件的感染案例要少得多。然而,這并不意味著Linux系統就是完全安全的,它們也可能受到攻擊。以下是一些曾影響Linux系統的惡意軟件以及它們的概述和危害:
簡介和危害:Slapper是一個使用Apache的SSL漏洞的蠕蟲病毒,它在2002年出現。這個病毒可以創建一個網絡,讓攻擊者遠程控制受感染的系統。
經典案例:在2002年,數以千計的基于Linux的系統被感染。
清理辦法:更新Apache和SSL的版本,關閉不需要的服務,運行殺毒軟件清除病毒。
簡介和危害:Shellshock是一個利用Bash(Bourne Again SHell)漏洞的惡意軟件,可以通過未經處理的環境變量執行遠程代碼。
經典案例:許多Web服務器因為未及時更新Bash而受到影響。
清理辦法:更新Bash到最新版本并檢查系統是否有被植入的后門。
簡介和危害:Heartbleed是一個非常嚴重的安全漏洞,它存在于開放源代碼的加密庫OpenSSL中,通過這個漏洞攻擊者可以讀取內存中的數據,包括私鑰等敏感信息。
經典案例:影響了全球數以百萬計的設備和服務。
清理辦法:更新到修補了Heartbleed漏洞的OpenSSL版本。
簡介和危害:Mirai是一個利用物聯網設備的漏洞,能將這些設備感染并組成大型僵尸網絡的惡意軟件。它能用于發動DDoS攻擊。
經典案例:2016年,Mirai僵尸網絡對Dyn公司的DNS服務發動攻擊,導致許多網站無法訪問。
清理辦法:更改默認密碼,關閉不必要的服務,確保固件和軟件是最新的。
簡介和危害:這是一種勒索軟件,它會加密用戶的文件然后要求贖金來換取解密密鑰。
經典案例:主要影響了使用不安全的第三方插件的Magento網站。
清理辦法:恢復備份,使用反勒索軟件工具嘗試解密文件,避免支付贖金。
簡介和危害:Ebury是一個SSH后門程序,可以竊取信息并允許攻擊者控制受感染的服務器。
經典案例:數千個Linux系統被感染并成為了僵尸網絡的一部分。
清理辦法:重新安裝系統,更改密碼,更新SSH軟件。
簡介和危害:Windigo是一個運行在Linux服務器上的惡意軟件,它會劫持Web服務器,發送垃圾郵件,盜取數據。
經典案例:攻擊了超過25,000個UNIX服務器。
清理辦法:清除惡意軟件組件,更新系統和應用程序,重新安裝被感染的系統。
簡介和危害:Rex是一個多功能的木馬程序,它結合了DDoS攻擊、勒索軟件和比特幣挖礦的功能。
經典案例:針對Drupal CMS的漏洞進行攻擊。
清理辦法:更新Drupal,運行殺毒軟件,監控系統活動。
簡介和危害:Tsunami是一個老舊的Linux惡意軟件,它會將受感染的機器納入到僵尸網絡中,并可以被用來發動DDoS攻擊。
經典案例:影響了多個Linux系統并將它們用于惡意活動。
清理辦法:運行殺毒軟件,檢查和清除系統中的不尋常進程。
簡介和危害:KillDisk是一個破壞性的惡意軟件,它旨在破壞數據,并使受感染的計算機無法啟動。
經典案例:攻擊了烏克蘭的能源部門,導致電力中斷。
清理辦法:數據恢復可能非常困難,通常需要從備份中恢復數據。
服務器避免病毒感染的方式和方法:
定期更新:確保系統和所有應用程序都是最新的,包括安全補丁。
最小化權限:使用最小權限原則,僅為用戶和服務分配必要的權限。
防火墻和IDS/IPS:使用防火墻和入侵檢測系統/入侵防御系統來監控和阻止可疑的網絡流量。
殺毒軟件:在服務器上安裝和維護殺毒軟件,定期掃描系統。
備份數據:定期備份重要數據,并在不同的物理位置存儲這些備份。
用戶訓練:訓練用戶識別釣魚郵件、可疑鏈接和附件,避免潛在的入侵。
系統監控:實施系統監控,以檢測和響應異常行為。
訪問控制:嚴格控制對服務器的物理和網絡訪問。
安全策略:制定和執行安全策略,包括密碼策略和兩因素認證。
定期進行安全審計:進行定期的安全審計和滲透測試,以識別和修復潛在的安全漏洞。
避免感染的步驟概括為:保持更新、限制權限、安全監測與防護、數據備份、教育用戶、定期審核。通過這些措施,可以大大降低Linux服務器遭受病毒和惡意軟件攻擊的風險。
波哥
IT行業近二十年的IT老炮。常年潛伏于國企、各一二線大廠中。硬件集成入行,直至虛擬技術、容器化。崗位歷經系統集成、DBA、全棧開發、sre、項目經理、產品經理、部門總監。
主要作品:
IT類資源匯聚門戶:https://www.98dev.com
各大短視頻平臺:98dev
各大主要技術論壇博客:IT運維技術圈
長視頻教學作品:《波哥講網絡》《波哥講git》《波哥講gitlab》
小程序:IT面試精選
構建技術社區:+V itboge1521 入學習交流群
一、病毒分類
1、蠕蟲病毒(worm)
文件夾蠕蟲、網絡蠕蟲、郵件蠕蟲等,主要特點是具有很強的傳播性
2、挖礦病毒(CoinMiner/XMiner)
利用被感染主機進行挖礦,占用主機資源,近幾年十分流行,通常與僵尸網絡搭配
3、木馬病毒(Trojan/Backdoor)
木馬、后門等主要是為了獲得主機的控制權限,竊取信息,執行C&C端的功能指令等
4、感染型病毒(Virus)
主要行為是感染文件,常見家族有Sality、Ramnit、Virut等
5、宏病毒(W200M/X97M/OMacro)
文檔類,啟用宏功能后執行宏代碼,通常為一個DownLoader,下載執行其他惡意軟件
6、勒索病毒(Ransom)
加密文件,勒索贖金
理解上,僵尸網絡:是由大量中了木馬病毒的主機組成,不特定單一主機中了僵尸網絡病毒。
感染型病毒和蠕蟲病毒:都具有擴散性,但感染型病毒只是在同臺主機的不同文件間擴散;而蠕蟲病毒是在不同主機間擴散,范圍不一樣。
勒索病毒:其實可以算是影響比較大的感染型病毒,也會感染文件,但它感染程度更惡劣,破壞文件。
宏病毒:比較類似木馬病毒,用來執行指令,或者下載文件等。
二、進程排查
病毒的存在形式是多樣的,可能是獨立運行的進程,也可能是將動態庫或惡意代碼注入到系統進程、應用進程中運行。這里,粗略分為三種,即獨立進程模塊、動態庫模塊、隱藏模塊。
1、獨立進程塊
這是最簡單的一種形式,即病毒是獨立可執行文件,以獨立進程在運行。這類進程通常要么進程名隨機,要么偽裝成與系統進程相似的名字,或者名字與系統進程完全一樣,但文件位置完全不是系統默認的正常路徑。以某中毒主機為例,打開任務管理器后觀察如下:病毒進程名為svch0st.exe,而系統進程為svchost.exe。
遇到這種,我們可以使用PCHunter對所有進程文件校驗簽名,檢查無簽名或簽名可疑的進程。
或者使用微軟提供的procexp,他支持自動上傳進程文件至virustotal
2、動態庫模塊
病毒也可能以動態庫的方式注入到系統進程或應用進程中去。如下圖所示,客戶某一中毒主機,我們使用PCHunter工具觀察到病毒體sdbot.dll模塊注入到系統進程explorer.exe進程中,并且對該進程掛了應用層鉤子,包括IAT、EAT和inline等類型的鉤子。
同上,可以使用PCHUNTER校驗某個進程的dll文件做快速判斷。
同時也可以使用procexp自動上傳某個進程的dll至virustotal
如果已知病毒dll,需要找到對應的進程,可以使用如下命令。或者使用以上工具搜索所有進程的dll
tasklist /m xxx.dll |
3、隱藏模塊
隱藏模塊往往也是動態庫模塊,但它肉眼觀察不到(Windows系統工具看不到,PCHunter等工具也看不到),是很隱蔽的一種手段,屬于難查難殺的類型。
譬如,在某客戶主機上,我們懷疑svchost.exe進程有問題(進程有問題并不代表進程對應的文件有問題,這一點一定要區分好),但我們使用系統工具和PCHunter等等工具均查看不到任何異常模塊。至此,懷疑有隱藏模塊,祭出特殊工具dump出該svchost.exe的所有模塊空間(按模塊分割成獨立文件),觀察到有隱藏的模塊:
svchost_exe_PID384_hiddenmodule_2560000_x86.exe就是隱藏在svchost.exe進程中的模塊
注:此特殊工具會將隱藏模塊文件名加上“hiddenmodule”字眼
可使用微軟的procdump工具pd64.exx -pid [PID]
4、進程內存字符串
在網絡端檢測出某個惡意域名或 IP 后,可以在所有系統進程中搜索該域名,幫助定位發起域名連接的進程,從而定位病毒文件。
深信服SfabAntiBot即可對內存進行掃描
需要注意的是上面掃描是對進程所有內存進行掃描,一個是會比較卡,并且同樣會掃描到代碼段,這樣可能會有誤判,把代碼當成域名字符串。
所以需要結合process hacker等工具查看指定進程內存是否確實存在指定字符串信息。
三、網絡行為排查
威脅情報等輔助網站
1、 https://www.virustotal.com/ , 國外知名安全站點,可能需翻墻,可查詢文件MD5、IP、域名、URL是否惡意,也可上傳文件進行病毒掃描。
2、 https://x.threatbook.cn/ , 國內威脅情報站點,可查詢文件MD5、IP、域名、URL是否惡意,也可上傳文件進行病毒掃描。
3、 http://beian.cndns.com/,國內站點備案查詢,所有有企業備案的國內站點可認為是可信站點。
4、 http://www.alexa.com/,全球站點排行查詢,top100萬的站點可認為是可信站點(國外站點沒有備案這一說法)。
5、 Google與Baidu等搜索引擎,輸入文件MD5/IP/域名,有時候可以查詢到對應病毒信息。
網絡連接查看命令
netstat -ano |
Process Hacker 查看網絡連接,出現綠色的連接表示新增,紅色的連接表示斷開的。
四、文件排查
1、臨時目錄排查
黑客往往可能將病毒放在臨時目錄(tmp/temp),或者將病毒相關文件釋放到臨時目錄,因此需要檢查臨時目錄是否存在異常文件。
假設系統盤在C盤,則通常情況下的臨時目錄如下:
C:\Users\[用戶名]\Local Settings\Temp
C:\Documents and Settings\[用戶名]\Local Settings\Temp
C:\Users\[用戶名]\桌面
C:\Documents and Settings\[用戶名]\桌面
C:\Users\[用戶名]\Local Settings\Temporary InternetFiles
C:\Documents and Settings\[用戶名]\Local Settings\Temporary InternetFiles
2、瀏覽器相關文件排查
黑客可能通過瀏覽器下載惡意文件,或者盜取用戶信息,因此需要檢查下瀏覽器的歷史訪問記錄、文件下載記錄、cookie信息,對應相關文件目錄如下:
C:\Users\[用戶名]\Cookies
C:\Documents and Settings\[用戶名]\Cookies
C:\Users\[用戶名]\Local Settings\History
C:\Documents and Settings\[用戶名]\Local Settings\History
C:\Users\[用戶名]\Local Settings\Temporary InternetFiles
C:\Documents and Settings\[用戶名]\Local Settings\Temporary InternetFiles
3、最新打開文件排查
檢查下最近打開了哪些文件,可疑文件有可能就在最近打開的文件中,打開以下目錄或者運行中輸入recent即可看到:
C:\Users\[用戶名]\Recent
C:\Documents and Settings\[用戶名]\Recent
4、文件時間排查
可以根據文件夾內文件列表時間進行排序,查找可疑文件。一般情況下,修改時間離現象發現時間越近的文件越可疑。當然,黑客也有可能修改”修改日期“,但遇到很少。
用everything對所有exe文件排序,查找現象時間段內創建和修改的文件。
5、其他重要目錄排查
System32也是常見的病毒釋放目錄,因此也要檢查下該目錄。hosts文件是系統配置文件,用于本地DNS查詢的域名設置,可以強制將某個域名對應到某個IP上,因此需要檢查hosts文件有沒有被黑客惡意篡改。
C:\Windows\System32
C:\Windows\System32\drivers\hosts
五、遠程登錄排查
系統產生的日志默認分為三類:應用程序日志、安全性日志、系統日志
這些日志以evt文件形式存儲在%systemroot%\system32\config目錄下,使用日志查看器可查看這些日志(開始 – 運行 –eventvwr)
1、RDP遠程登錄
RDP登錄日志位于windows安全日志中,登錄類型為10,該日志記錄了此主機上的所有登錄行為。
審計RDP登錄日志的目的是為了發現可疑登錄記錄,包括:
1.是否有異常的沒有登錄成功的審計事件,比如RDP爆破登錄;
2.是否有成功登錄的不明帳號記錄;
3.是否有異常IP的登錄事件,比如IP非此主機用戶常用IP;
4.是否有異常時間的登錄事件,比如凌晨2點遠程登錄主機;
注意:有時候登錄記錄會十分多,分析起來難度大,因此我們可以根據前期收集到的信息來幫助我們縮小審計范圍,比如異常現象發生的時間,惡意文件創建的時間等,可在這類時間點附近查找異常的登錄記錄。
操作系統 | 事件ID | 登錄類型 | 說明 |
Xp/2003 | 528 | 10 | RDP遠程登錄成功 |
Xp/2003 | 529 | 10 | RDP遠程登錄失敗 |
2008/2012/2016/win7/win8/win10 | 4624 | 10 | RDP遠程登錄成功 |
2008/2012/2016/win7/win8/win10 | 4625 | 10 | RDP遠程登錄失敗 |
應用程序和服務日志 -> Microsoft -> Windows ->TerminalServices-RemoteConnectionManager->Operational,事件ID 1149為RDP登錄成功日志,會記錄源IP和用戶。
查看本機登錄過的IP:
打開注冊表,打開此路徑:HKCU\Software\Microsoft\Terminal ServerClient。
選中Default可以看到連接過的IP。
選中Servers -> [IP]可以查看登陸名。
2、SMB遠程登錄
共享目錄登錄記錄位于windows安全日志中,登錄類型為3,常見的基于共享目錄的攻擊行為是IPC爆破,若爆破成功,攻擊者可以將受攻擊主機的磁盤文件映射到本地,造成信息泄露。同時,共享目錄可作為傳輸惡意文件的途徑之一,了解共享目錄的訪問情況可以幫助我們了解攻擊者的攻擊方法。
操作系統 | 事件ID | 登錄類型 | 說明 |
Xp/2003 | 540 | 3 | SMB遠程登錄成功 |
2008/2012/2016/win7/win8/win10 | 529 | 3 | SMB遠程登錄失敗 |
2008/2012/2016/win7/win8/win10 | 4624 | 3 | SMB遠程登錄成功 |
2008/2012/2016/win7/win8/win10 | 4625 | 3 | SMB遠程登錄失敗 |
六、啟動項排查
黑客為了保持病毒能夠開機啟動、登錄啟動或者定時啟動,通常會有相應的啟動項,因此有必要找出異常啟動項,并刪除之。啟動項的排查,這里引入一個非常好用的工具,工具名字Autoruns(官網www.sysinternals.com)。
1、自啟動項
autoruns查看
注冊表查看
永久啟動項
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
一次性啟動項,下次啟動會自動刪除
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
32位程序啟動項
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
通過以下路徑放置程序也可以自啟動程序
%appdata%\Microsoft\Windows\Start Menu\Programs\Startup
2、任務計劃
autoruns查看
微軟自帶工具
taskschd.msc可啟動系統自帶任務計劃程序,可以查看任務計劃具體操作,顯示所有正在運行的任務,并且可以開啟任務歷史記錄。
注冊表查看
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache\Tree
有些任務計劃做了隱藏可通過注冊表查看,這里任務計劃只有名稱,如果想知道任務計劃執行內容,可以結合任務計劃歷史記錄日志看判斷。
服務排查
通過tasklist /svc,可以查看每個進程所對應的PID和服務
使用autoruns查看
注冊表查看
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services存儲著所有的服務啟動項
七、賬戶排查
查看用戶最后一次登錄,修改密碼時間,以及賬戶是否啟動。
net user xxx |
通過PCHunter等工具可以查看隱藏用戶,如添加$符號的隱藏賬號,以及克隆賬號。
八、宏病毒分析處置
現象:
EDR等殺軟報宏病毒,病毒名提示類似于W97M、VBA、MSWor、Macro。
分析過程:
根據文件后綴其實就能看出,該word文檔是帶有宏代碼的,m即為macro。
為了分析腳本內容,打開文件就會觸發腳本運行,但如果禁用宏的話,打開文檔是看不到腳本內容的。為了以靜態方式提取樣本,這里會使用到一個分析程序oledump.py(https://github.com/decalage2/oledump-contrib)
oledump.py是一個用于分析OLE文件(復合文件二進制格式)的程序,而word、excel、ppt等文檔是OLE格式文件的,可以用它來提取宏代碼。
先進行文件基礎分析,可以看到A3這段數據被標記為“M”,“M”即表示Macro,說明這段數據是帶有VBA代碼的。
python oledump.py SSL.docm
接下來我們就需要將這段VBA代碼提取出來,執行以下命令,可以看到VBA代碼就被提取出來了。我們把他重定向到一個文件里即可。
python oledump.py -s A3 -v SSL.docm
這段代碼其實比較簡單。
1.先判斷操作系統位數設置不同路徑的rundll32.exe,然后通過CreateProcessA啟動rundll32.exe。
2.通過VirtualAllocEx在rundll32進程里申請一段內存空間。
3.通過WriteProcessMemory將myArray數組的內容,按字節寫入到剛才申請的內存空間。
4.通過CreateRemoteThread在rundll32進程創建遠程線程,入口點為剛才申請的內存空間首地址,并啟動該線程。
綜上所述,該代碼為遠程注入惡意代碼到其他進程,可以判斷為病毒。
九、勒索病毒
勒索病毒特征
1、文件被加密成統一后綴,無法使用。
2、桌面存在勒索信息文件,或勒索信息背景。
勒索信息文件里的一串二進制字符串,實際上是加密密鑰,但它被其他算法又加密了一層。
加密原理
1.常見的勒索病毒加密算法為RSA+AES。
2.勒索病毒運行時會隨機生成一串AES密鑰,用該密鑰來加密文件,加密結束后,使用RSA公鑰對AES密鑰進行加密,保存在本地。
3.解密需要病毒開發者提供RSA私鑰,解密本地AES密鑰文件,從而得到AES密鑰來解密系統數據。
所以別寄希望于逆向分析來解密
十、sysmon監控
sysmon為windows提供了更強大的監控功能,但遺憾的是sysmon只支持2008以后的系統。
sysmon安裝推薦xml文件下載鏈接
https://github.com/SwiftOnSecurity/sysmon-config
最常用的安裝方式
sysmon.exe -accepteula -i -n |
但上述方式不支持DNS記錄,而且日志量會過大。
推薦安裝命令,使用上述git里的配置,可支持DNS記錄,并且可自行修改過濾器,記錄自己需要的。
Sysmon64.exe -accepteula -i z-AlphaVersion.xml |
卸載
sysmon.exe -u |
日志通過事件查看器查看,因為sysmon的日志是以evtx格式存儲的。
具體事件路徑為
應用程序和服務日志-Microsoft-Windows-Sysmon-Operational
如下圖所示,或者你直接去C盤指定路徑查文件也行
如同windows自帶的系統日志,安全日志有事件ID一樣,sysmon日志也有對應的事件ID,最新版本支持23種事件。
Event ID 1: Process creation
Event ID 2: A process changed a file creation time
Event ID 3: Network connection
Event ID 4: Sysmon service state changed
Event ID 5: Process terminated
Event ID 6: Driver loaded
Event ID 7: Image loaded
Event ID 8: CreateRemoteThread
Event ID 9: RawAccessRead
Event ID 10: ProcessAccess
Event ID 11: FileCreate
Event ID 12: RegistryEvent (Object create and delete)
Event ID 13: RegistryEvent (Value Set)
Event ID 14: RegistryEvent (Key and Value Rename)
Event ID 15: FileCreateStreamHash
Event ID 17: PipeEvent (Pipe Created)
Event ID 18: PipeEvent (Pipe Connected)
Event ID 19: WmiEvent (WmiEventFilter activity detected)
Event ID 20: WmiEvent (WmiEventConsumer activity detected)
Event ID 21: WmiEvent (WmiEventConsumerToFilter activity detected)
Event ID 22: DNSEvent (DNS query)
Event ID 255: Error
案例
常用的有事件ID 1,監控進程創建,惡意進程的創建,包括他的父進程,PID,執行命令等等。
之前遇到過一起,開啟會自動運行powershell,但查了啟動項,任務計劃,wmi都沒發現痕跡,苦苦無解,然后使用sysmon監控進程創建,最終定位是誰拉起了powershell,往上溯源找到是一個偽造成正常程序圖標和后綴的link文件,存放在Startup目錄下,鏈接到存放在另一處的vbs腳本。
下圖即為進程創建監控日志,可以看到幾個關鍵點,創建的進程,命令行,以及父進程
事件ID3,監控網絡連接,當惡意程序外連CC服務器或者礦池等操作的時候,可以監控到是哪個進程發起的連接。這邊也舉個例子,之前遇到一種病毒,當你去用進程管理器或分析工具去查看時,該病毒會自動退出,防止被檢測到,并且隨機一段時間重啟,但態勢感知上發現確實有挖礦行為,使用sysmon監控,當他不定時運行時,即可捕捉到他連接礦池的行為,從而定位到進程。
下圖為網絡連接監控日志,可以看到網絡連接的五元組,和對應的進程。
事件ID22,是這次重磅推出的新功能,DNS查詢記錄,這功能讓應急響應人員可以很輕松的通過域名定位到進程,并且你即使開啟了dnscache服務,也能定位到原先進程。dnscache是一個緩存服務,簡單來講,就是會代理其他進程進行dns解析,并且會緩存解析結果,下一次解析就不再發送請求,讀取緩存內容返回給指定程序即可。所以大家使用內存掃描工具,可能會定位到dnscache服務進程。
在監測設備上發現可疑域名解析時,通過這個功能,可以輕松定位到發起解析的進程,從而進一步分析進程文件是否確實有問題。
如下圖所示,為dns查詢日志,會記錄解析域名和結果,以及對應的進程PID和路徑。