容器安全在野攻擊調(diào)查

1、Wencenl#8i#fQiR%)%iCEAResearch of Rttacks In The Wild On Container Infrastructure目錄Contents前言1.1 前言06主要結(jié)論06黑產(chǎn)云原生攻擊動機(jī)07攻擊模式分析07攻擊模式示意圖08容器鏡像安全容器鏡像供應(yīng)鏈安全11蠕蟲傳播中使用的鏡像13攻擊趨勢分析攻擊手段多樣性分析17 HYPERLINK l _TOC_250021 攻擊者使用的鏡像屬性17 HYPERLINK l _TOC_250020 每日在野攻擊鏡像種類數(shù)量18攻擊強(qiáng)度趨勢分析18 HYPERLINK l _TOC_250019 每日單個鏡像發(fā)動

2、的攻擊次數(shù)18 HYPERLINK l _TOC_250018 攻防對抗激烈程度19 HYPERLINK l _TOC_250017 攻擊持久化分析20云原生攻擊矩陣初始化訪問22 HYPERLINK l _TOC_250016 投毒鏡像22 HYPERLINK l _TOC_250015 對外應(yīng)用漏洞244.2 執(zhí)行25 HYPERLINK l _TOC_250014 腳本執(zhí)行25 HYPERLINK l _TOC_250013 容器執(zhí)行27持久化28 HYPERLINK l _TOC_250012 定時任務(wù)28 HYPERLINK l _TOC_250011 創(chuàng)建賬號28權(quán)限提升29 HY

3、PERLINK l _TOC_250010 容器逃逸29 HYPERLINK l _TOC_250009 掛載 HOSTPATH 逃逸30防御規(guī)避30 HYPERLINK l _TOC_250008 卸載殺軟30 HYPERLINK l _TOC_250007 名稱偽裝31 HYPERLINK l _TOC_250006 使用 Tor 網(wǎng)絡(luò)匿名32 HYPERLINK l _TOC_250005 進(jìn)程隱藏33 HYPERLINK l _TOC_250004 通過 /proc/PID 隱藏進(jìn)程33 HYPERLINK l _TOC_250003 使用 rootkit 隱藏進(jìn)程33 HYPERLI

4、NK l _TOC_250002 痕跡清理35憑據(jù)竊取36命令和控制37 HYPERLINK l _TOC_250001 釋放木馬37 HYPERLINK l _TOC_250000 木馬下載鏈接37總結(jié)5.1 總結(jié)39前言進(jìn)入后云計(jì)算時代，云原生正在成為企業(yè)數(shù)字化轉(zhuǎn)型的潮流和加速器。云原生安全相關(guān)的公司雨后春筍般建立起來，各個大云廠商也積極建立自己云原生的安全能力，保護(hù)云上客戶的資產(chǎn)。與之相對的，黑產(chǎn)組織為了牟利，也在不斷尋找新的戰(zhàn)術(shù)、技術(shù)和流程（TTP）。在利益的驅(qū)動下，黑產(chǎn)組織通過不斷的 尋找和利用云原生安全缺陷，從而形成穩(wěn)定的盈利模式。知己知彼，百戰(zhàn)不殆。了解自己的對手才能更容易的贏得

5、戰(zhàn)爭。騰訊安全云鼎實(shí)驗(yàn)室通過對在野的攻擊進(jìn)行一段時間的統(tǒng)計(jì)和分析，對攻擊者的戰(zhàn)術(shù)、技術(shù)、流程、活動周期、攻擊復(fù)雜度等維度進(jìn)行介紹，希望可以對云原生安全的生態(tài)建設(shè)有更多幫助。本文的分析數(shù)據(jù)基于騰訊安全云鼎實(shí)驗(yàn)室的哨兵蜜罐捕獲的 2021 年 9 月至 2022 年 1 月總共 5 個月的攻擊數(shù)據(jù)，總計(jì)125,364 次攻擊。通過騰訊安全云鼎實(shí)驗(yàn)室的容器沙箱運(yùn)行分析的 Dockerhub 中 1093980 個鏡像數(shù)據(jù)。1.2主要結(jié)論供應(yīng)鏈安全，不僅僅是安全左移，針對供應(yīng)鏈的攻擊也越來越頻繁。黑產(chǎn)在容器安全攻擊過程中使用了越來越多的高級技術(shù)，包括：無文件攻擊、二進(jìn)制打包、rootkit。攻擊強(qiáng)度，

6、攻擊數(shù)量，攻擊方法多樣性有顯著增長，這與容器應(yīng)用規(guī)模增長有關(guān)系。容器安全面臨的安全挑戰(zhàn)越來越大，需要選擇靠譜的安全產(chǎn)品進(jìn)行防護(hù)。在云原生架構(gòu)中，容器生命周期短、業(yè)務(wù)復(fù)雜。傳統(tǒng)的木馬已不太適合云原生架構(gòu)，攻擊者無法獲取批量的容器進(jìn)行DDoS。云原生攻擊中絕大部分是利用容器集群挖礦，已經(jīng)形成了穩(wěn)定的黑產(chǎn)收益鏈條，是黑產(chǎn)的主要攻擊動機(jī)。黑客在利用容器資源挖礦牟利的過程中，還竊取服務(wù)器憑證，安裝后門等操作。1.4攻擊模式分析供應(yīng)鏈攻擊黑客通過制作惡意的黑產(chǎn)鏡像，通過偽造鏡像名稱，誘導(dǎo)用戶主動下載黑產(chǎn)鏡像，然后就進(jìn)行挖礦。蠕蟲傳播攻擊黑客通過制作蠕蟲病毒，通過漏洞自動化傳播，入侵成功后，會下載惡意鏡像，

7、進(jìn)行容器逃逸等動作，被入侵容器會繼續(xù)掃描感染其他主機(jī)。挖礦作為典型的云原生攻擊場景，可以代表絕大部分攻擊的場景。這里以挖礦的場景進(jìn)行分析： 從攻擊模式上分類，可以分為 2 類：9容器鏡像安全Container ImageSecurityDockerhub 是全球最大的 docker 鏡像市場，云鼎實(shí)驗(yàn)室通過大規(guī)模的研究 Dockerhub 中的鏡像，分析了 109w 的Dockerhub 鏡像，來研究鏡像供應(yīng)鏈的安全情況。我們發(fā)現(xiàn)萬分之七左右的鏡像為惡意鏡像。我們發(fā)現(xiàn)，通過容器鏡像進(jìn)行供應(yīng)鏈攻擊越來越普遍，模仿的 docker 環(huán)境覆蓋了機(jī)器學(xué)習(xí)、編程語言和基礎(chǔ)應(yīng)用環(huán)境。隨著容器化的爆發(fā)，應(yīng)用

8、環(huán)境復(fù)雜化的爆發(fā)，供應(yīng)鏈安全會是容器安全重要的一環(huán)?，F(xiàn)階段，通過病毒下載的容器鏡像占比較大，下載量也非常巨大，蠕蟲的傳播速度是非常快的，我們發(fā)現(xiàn)最大的黑產(chǎn)團(tuán)伙， 惡意容器下載量達(dá)到了 1.5 億。2.1容器鏡像供應(yīng)鏈安全上圖是統(tǒng)計(jì)近一年內(nèi)發(fā)現(xiàn)的供應(yīng)鏈惡意鏡像，橫坐標(biāo)為鏡像上線時間，縱坐標(biāo)為下載數(shù)量。可以看出來，python、logstash、rails 類的基礎(chǔ)軟件鏡像下載數(shù)量最大。通常 4-5 個月就可以達(dá)到 10w 左右的下載量，可見通過假冒常用基礎(chǔ)軟件鏡像是攻擊云原生供應(yīng)鏈的重要環(huán)節(jié)之一。惡意鏡像假冒的基礎(chǔ)鏡像種類大致分三種：1、編程語言開發(fā)環(huán)境；2、基礎(chǔ)應(yīng)用環(huán)境（wordpress、m

9、ondb 等）；3、機(jī)器學(xué)習(xí)相關(guān)套件。其中，編程語言類鏡像數(shù)量比例最大，占比 47%，人工智能相關(guān)比例最小，只有 13%。從下圖我們可以看出，黑產(chǎn)團(tuán)伙會冒充常見的編程語言，其中 python、java 比例最大，兩者加起來占比 36%。對于偽裝成正常應(yīng)用的鏡像，一般下載量成線性增加，此類的惡意鏡像較難發(fā)現(xiàn)，隱蔽性較好。未來隨著容器化的進(jìn)行， 會出現(xiàn)越來越多的應(yīng)用容器，供應(yīng)鏈安全也顯得越來越緊迫。srinath1882/jupyter下面以 Srinath1882/jupyter 這個鏡像為例，展示了 45 天的一個下載量情況。如下圖所示：Srinath1882/jupyter3000 2500

10、 2000 1500 1000 500 0 1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 452.2蠕蟲傳播中使用的鏡像這類鏡像通過蠕蟲傳播，下載量巨大。主要以多個黑產(chǎn)團(tuán)伙為主，頭部 4 個黑產(chǎn)團(tuán)伙的下載量占比 90% 以上。云鼎實(shí)驗(yàn)室長期監(jiān)控各個黑產(chǎn)團(tuán)伙的黑產(chǎn)鏡像，發(fā)表多篇文章，如DockerHub 再現(xiàn)百萬下載量黑產(chǎn)鏡像，小心你的容器被挖礦（/developer/article/1869715）。其中最大的黑產(chǎn)團(tuán)伙鏡像下載量超過 1.8 億，感染范圍廣泛。此類攻擊是主流的攻擊方式，后文中會講解我們通過云鼎哨兵系統(tǒng)捕

11、獲的在野攻擊的詳細(xì)分析。下載量超 1.8 億的黑產(chǎn)團(tuán)伙這個超過 1.8 億下載量的黑產(chǎn)團(tuán)伙主要是進(jìn)行挖礦，使用自己的礦池，使用暗網(wǎng)通信或者使用 UAM 挖礦，從而逃避檢測。下表中統(tǒng)計(jì)了這個黑產(chǎn)團(tuán)伙下載量超過 40w 的鏡像。具體技術(shù)會在下文 攻擊矩陣部分進(jìn)行詳細(xì)介紹。相關(guān)鏡像如下表所示：Docker hub 賬戶頁面如下：我們可以看出全部鏡像名稱均沒有進(jìn)行偽裝，鏡像名稱為越南語。團(tuán)伙收入從單個上看，至少賺了 700 個 xmr，價(jià)值 100w 人民幣，這依然是很小的一部分收入，因?yàn)楹芏嗟V池的記錄無法查詢?？梢园l(fā)現(xiàn)，黑產(chǎn)團(tuán)伙可以通過挖礦獲得巨大的利益。黑產(chǎn)團(tuán)伙使用的一個挖礦錢包：16攻擊趨勢分析

12、Attack Trend Analysis這部分我們通過騰訊安全云鼎實(shí)驗(yàn)室的哨兵蜜罐，采集了 2021 年 9 月至 2022 年 1 月總共 5 個月的攻擊數(shù)據(jù)，總計(jì)攻擊次數(shù)為 125,364 次。總體來說，攻擊手段越來越豐富，攻擊強(qiáng)度逐漸增強(qiáng)。下文中我們會對攻擊數(shù)據(jù)進(jìn)行分析，從而反映出現(xiàn)有的容器安全環(huán)境。3.1攻擊手段多樣性分析我們這里會從攻擊中使用的鏡像入手進(jìn)行分析，包括：鏡像的屬性，鏡像的實(shí)際種類。攻擊者使用的鏡像屬性攻擊者使用的鏡像屬性可以分為 3 類：正常鏡像、仿白惡意鏡像（比如：假冒白鏡像的名稱，起名為 ubuntu2 ）、惡意鏡像。攻擊者會利用正常的鏡像進(jìn)行攻擊（53%），從而

13、可以有效的繞過安全系統(tǒng)的檢測。如果使用惡意鏡像，也會把鏡像名稱 進(jìn)行偽造，從而迷惑安全檢測。正常鏡像仿白惡意鏡像（合法鏡像名）惡意鏡像正常鏡像52仿白惡意鏡像（合法鏡像名）41鏡像種類比例惡意鏡像7每日在野攻擊鏡像種類數(shù)量每日攻擊中，攻擊者使用的鏡像種類數(shù)量越多，也就代表了攻擊方法的多樣性越豐富，也一定程度上表明了現(xiàn)有的容器安全環(huán)境越差，暴露了很多安全缺陷。下圖中是 2021 年 9 月至 2022 年 1 月每個月平均每天，黑客在攻擊中使用到的鏡像種類數(shù)量，從九月份開始，攻擊的種類數(shù)量呈一個上升的趨勢，從每天 4.6 個鏡像增長到 6.8 個鏡像。攻擊手段和方法都有增加。3.2攻擊強(qiáng)度趨勢分

14、析每日單個鏡像發(fā)動的攻擊次數(shù)通過每日攻擊者使用鏡像發(fā)動的攻擊次數(shù)。我們可以得到攻擊強(qiáng)度的趨勢。下圖是 2021 年 9 月至 2022 年 1 月每日平均每個鏡像攻擊次數(shù)的統(tǒng)計(jì)曲線，我們可以看出來，隨著時間的推移，針對容器攻擊的次數(shù)有顯著的增加。尤其是在 11 月和 12 月，攻擊總量增加了大約一倍?？梢钥闯鰜恚魪?qiáng)度增長較快。攻防對抗激烈程度容器面臨的攻擊是新技術(shù)替代了舊技術(shù)？ 還是舊的攻擊技術(shù)依然活躍，同時涌現(xiàn)出了新的攻擊方式？攻擊中使用了多少種鏡像可以很好的表示出黑客攻擊的多樣性，我們統(tǒng)計(jì)了 5 個月，攻擊中使用的鏡像數(shù)量。攻擊中使用的鏡像數(shù)量是呈上升趨勢的，每月平均新增攻擊鏡像 3.

15、6 個，可見攻擊方法和手段越來越多。新增攻擊鏡像的增速也是呈上升趨勢的，平均每月增長 3.6 個新的攻擊鏡像，與之對比，攻擊鏡像的消亡速度也是呈現(xiàn)上升趨勢，平均每個月減少 2.4 個攻擊鏡像。我們可以看出，攻擊方法越來越多，攻擊者嘗試使用多種不同的攻擊手段進(jìn)行攻擊，于此同時，防護(hù)方也在積極防御，使得很多攻擊鏡像失效。云原生上的攻防越來越激烈，對于使用云原生產(chǎn)品的客戶來說，選擇一個靠譜的安全產(chǎn)品是一個比較明智的選擇。攻擊持久化分析通常來說，發(fā)動攻擊的 ip 設(shè)備同時也是被黑客攻擊控制的，如果存活時間很短，表示攻擊后并沒有有效的持久化，由于容器的銷毀或者安全系統(tǒng)的查殺，黑客會在短時間內(nèi)失去對目標(biāo)的

16、控制權(quán)。如果存活時間較長，可以簡單的認(rèn)為，黑客的持久化攻擊是行之有效的。我們在蜜罐捕獲的樣本分析的過程中發(fā)現(xiàn)，大部分的攻擊都會進(jìn)行容器逃逸和持久化。我們統(tǒng)計(jì)了 130 天內(nèi)，9687 個攻擊 ip 持續(xù)的時間?？梢钥闯鰜?，49% 的攻擊最多持續(xù) 4 天，能持續(xù)一周以上的占 38%，能持續(xù)超過一個月的占 17%。大約 40% 的容器使用單位對于容器的攻擊沒有任何防御能力，無法及時有效的發(fā)現(xiàn)和處置入侵至容器集群中的風(fēng)險(xiǎn)。容器安全在野攻擊調(diào)查攻擊趨勢分析Research of Attacks In The Wild On Container InfrastructureAttack Trend An

17、alysis21云原生攻擊矩陣MITRE ATT&CKFramework for containers初始化訪問執(zhí)行持久化權(quán)限提升防御規(guī)避憑據(jù)訪問命令和控制橫向發(fā)現(xiàn)對外應(yīng)用漏洞容器服務(wù)掛載 Host容器逃逸Host 上創(chuàng)建鏡像容器 API應(yīng)用層協(xié)議： IRC容器資源遠(yuǎn)程服務(wù)惡意鏡像冒充正常鏡像名host 命名空間濫用名稱偽裝云實(shí)例元數(shù)據(jù) API網(wǎng)絡(luò)掃描投毒鏡像創(chuàng)建容器計(jì)劃任務(wù)內(nèi)核漏洞路徑偽裝文件憑證 賬戶泄露腳本 創(chuàng)建賬號 Cgroups 濫用卸載殺軟密碼暴力破解rootkitTor 匿名化我們這里通過攻擊矩陣的方式來介紹，我們分析的 dockerhub 中的惡意鏡像和捕獲的在野云原生攻擊中使

18、用的攻擊技術(shù)。下面表格中紅色的部分是惡意鏡像常用的手法。下文中，我們會先介紹惡意鏡像使用的方法。runc docker socket 利用host 掛載計(jì)劃任務(wù)有效賬戶部署特權(quán)容器4.1初始化訪問投毒鏡像很多容器開發(fā)者會使用公開的鏡像源（dockerhub）下載鏡像并在業(yè)務(wù)環(huán)境中使用，攻擊者會構(gòu)造惡意鏡像部署到dockerhub，通過誘導(dǎo)安裝或者鏈路劫持，展開供應(yīng)鏈攻擊。例子：鏡像偽裝為 tensorflow，但攜帶了 xmr 挖礦程序。惡意鏡像隱蔽性高，需要專業(yè)的鏡像安全查殺工具進(jìn)行檢測。隱蔽性分析類似于上面的例子，很多復(fù)雜環(huán)境的鏡像，在海量的正常命令中，插入幾行的挖礦命令，在正常功能的掩蓋

19、下， 異常行為很難發(fā)現(xiàn)。例子：鏡像名：srinath1882/jupyter ，在正常的 20894 行配置中，只有 4 行跟xmr 挖礦有關(guān)，其余均為正常指令，隱蔽性非常高。對外應(yīng)用漏洞Docker Remote API是一個取代遠(yuǎn)程命令行界面（rcli）的 REST API，默認(rèn)綁定 2375 端口。Docker Remote API 如配置不當(dāng)可導(dǎo)致未授權(quán)訪問，攻擊者利用 docker client 或者 http 直接請求就可以訪問這個 API，可能導(dǎo)致敏感信息泄露，黑客也可以刪除 Docker 上的數(shù)據(jù)。攻擊者可進(jìn)一步利用 Docker 自身特性，直接訪問宿主機(jī)上的敏感信息，或?qū)γ舾?/p>

20、文件進(jìn)行修改，最終完全控制服務(wù)器。對于云原生容器環(huán)境，可以說 docker api 未授權(quán)訪問是黑產(chǎn)攻擊中最常使用的漏洞。從哨兵系統(tǒng)捕獲的流量數(shù)據(jù)發(fā)現(xiàn)有大量的針對 docker api 未授權(quán)訪問漏洞攻擊的數(shù)據(jù)包。最常見的端口有：2375、 2376、2377、4244、4243。哨兵系統(tǒng)捕捉的數(shù)據(jù)包：這里以 TEAMTNT 組織的 2021.09.13 發(fā)布的容器攻擊樣本為例，說明 DOCKER API 利用的常見過程。同一般的漏洞利用過程一樣，分為兩步：1、漏洞掃描 ；2、漏洞利用。A、掃描獲取 docker API 版本調(diào)用 masscan 和 zgrab 等掃描器，掃描目標(biāo) IP，通過

21、請求舊版本的命令，可以獲取到最新的 docker API 版本。相關(guān)代碼如下：B、利用Remote API 漏洞：直接通過 Remote API 漏洞，遠(yuǎn)程啟動傳播病毒的容器鏡像 alpineos/dockerapi。相關(guān)代碼如下：4.2執(zhí)行腳本執(zhí)行通過漏洞遠(yuǎn)程執(zhí)行命令下載腳本本地執(zhí)行，是最常見的執(zhí)行方式。殺軟對于腳本類的檢測相對較弱，腳本類型的樣本通過變形加密的方法也很多，腳本病毒生存能力很強(qiáng)，是黑產(chǎn)常用的手段。下圖為通過 docker api 遠(yuǎn)程下載腳本執(zhí)行的攻擊流量包：為了獲得更好的生存能力，腳本執(zhí)行也會有變形，通過二進(jìn)制包裝的腳本執(zhí)行。腳本執(zhí)行的命令不變，在二進(jìn)制中通過 system

22、 執(zhí)行，這樣可以繞過殺軟的檢測（一般來說，腳本引擎和二進(jìn)制查殺引擎是分開的）。容器執(zhí)行黑產(chǎn)攻擊者會通過容器執(zhí)行惡意指令，進(jìn)行挖礦和病毒傳播。A、首先通過命令啟動特權(quán)鏡像這里以 alpineos/dockerapi 為例：B、如果鏡像是個惡意鏡像，可以通過鏡像啟動時執(zhí)行腳本下面的例子就是通過 pause 腳本用于病毒的傳播。C、或者直接attach 到容器上，執(zhí)行命令4.3持久化定時任務(wù)攻擊者得到 host 權(quán)限后，通常會把自己寫入定時任務(wù)中去。創(chuàng)建賬號通過增加新的賬戶，添加自己的 RSA 密鑰，隨時可以通過密鑰登錄 host。4.4權(quán)限提升容器逃逸容器逃逸的方法有很多，這里介紹一種較為常見的方

23、式：特權(quán)模式 + SSH。特權(quán)模式在 6.0 版本的時候被引入 Docker，其核心作用是允許容器內(nèi)的 root 擁有外部物理機(jī)的 root 權(quán)限，而此前在容器內(nèi)的 root 用戶只有外部物理機(jī)普通用戶的權(quán)限。使用特權(quán)模式啟動容器后（docker run -privileged），Docker 容器被允許可以訪問主機(jī)上的所有設(shè)備、可以獲取大量設(shè)備文件的訪問權(quán)限。下面以 TEAMTNT 常見的容器逃逸方式舉例：第一步、創(chuàng)建特權(quán)容器docker -H $D_TARGET run -d -privileged -net host -v /:/host alpine。容器本身為干凈的 alpine 容

24、器。第二步：SSH 容器逃逸在 root 目錄下拷貝 ssh 密鑰到宿主機(jī)，通過訪問 從而進(jìn)行容器逃逸。上述代碼解密后如下：掛載 HOSTPATH 逃逸在特權(quán)模式下，可以直接掛載宿主機(jī)的磁盤，chroot 之后就可以像訪問本地文件一樣，讀取宿主機(jī)上的文件。以下面為例： 通過 chroot 改變 root 目錄至 /mnt 進(jìn)行容器逃逸，然后下載 dktest.sh 并運(yùn)行。4.5防御規(guī)避卸載殺軟攻擊者直接卸載安全軟件應(yīng)該是最直接的防御規(guī)避策略了，云上的安全 Agent 通常較為輕量，同時為了用戶體驗(yàn)，也提供了卸載的接口，所以相對容易被卸載。下面這個例子中，TEAMTNT 的樣本運(yùn)行后，會關(guān)閉安

25、全軟件 watchdog，然后卸載aliyun 的安全 agent aegis。名稱偽裝通過偽裝為正常應(yīng)用的名稱，可以大概率逃過安全系統(tǒng)的檢測和安全運(yùn)維人員的審查。下面例子中，黑客創(chuàng)建了一個特權(quán)容器，名字卻命名為：8s_POD_kube-dns-b4f5c58c7-2wmfx_kube-system_4f31337e2-915a-483d-960f-6b7860398f4b_0 很容易讓人理解為 k8s 的正常節(jié)點(diǎn)。使用 Tor 網(wǎng)絡(luò)匿名前文中提到的 1.8 億下載量的黑產(chǎn)組織，他們使用的惡意鏡像中的挖礦木馬通過使用 ProxyChains 和 Tor 的網(wǎng)絡(luò)匿名化工具來逃避網(wǎng)絡(luò)檢測，或者使用

26、 UAM 挖礦。這個例子通過代理 tor 網(wǎng)絡(luò)，進(jìn)行隱秘挖礦：使用 UAM 挖礦：進(jìn)程隱藏通過 /proc/PID 隱藏進(jìn)程主要是利用 mount -bind 命令把被掛載目錄的目錄項(xiàng)（/proc/$HIDE_PID）屏蔽指定進(jìn)程（語句不順），使得受害者無法通過 ps 等命令發(fā)現(xiàn)正在運(yùn)行的挖礦木馬。使用 rootkit 隱藏進(jìn)程黑客在植入挖礦病毒后，通常會通過 diamorphine.sh 來隱藏進(jìn)程，之后清理痕跡。Diamorphine 是一個 LKM rootkit ，功能就是進(jìn)程隱藏、模塊隱藏，用戶 root 權(quán)限獲取，帶有 Magic-prefix 開頭的文件和目錄隱藏。這里重點(diǎn)介紹一

27、下進(jìn)程隱藏部分。Rootkit 初始化部分會 hook getdents、getdents64 和 kill 三個函數(shù)，其中被 hook 的 kill 函數(shù)用于接受命令，進(jìn)行進(jìn)程隱藏、root 等動作。Hacked_kill 定義了 3 個參數(shù)，31 用來隱藏進(jìn)程，64 用來獲取 root，63 用來隱藏自身模塊。被 hook 的 kill 代碼如下：通過 for_each_process 遍歷進(jìn)程列表找到目標(biāo)進(jìn)程，把進(jìn)程標(biāo)志設(shè)置為 PF_INVISIBLE 從而達(dá)到隱藏進(jìn)程的目標(biāo)。Find_task 代碼如下：痕跡清理大致的方法如下：刪除暫存臨時文件通過刪除 /bash_history 和 執(zhí)行 history -c 命令，清除命令歷史記錄刷新屏幕清除終端連接4.6憑據(jù)竊取攻擊者會收集受害者機(jī)器上的 github 相關(guān)信息，如果是 AWS 的云主機(jī)的化，會竊取 AWS 上的很多憑證信息。相關(guān)代碼如下：AWS 憑據(jù)竊?。?.7命令和控制釋