Linux下惡意文件大規模共性分析探討

有別於金融、政府環境使用windows及其配套設施，國內互聯網公司基礎設施獨鍾情於linux系統，互聯網公司遭遇的信息安全事件，如數據泄露，黑客入侵，競爭對手行為等，均有linux惡意文件的身影作祟。Linux惡意文件在分析處置過程中，與其他環境惡意文件分析思路大體相同，但仍有其一些特有的特點困擾著linux管理員。本文利用情報數據+自動化分析結合手段，為安全人員貢獻大範圍linux惡意文件的通用的，相似的行為特徵，了解背後黑產的模式，為凈化網路環境貢獻自己的一分力量。

根據國家信息中心信息與網路安全部發布了《2017年上半年中國網路安全報告》，報告顯示2017年1至6月已截獲Linux病毒樣本總量42萬個，遠遠超過了2013年、2014年和2015年的總和，雖然數量遠差windows平台，一旦安裝linux的伺服器遭受勒索或被遠控成為肉雞，預計造成的影響和經濟損失將會非常慘重。病毒文件的相似性分析檢測手段由來已久，能幫助從已知的病毒推斷檢測新型的，變種的病毒，但由於Linux環境中的傳播感染途徑更為曲折（系統定製化程度更高，個體差異更大），黑產對惡意代碼可能針對性加入加殼、加花、虛擬機保護、反調試等手段逃避檢測，惡意代碼片段本身的相似性分析受到很多因素干擾，Linux下的惡意文件查殺也更多只能是一種借鑒而難以形成通用操作，如何有效度量惡意文件的相似性，提取出能協助用於預警和查殺的共性，也是本文關心的問題。

0×00. 準備工作

要實現本文的目的，首要的問題是解決linux下的樣本數量，由於linux惡意文件沒有 window的廣泛用戶基礎，因此linux環境下樣本數量及種類相對較少，變種出現的時間周期也更長，病毒庫更新相對較慢。得益於安全社區的努力，目前已有大量在線病毒庫提供各類惡意文件簽名信息（部分提供樣本下載），本次調研數據來源分別來自內外部，收集下外部網站惡意文件樣本：

內部來源則從蜜罐數據當中採集：

如需進一步擴大樣本範圍，推薦採用critical stack intel訂閱malware相關feed ，收集更多的malware host或url，下載更多樣本（具體critical-stack-intel 威脅情報訂閱如有需要筆者將另起文章介紹）

最終整合內外部數據，取樣共2139個linux惡意文件樣本，分布如下

0×01. 分析過程

通過內外部數據整合而成的linux惡意文件庫固然是服務管理員的福音，藉助諸如MD5校驗，Ssdeep相似度計算等，可以識別大量惡意文件，規避風險，但同時我們注意到兩點：

1. Linux病毒正呈現爆髮式的趨勢，變種或新型病毒更新速度越來越快，對於多數非專業分析團隊或公司而言，缺乏足夠資源使用人工分析手段等深入分析方法；

2. 另一方面，從嚴謹的角度出發，惡意軟體的定義並不存在唯一的客觀標準（典型的例子，如比特幣挖礦程序），一個軟體是否為惡意軟體，特別是在不同的業務場景中，僅以個別病毒分析人員靜態分析或動態調試結果，結論不夠充分。

因此從後驗的角度，只有當一個文件被確認做出了對系統完整性（如未經授權篡改系統文件），保密性（如非法提升許可權），可用性（如非法發包佔用資源），才可準確被定義為「惡意文件」。要使用後驗判斷的方式，避免惡意文件執行造成的風險，就需要採用沙箱或虛擬化技術，本文綜合使用了cuckoo, Habo, Noriben三種沙箱，沙箱的部署使用方法不在本文贅述。

由於使用了沙箱技術，自動化的特徵提取甚至自動化檢測成為可能，整個過程幾乎不需要人工介入，而該類型分析針對目標文件的最終行為，因此誤判/漏判率相對前置檢測更準確，對安全運維工作當中的惡意文件查殺起到很好的補充作用。

文件的執行行為，從大的方面可以劃分為本機+網路，在本機當中的行為又可進一步細分為讀、寫操作，具有共性的行為包括：

a.進程幾乎都具備自我複製功能，如clone syscall, fork或vfork等行為

b. 在可執行文件目錄當中，生成隨機10位字母組成的文件

c.自刪除或自鎖定行為，多見於Backdoor. Linux家族，如把自己偽裝成正常文件移動到 /Ubuntu , /ubuntu/freeBSD或/usr/bin/bsd-port目錄下

e. Trojan-DDoS 家族的病毒把它們對外發包攻擊所需要的庫寫入/lib/libudev4.so文件當中

e.替換系統命令，高頻的包括ps, netstat, getty

f.為確保病毒進程逃避查殺，定時喚起，新增定時任務/etc/cron.hourly/gcc4.sh

網路上，惡意文件執行後馬上通過8.8.8.8 DNS請求解析域名，嘗試對外建立connect，截獲域名示例如下：

經進一步核查，連接域名均為惡意域名，雖然惡意域名服務商、對應IP存在為數不少的國外服務商及國外IP，但手工抽查大量樣本背後發現註冊信息均為中國身份，其中不乏登記註冊信息為xx科技，xx信息有限公司等，印證了中國黑產勢力的蓬勃，及經營上呈現規模化，產業化的趨勢。

*特別鳴謝微步在線 （https://x.threatbook.cn/）提供安全情報

根據已建立起的部分連接可以發現，遠控端有可能採用的是一種通用管理信息協議（CMIS/CMIP）對殭屍網路進行管理和指令發布，由於遠控端連接的是164埠，猜測遠控端只是黑客控制鏈中的一環，而非真實操作環境，增加了溯源的難度。

因此惡意域名的解析請求數量將會是有價值的指標，對惡意域名的解析請求數量的飆升，可能預示著入侵或攻擊事件。

值得注意的是，部分帶有Spyware屬性的病毒家族，如Linux. Goram, Linux. EncPk.BE等，還會自動隨機地對內網地址或二層地址進行橫向滲透，針對埠包括53， 123，137，138，139，389等。

0×02. 建議及後續工作

筆者從事安全運維工作，安全運維中的惡意文件防範和防病毒公司的病毒分析工作，兩者的性質和工作重心還是存在明顯的差異。從安全運維角度而言，特別是Linux伺服器反惡意文件，在技術的基礎上需要考慮更多的管理因素，對快速響應的能力要求也更高，本文發現帶來的啟發包括：

（1）建立自身的黑 / 白名單庫（含惡意文件及惡意域名）；

（2）對關鍵系統命令，關鍵目錄，定時任務進行完整性校驗

（3）監控異常文件命名

（4）關注DNS請求，判斷是否有可疑域名

（5）來自內網的掃描流量既可能來自別有用心的用戶，也可能來自惡意文件，應予以重視

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！