標題：【Rootkit 系列研究】Linux平台的高隱匿、高持久化威脅

序言從西方APT組織的攻擊歷史及已經洩露的網絡武器看，高隱匿、高持久化(LowSlow)是其關鍵特徵，而Rootkit 則是達成此目的的重要技術之一。

在“【Rootkit 系列研究】Windows平台的高隱匿、高持久化威脅”裡，我們介紹了Windows Rootkit的生存期，可達成的效果，運用這項技術展開攻擊的可行性以及這項技術的發展現狀。除了Windows操作系統，Linux、Mac OS等同樣受Rootkit關注。在本文中，我們將目光投向Linux操作系統。我們首先對近年來用戶態Rootkit在黑產組織中的廣泛使用進行討論，接著介紹內核態Rootkit的高度定制化需求和Linux系統上存在的其他類型Rootkit，最後從攻防視角對Rootkit進行總結。

難以檢測的Linux Rootkit想像以下場景：由於業務需要，你們公司穩定運行多年的某台Linux服務器需要進行系統升級，在完成升級後，你偶然注意到服務器上多了幾個看起來像系統文件的文件（夾），你的第一反應是什麼？這是新版本引入的系統文件，pass？有點可疑，去搜索引擎查詢這些文件名是否正常？小心！任何一絲異常的背後都可能潛藏著巨大的危險。

Rootkit在幾乎所有操作系統上都是最具挑戰性的惡意軟件類型，它利用操作系統代碼中的疏忽，隱藏它的存在和惡意行為。製作精良的Rootkit可以在受害主機長期駐留，讓主機在用戶視角和部分內核視角沒有任何感知，進而很難通過系統提供的檢測工具以及常規的防病毒軟件進行檢測和清除。

用戶態倍受黑產青睞Linux Rootkit運行時所處的層次分用戶層和內核層兩種。對於運行於用戶層的用戶態Rootkit，它所涉及的技術簡單且成熟，例如替換系統文件，動態鏈接庫劫持等。對近兩年曝光的黑產組織攻擊樣本進行分析，我們發現越來越多的黑產組織以某些開源Rootkit為基礎，將用戶態Rootkit技術加入自己的技術棧。

進一步講，黑產組織喜歡將用戶態Rootkit作為其攻擊鏈中multi-stage-malware的一部分，即他們沒有將Rootkit功能集成在原本的挖礦或殭屍網絡樣本中，而是在原有惡意軟件的基礎上新增Rootkit，用於實現隱藏文件等新的功能，以規避安全公司提出的感染檢測方案：“通過檢查某些路徑、文件的存在與否，判斷某主機是否受到某惡意軟件的影響”。

根據某海外安全廠商2020年底的報告，H2Miner挖礦家族開始使用新的Rootkit樣本。該Rootkit修改自開源項目“beurk”，它使用LD_PRELOAD技術劫持動態鏈接過程，將磁盤上的挖礦文件“kinsing”以及正在運行的相關進程隱藏。這使得IT管理員在感知到系統運行速度無故變慢後，無法通過“top”命令看到佔用大量CPU資源的挖礦進程。值得一提的是，H2Miner家族目前仍十分活躍，我們發現2021年底該家族使用Log4j漏洞進行挖礦軟件傳播。 （鏈接：12.12 Log4j RCE 黑產從業者的狂歡）

2021年我們還觀測到活躍的TeamT/N/T挖礦家族使用的Rootkit樣本（鏈接：1.10 2021挖礦木馬趨勢報告）。該家族除了利用修改自開源項目“Diamorphine”的內核態Rootkit之外，還在用戶層替換了ps、top等系統命令文件，當使用這些命令進行排查時，挖礦的相關痕跡會被隱藏。具體代碼如圖：

2021年4月，某海外安全廠商曝光了一種新型遠控程序Facefish，他們懷疑攻擊者正在進行殭屍網絡組網，併計劃在組網完成後，以“訪問權限即服務”（access-as-a-service）的方式出售該網絡的訪問權限。 Facefish遠控通過第一階段的dropper釋放出一個Rootkit，Rootkit利用用戶態常用的動態鏈接庫劫持技術，實現ssh、sshd的運行時鏈接程序劫持，最終在受害主機上放置一個後門。事實上，對於一個Rootkit程序，Facefish的這種用法十分原始，因為它僅利用了Rootkit的觸發機制，惡意so文件中還可以增加一系列隱藏功能。動態鏈接庫劫持效果如圖：

為了降低被懷疑的概率，上述組織使用的惡意動態鏈接庫分別命名為libsystem.so、libs.so，它們刻意模仿Linux的系統自帶程序文件名，並駐留在系統文件路徑下，企圖蒙蔽服務器管理員。

試想如果你在包含上百個so文件，並且這些文件的文件名均以“lib”開頭的文件夾/lib64中看到了libs.so，這會引起你的懷疑嗎？不過對於防禦的一方，上述場景並不會讓人夜不能寐，因為針對用戶態Rootkit，有諸如文件完整性檢測、交叉視圖等十分成熟的檢測技術。歸根結底，這些Rootkit都只運行在用戶層，當防禦措施深入進操作系統內核，從底向上看，他們通通無處遁形。

內核態的高度定制化防禦方可以深入Linux操作系統內核進行防守，攻擊的一方當然也可以進入內核層進行攻擊。越接近Linux操作系統底層內核代碼，Rootkit的開發難度越大，對其進行檢測的難度也越高。對攻擊者來說，高投入通常意味著更有價值的攻擊目標和更高的回報，如果開發得當，Rootkit可以長期藏匿在目標機器中，所以內核態Rootkit也是攻擊者關注的重點。

傳統的內核態Rootkit使用可加載內核模塊（LKM）技術進入內核層後，在內核層進行“hook”。從執行在用戶態的程序調用“int0x80”陷入內核開始，整個系統調用流程中的任何一個位置，都可能成為內核態Rootkit進行hook的目標，圍繞“hook什麼”，“如何hook”這兩個問題，出現了近十種內核態Rootkit技術。

與用戶態Rootkit不同，由於內核態Rootkit直接對Linux內核源代碼進行操縱，所以對Rootkit有極高的定制化要求。這是因為經過多年的發展，Linux的內核版本眾多，每個版本的內核代碼都有或多或少的修改，攻擊者開發的某個內核態Rootkit可以在A版本上正常運行，很可能在B版本上完全失效，這就可能出現文章開頭提到的那一幕。

前文提到的TeamT/N/T挖礦家族除了在用戶態替換系統命令文件外，還使用內核態Rootkit技術，將惡意內核模塊diamorphine.ko加載進內核，實現進程、模塊、文件目錄的隱藏以及用戶權限的提升。該挖礦家族以雲主機為目標，Rootkit只能在2.6.x、3.x、4.x內核版本上正常運行，具體實現如圖：

除了黑產，APT組織發起的定向攻擊中也用到了內核態Rootkit。 APT組織對隱蔽性有更高的要求，這也給信息收集環節提出了更大的挑戰，APT組織需要清楚的知道某次定向攻擊的目標所使用Linux服務器的內核版本號。在必要條件下，APT組織可以拿到與目標服務器完全相同的實體，並直接在其上進行Rootkit開發。例如震網病毒事件中，攻擊者對目標設備瞭如指掌，而後在惡意代碼中加入了嚴苛的環境判斷。再例如2020年曝光，據稱由APT28開發的內核態Rootkit Drovorub，它針對3.7以下版本的Linux內核，特別是Red Hat發行版進行攻擊。

內核態攻防進入深水區Rootkit最關鍵的要點是隱藏，而隱藏意味著攻擊者清楚的知道為什麼某個文件（夾）會顯示，為什麼某個網絡連接可被觀測，然後對這些顯示的機制進行繞過，以達到隱藏的效果。攻擊者知道的這些機制，防禦方當然也知道，並且對其開展檢測，而攻擊者進一步進行繞過，隨後便產生了攻防雙方的貓鼠遊戲。 Linux內核態Rootkit攻防的本質，是雙方誰對操作系統底層技術更加了解。繼續深入Linux內核，有沒有更加底層的Rootkit技術？答案當然是有，而且近年來越來越多。

2015年，Ryan利用Linux內核中的kprobe機制實現了Rootkit。 Kprobe是Linux內核開發者用於內核函數跟踪的一種輕量級內核調試技術，這個Rootkit展示了利用基於kprobe機制進行hook，實現Rootkit功能的可行性。

2016年，Michael在Blackhat上提出了一種基於命名空間的新型Linux Rootkit——Horse Pill，它在操作系統啟動過程中劫持虛擬根文件系統initrd（boot loader initialized RAM disk），使受攻擊的服務器進入另一個由攻擊者創建的“楚門的世界”（即一個子命名空間）。在這個子命名空間中，用戶所有的操作都能正常執行，但完全意識不到還存在另一個並行運行的，由攻擊者所控制的“真實世界”。

在kprobe的基礎上，Linux 4.0以上版本增加了eBPF技術，該技術可以在不加載內核模塊的前提下，在Linux內核中運行用戶編寫的程序。 Guillaume在2021年Blackhat上公開了基於eBPF的Rootkit。

總結雖然kprobe、Horse Pill、eBPF在內核更加底層的位置完成了Rootkit的隱藏功能，但是痕跡是否真的隱藏，會根據觀測的視角而大不相同。理論上不存在沒有任何痕蹟的Rootkit，總有某些角度可以觀測到系統出現了異常，因為如果一個程序在所有視角都隱藏，那麼攻擊者也無法對它進行控制。上述這些技術可以被攻擊者所利用，而防禦方同樣可以利用它們。現在各安全公司已利用它們設計功能更強大的安全軟件，對系統進行監控。

我們已經深入Linux內核深處，是否還存在更加底層的Rootkit？ 2021年12月28日，海外某安全公司給出了突破操作系統的答案。他們發現了固件Rootkit“iLOBleed”，其隱藏在惠普固件HP iLO 上，同時可以以最高權限訪問和修改設備上所有的軟硬件資源。

事實上，對於現有的高級Rootkit，安全軟件已經非常難以檢測，通常需要安全專家人工介入分析，可以想像某些由APT組織定向投遞的Rootkit正在受害機器中潛伏。對Rootkit技術進行研究，不是去解決想像中的問題，而是回應真實的ring0世界。

參考資料https://www.4hou.com/posts/vLmm

https://www.trendmicro.com/en_us/research/20/k/analysis-of-kinsing-malwares-use-of-rootkit.html

https://therecord.media/malware-campaign-targets-server-hosting-software-cwp/

https://documents.trendmicro.com/assets/white_papers/wp-tracking-the-activities-of-teamT/N/T.pdf

https://www.blackhat.com/docs/us-16/materials/us-16-Leibowitz-Horse-Pill-A-New-Type-Of-Linux-Rootkit.pdf

https://github.com/elfmaster/kprobe_rootkit

https://i.blackhat.com/USA21/Wednesday-Handouts/us-21-With-Friends-Like-EBPF-Who-Needs-Enemies.pdf

https://www.secureworld.io/industry-news/access-as-a-service-rising-in-popularity

https://threats.amnpardaz.com/en/2021/12/28/implant-arm-ilobleed-a/

https://www.ptsecurity.com/ww-en/analytics/rootkits-evolution-and-detection-methods/