Linux下的APT攻擊工具HDD Rootkit分析

作者：佚名 2015-10-22 15:38:22

前段時(shí)間，卡巴斯基捕獲到Winnti網(wǎng)絡(luò)犯罪組織在Windows下進(jìn)行APT攻擊的通用工具——HDD Rootkit。經(jīng)分析發(fā)現(xiàn)，HDD Rootkit先是篡改系統(tǒng)的引導(dǎo)區(qū)，然后在進(jìn)入Linux系統(tǒng)前利用自帶的Ext文件系統(tǒng)解析模塊，將隱藏在硬盤深處的后門文件解密出來后加入到開機(jī)啟動腳本或系統(tǒng)服務(wù)里。目前受攻擊的系統(tǒng)有Centos和Ubuntu。

一、概況

　　前段時(shí)間，卡巴斯基捕獲到Winnti網(wǎng)絡(luò)犯罪組織在Windows下進(jìn)行APT攻擊的通用工具——HDD Rootkit。近期，騰訊反病毒實(shí)驗(yàn)室在Linux系統(tǒng)下也捕獲到同類工具。Winnti組織利用HDD Rootkit在Windows和Linux系統(tǒng)下進(jìn)行持續(xù)而隱蔽的APT攻擊。經(jīng)分析發(fā)現(xiàn)，HDD Rootkit先是篡改系統(tǒng)的引導(dǎo)區(qū)，然后在進(jìn)入Linux系統(tǒng)前利用自帶的Ext文件系統(tǒng)解析模塊，將隱藏在硬盤深處的后門文件解密出來后加入到開機(jī)啟動腳本或系統(tǒng)服務(wù)里。目前受攻擊的系統(tǒng)有Centos和Ubuntu。

　　圖1：HDD Rootkit在Linux下的攻擊流程

二、HDD Rootkit在Linux下的詳細(xì)分析

　　1.過程展示

　　分析HDD Rootkit：　　

　　圖2：分析HDD Rootkit得到的參數(shù)提示

　　運(yùn)行HDD Rootkit：　

　　圖3：運(yùn)行HDD Rootkit工具

　　通過圖3，能看出HDD Rootkit平臺已經(jīng)把RKimage和Backdoor解密并寫入扇區(qū)里面，而且計(jì)算了他們的Crc16值(這部分后面有更詳細(xì)的分析)。接下來，我們看看mbr的變化：一是第一扇區(qū)已經(jīng)被改寫(如圖4)；二是開機(jī)瞬間顯示出HDD Rootkit的調(diào)試信息(如圖5)。當(dāng)系統(tǒng)中毒以后，第1扇區(qū)存放病毒的MBR，第25扇區(qū)存放BootCode，第26與第27扇區(qū)存放加密后的原始MBR。　　

　　圖4：左邊是被修改的mbr，右邊是原始的mbr

　　圖5：開機(jī)時(shí)RKimage的輸出信息，注意：debug版本才有信息輸出

　　2.安裝階段詳細(xì)分析

（1）運(yùn)行安裝方式與參數(shù)：　

　　圖6：hdroot_32_bin安裝方式

　　在Linux下運(yùn)行HDD Rootkit 如 ./root_32_bin inst ./createfile 1。其中第一個(gè)參數(shù)是安裝類型，第二個(gè)參數(shù)是后門文件，第三個(gè)參數(shù)是啟動類型(共三種開機(jī)啟動方式)。

　　（2）HDD Rootkit的文件存儲和隱藏：

　　HDD Rootkit早期的版本是把MBR、Boot Code、RKimage等放在程序資源里面，在Linux系統(tǒng)下則是把這些文件加密存儲在安裝器里面。以下分析HDD Rootkit如何將加密好的MBR、Boot Code、RKimage解密出來，又重新加密寫入到第一個(gè)扇區(qū)和空閑的扇區(qū)里面。