警惕利用Linux预加载型恶意动态链接库的后门
作者:媒体转发 时间:2018-02-25 01:09
动态链接库预加载机制是系统提供给用户运行自定义动态链接库的一种方式,在可执行程序运行之前就会预先加载用户定义的动态链接库的一种技术,这种技术可以重写系统的库函数,只需要在预加载的链接库中重新定义相同名称的库函数,程序调用库函数时,重新定义的函数即会短路正常的库函数,这种技术可以用来重写系统中有漏洞的库函数,达到修复漏洞的目的,如get_host_byname导致ghost漏洞的这类函数。这种技术也可以被不怀好意的攻击者用来写rootkit,通过重写mkdir, mkdirat, chdir, fchdir, opendir, opendir64, fdopendir, readdir, readdir64等和系统文件,网络,进程相关的库函数来达到隐藏文件,进程的目的。相对于普通的用户空间rootkit而言,手段更加隐蔽,更加难以被发现,相对于内核模块rootkit来说,兼容性更好,编写难度更低,综合这两种优点,使得这类型rootkit逐年增多,难以查杀。
二、动态链接库预加载型rootkit所用技术
在linux操作系统的动态链接库加载过程中,动态链接器会读取LD_PRELOAD环境变量的值和默认配置文件/etc/ld.so.preload的文件内容,并将读取到的动态链接库进行预加载,即使程序不依赖这些动态链接库,LD_PRELOAD环境变量和/etc/ld.so.preload配置文件中指定的动态链接库依然会被装载,它们的优先级比LD_LIBRARY_PATH环境变量所定义的链接库查找路径的文件优先级要高,所以能够提前于用户调用的动态库载入。
2.2 全局符号介入全局符号介入指的是应用程序调用库函数时,调用的库函数如果在多个动态链接库中都存在,即存在同名函数,那么链接器只会保留第一个链接的函数,而忽略后面链接进来的函数,所以只要预加载的全局符号中有和后加载的普通共享库中全局符号重名,那么就会覆盖后装载的共享库以及目标文件里的全局符号。
2.3 rootkit利用的技术点因为动态链接库预加载机制和全局符号介入这两种系统机制,可以控制程序运行时的链接(Runtime linker),允许用户在程序运行前优先加载自定义的动态链接库,使得恶意动态链接库优先于正常动态链接库加载,根据全局符号介入的顺序原理来”短路”正常函数,执行攻击者定义的恶意函数。
从上图中我们可以看到3种利用方式:
1. 将恶意动态链接库通过LD_PRELOAD环境变量进行加载。
2. 将恶意动态链接库通过/etc/ld.so.preload配置文件进行加载。
3. 修改动态链接器来实现恶意功能,例如修改动态链接器中默认的用于预加载的配置文件路径/etc/ld.so.preload为攻击者自定义路径,然后在里面写入要加载的恶意动态链接库,当然修改的姿势还有很多,如修改默认环境变量,直接将要hook的动态链接库写入到动态链接器当中。
三、动态链接库预加载型rootkit 3.1 利用LD_PRELOAD加载恶意动态链接库3.1.1 安装
LD_PRELOAD环境变量是会及时生效的,使用LD_PRELOAD加载恶意动态链接库方法如下:
LD_PRELOAD=/lib/evil.so LD_PRELOAD的值设置为要预加载的动态链接库
export LD_PRELOAD 导出环境变量使该环境变量生效
unset LD_PRELOAD 解除设置的LD_PRELOAD环境变量
测试使用的rootkit下载地址https://github.com/mempodippy/cub3
;){kind=link}
;){kind=link}
;){kind=link}
;){kind=link}