原文：https://www.intezer.com/blog/linux/elf-malware-analysis-101-linux-threats-no-longer-an-afterthought/

翻译：看雪翻译小组-OsWalker

校对：看雪翻译小组-StrokMitream

由于开源、免费、面向开发（丰富的生态系统使开发者很容易访问到许多不同的已有成果），Linux在操作系统市场占据了很大份额。Linux是Web服务器、IOT、超级计算机和公共云工作站（校对：公有云）的首选操作系统。尽管Linux在桌面市场只占有2%份额，相比较Windows占有88%份额，但Linux桌面安全也不能被忽略，我们在2019年7月发现的EvilGnome证明了这一点。

实际上Linux无处不在，但Linux威胁检测在反病毒产业却很少见，这一现状促使攻击者近几年大量攻击Linux。研究人员曾揭露过高度复杂的ELF恶意软件，表明攻击者越来越多地在武器库中增加Linux恶意软件。当前，只有少数公司在追踪并公开最新Linux威胁的IOC及其它信息。当前在该操作系统上存在许多未被发现的安全威胁，我们期望随着时间推移，Linux越来越流行的同时也揭露出更多威胁。这一进程的关键在于，我们的安全研究员有能力理解和分析 Linux 恶意软件。

我们发起这个训练目的是让真实的ELF恶意软件分析更容易接触到。这个多部分组成的系列训练将给你提供高效进行ELF恶意软件分析的实践知识和工具。你将对ELF文件格式有个更好的理解，并学习如何使用静态和动态方法分析ELF文件。同时，我们会发表好用的分析工具和恶意软件分析实例。完成本系列训练后，你将能够分析ELF文件，判断其是否恶意，并按照威胁类型对其分类。

在开始ELF分析实战技术介绍之前，本文先介绍一下EFL恶意软件世界。我们将回顾ELF威胁领域，解释一个Linux机器最初如何被感染，细说你作为一个安全研究者或恶意软件分析师这为何需要获得ELF分析技能。

Linux威胁领域

Linux威胁领域高度集中在DDoS僵尸网络和加密货币挖矿。但实际情况要更复杂，APT和其它网络犯罪组织开发了更加复杂的威胁。2019年，我们的研究人员记录了超过20个之前未发现的Linux威胁样例。那些威胁包括大规模加密货币挖矿活动、僵尸网络、勒索软件和国家赞助的攻击。

下面列出的Linux威胁只是在研究社区中有分析文档的样本的一部分：

QNAPCrypt----目标为Linux文件存储服务器的勒索软件活动。这个活动在发现后被我们的研究者溯源为一个俄罗斯网络犯罪组织FullofDeep。

Cloud Snooper----Sophos的研究者在Linux服务器上发现的RAT。该威胁在Amazon Web Services EC2上被发现，该恶意软件使用各种工具来绕过安全检测。基于其使用的工具集和复杂性，研究者相信该攻击由一个APT组织发起。

Winnti----在德国医药公司Bayer的系统中发现的与Winnti Umbrella组织有关联的后门。Winnti组织是一些列中国政府赞助的行为，它们有相同的目标并共享资源（包括攻击工具）。Chronicle对该恶意软件进行了深度分析。这是Winnti 的Linux 变种首次出现在公众视野。

HiddenWasp----攻击Linux服务器的RAT。由rootkit、木马和初始化部署脚本组成。尽管使用了各种开源恶意软件如 Mirai，Azazel rootkit的源码，但在被研究者发现前，该恶意软件仍未被各大杀毒软件查杀出来。。有证据表明HiddenWasp与中国APT组织有关。

EvilGnome----Linux桌面后门植入，俄罗斯Gamaredon组织有关。该恶意软件有许多功能，包括文件盗取、捕获桌面快照，录音并支持扩展功能模块。

Dacls----360网络实验室报告的与Lazarus APT组织有关的RAT。研究者同时发现该恶意软件的ELF和PE版本。这是Lazarus APT组织首次被揭露的Linux恶意软件。

Dacls RAT，Lazarus组织的第一个针对Linux设备的恶意软件。https://t.co/1Pz7DcxOlU#securityaffairs #hacking

— Security Affairs (@securityaffairs) December 18, 2019

MnausCrypt----与Lazarus组织有关的RAT。该恶意软件主要针对Windows。最近发现了该恶意软件的一个Linux版本，US CERT在2020年三月报告了一个与ManusCrypt很相似的变种F PE。

Lazarus的ManusCrypt的Linux变种F。它的PE版本由USCERT组织在2020三月报告。https://t.co/Bejr1XJ4Ms   

— Intezer (@IntezerLabs) June 16, 2020     

MESSAGETAP----FireEye在一个电信公司的Linux服务器上发现的信息盗取工具。这些服务器是SMSC（Short Message Service Center），将SMS消息路由到接收者。该恶意软件被设计用来盗取SMS流量并与Winnti组织有关。

Linux威胁不只在于恶意软件利用受害者计算机资源的风险。他们也包括破坏和侵入性的恶意软件，可以损害受害者的私人领域。

对于桌面系统，钓鱼攻击是感染的常用方法，与此不同，攻击者感染服务器和IoT平台不能依赖终端用户在使用过程中安装恶意软件。不存在用户与浏览器和email账户的交互，钓鱼工具基本上与这类系统无关。这意味着恶意软件到这类系统的进入点更加有针对性。下面是感染非桌面的Linux机器的主要攻击向量：

脆弱性利用：攻击者寻找可利用的未打补丁的可公开访问的组件来访问系统。例如，利用NOTROBIN后门的攻击者利用CVE-2019-1978传播恶意软件，这是一个Citrix NetScaler中的脆弱性。使用Asnarok木马的攻击者最初利用找到的Sophos XG防火墙中的一个0day（SQL注入远程代码执行）进行植入。配置错误的服务也是攻击者发起攻击的入口。Kinsing恶意软件利用因错误配置而开放的Docker Daemon API端口进行传播。

— Threatpost (@threatpost) April 27, 2020    

攻击者已瞄准Sophos XG防火墙-利用0day工具向脆弱应用投放Asnarok恶意软件。https://t.co/Aa0ml2fnZo

使用有效证书：默认的软件证书或被破坏的证书。攻击者可以通过许多方法偷取密码，包括密码喷洒、证书填充和本地挖掘。研究者认为， Cloud Snooper 攻击者最初是通过攻陷一台密码验证登录的 SSH 服务器开始的。

信任关系滥用：攻击者可以利用第三方组织的入口直接访问目标系统。这些组织可能受害基础设置有受限的访问权限，攻击者在这些基础设置中长期存在并与目标位于相同网络。例如，攻击者可能攻陷IT服务承包商，然后在获得这些组织的有效凭证后将其客户作为攻击目标。

并不只是新的和复杂的恶意软件不被安全厂商检测，常规的也一样。Mirai是一个很好的例子。Mirai是一个开源的DDoS僵尸网络，许多僵尸网络变种都基于此。攻击者只需要对这个Mirai样本进行一些混淆文件内字符串特征的修改就可以绕过检测。

这个样本在三月上传到VirusTotal，没有一个检测到。那之后，我们发表了一个博客，讨论了代码重用分析的有效性以及基于特征检测该恶意软件和其它Linux威胁的检测方案。到今天，该文件的VirusTotal报告中只被一款检测。

当面对ELF恶意软件，当前的反病毒解决方案不那么可靠。这是在你的技能树中增加ELF文件分析能力的重要性。

如果你想了解更多关于传统解决方案无法有效检测ELF文件的内容，查看这个关于Linux威胁领域资料的页面。

那么当你有一个想要分析的可疑ELF文件时，从何开始？

网上有许多PE文件（Windows 平台可执行文件格式）分析的信息以及各种好用的工具和教程。然而，搜索ELF分析的内容，你很容易迷失。缺少关于分析方法、结论判定、恶意软件规避技术的一致的信息，同时还缺少最新的开源工具，这令人沮丧。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课