后门技术和Linux LKM Rootkit(1)

/ns/hk/hacker/data/20020821023756.htm

译：alert7<alert7@m4in.org>,el8<el8@m4in.org> from m4in security teams.

CS290I Project Report

Backdoor and Linux LKM Rootkit - smashing the kernel at your own risk

by: Jingyu Zhou and Lin Qiao


简介: 在这篇文章里, 我们将看到各种不同的后门技术，特别是linux的可装载内核模块(LK
M)。 我们将会发现lkm后门比传统的后门程序更加复杂，更加强大，更不易于被发现。知道
这些之后，我们可以制造我们自己的基于lkm的rootkit程序, 主要体现在tcp/ip层, 因为我
们相信这是在系统管理员面前最好的隐藏后门的地方。

----[ 序言。

在一些黑客组织中, rootkit (或者backdoor) 是一个非常感兴趣的话题。 各种不同的root
kit被开发并发布在internet上。在这些rootkit之中, LKM尤其被人关注, 因为它是利用现代
操作系统的模块技术。作为内核的一部分运行,这种rootkit将会越来越比传统技术更加强大
更加不易被发觉。一旦被安装运行到目标机器上, 系统就会完全被控制在hacker手中了。甚
至系统管理员根本找不到安全隐患的痕迹, 因为他们不能再信任它们的操作系统了。

本文章以及我们开发的一些强大的lkm程序都是基于linux kernel 2.2.x版本的。我们的目的
是尽可能多的隐藏足迹。

在接下来的一部分, 我们将介绍一下已经存在的后门技术, 然后和lkm技术相比较, 最后讨论
我么的lkm程序的设计与实现。

----[ 已存在的后门技术 - 系统管理员的悲惨世界。~0~
后门程序的目的就是甚至系统管理员企图弥补系统漏洞的时候也可以给hacker系统的访问权
限。

后门程序使本地用户取得root权限可以这样做: 设置uid程序, 系统木马程序, cron后门。
1. 设置uid程序。 黑客在一些文件系统理放一些设置uid脚本程序。无论何时它们只要执行
这个程序它们就会成为root。
2. 系统木马程序。黑客替换一些系统程序,
如"login"程序。因此, 只要满足一定的条件，那些程序就会给黑客最高权限。
3. Cron 后门。黑客在cron增加或修改一些任务,
在某个特定的时间程序运行，他们就可以获得最高权限。

后门程序给远程用户以最高访问权限可以这样做: ".rhost" 文件, ssh认证密钥, bind she
ll, 木马服务程序。
1. ".rhosts" 文件。一旦 "+ +"被加入某个用户的.rhosts文件里, 任何人在任何地方都可
以用这个账号来登陆进来而不需要密码。
2. ssh 认证密钥。黑客把他自己的公共密钥放到目标机器的ssh配置文件"authorized_keys
"里, 他可以用该账号来访问机器而不需要密码。
3. Bind shell。黑客绑定一个shell到一个特定的tcp端口。任何人telnet这个端口都可以获
得交互的shell。更多精巧的这种方式的后门可以基于udp,或者未连接的tcp, 甚至icmp协议
。
4. Trojaned服务程序。任何打开的服务都可以成为木马来为远程用户提供访问权限。例如,
利用inetd服务在一个特定的端口来创建一个bind shell，或者通过ssh守护进程提供访问途
径。

在入侵者植入和运行后门程序之后, 他会找一些方法和系统管理员开一些善意的玩笑。这主
要涉及到两个方面问题: 如何来隐藏他的文件且如何来隐藏他的进程。

为了隐藏文件, 入侵者需要做如下事情: 替换一些系统常用命令如"ls", "du", "fsck"。在
底层方面, 他们通过把硬盘里的一些区域标记为坏块并把它的文件放在那里。或者如果他足
够疯狂，他会把一些文件放入引导块里。

为了隐藏进程, 他可以替换 "ps"程序, 或者通过修改argv[]来使程序看起来象一个合法的服
务程序。有趣的是把一个程序改成中断驱动的话，它就不会出现在进程表里了。

----[ LKM - 还有比这个更臭屁的么?

我们已经看到过一些常规的技术。现在的问题是: 系统管理员可以找出它们么？实际上, 一
个好的系统管理员可以很轻易的找出它们中的%99。 问题是入侵者必须修改或者创建一些重
要文件。 如果系统管理员保存一份"tripwire"数据库, 通过这些可以确定安全隐患的存在。
通过浏览文件系统可以去掉suid程序, ".rhosts" 文件, 等。

相反, 利用lkm我们可有效的突破这些限制。首先,我们在重要的系统目录里不必修改或创建
任何文件。我们可以把lkm程序放在/tmp或/var/tmp目录下, 一般系统管理员是不会监视这些
目录的。 其次, 我们可以隐藏我们想要的任何东西, 象文件, 进程, 和网络连接。 因为要
得到这些信息, 用户必须依赖系统调用。
因此我们可以修改内核结构, 我们可以用我们自己的函数来替换原系统调用。最后,我们甚至
可以攻击或修改tcp/ip协议栈并且去愚弄系统内核！
以下部分，我们将介绍如何利用这些机制以及实现方法。

----[ 我们的LKM - "Kicking Kernel Ass From Left to Right" [3]

我们的lkm程序主要是基于linux kernel 2.2.x及tcp/ip上的实现, 因为一个优秀的后门程序
一定会给远程用户访问该系统的权限。在目标机器上打开一个端口，运行一个服务是非常容
易暴露的。我们需要尽可能的隐藏自己。

第一个想法是我们在目标机器上不运行任何进程来等待连接，我们在tcp/ip协议栈里来创建
一个函数来替代它。 无论何时一个特殊的udp或tcp包被接受,内核将会检查这个包来确定是
否是指定的特殊包。假如是的话, 内核将派生一个进程来执行命令。我们可以使用任何内核
可以支持的协议包。

现在我们来实现它。在内核里, 每个协议在*inet_protocol_base和*inet_protos[MAX_INET
_PROTOS]
hash注册自己。 当系统初始化时, 所有支持的协议会再inet_protocol_base注册。他们被加
到inet_protos的哈希表里。不管什么时候一个IP包达到时， 内核将检查这个哈希表，找相
应的处理函数和系统调用。我们就在这个点上进行hack。我们将用我们的处理函数来替换原
始的协议的处理函数。因此，我们可以截获数据包并且分析它。假如它是我们需要的, 我们
将执行我们的命令。 假如不是，仅仅只需要调用原来的函数。

我们同时处理TCP和UDP的原因是假如那里有一些防火墙的话，UDP可能不能穿过。因此，我们
只需要发一个源地址被伪造的数据包到目的机子。此外，对于TCP的数据包，它也不需要使用
SYN位。事实上，现在我们的客户程序使用的是ACK的包。

第二个想法更使人感兴趣。 如果一台目标的机子上有个WEB的服务并且安了一个只允许WEB通
信的防火墙，那么我们如何来穿过它呢？ 我们能否得到一个交互的shell呢？答案是肯定的
。方法如下：
____________ _________________________
| 攻击者 | | web server |
| | | 80 <=======> 53333 |
|__________| |_______________________|
| |
| |
|_____________________________________|
1025 ==> 80 or 1025 <== 80

假设我们在web服务器上已经绑定了一个bind shell后门并且监听53333端口(可以利用第一个
方法来完成)
现在我们需要把攻击者到web服务器上的流量从80端口重定向到53333端口, 从53333端口到攻
击者的流量必须被改成80端口。

实现部分。改变接收的包是很容易的, 我们可以借用第一个lkm的思路- 无论何时我们都检查
到来的tcp包如果必要我们修改它的目的端口。为了改变发出的包, 这就有点困难了。 因为
tcp/ip协议栈的实现涉及到linux内核的一些底层的静态函数。它不太容易被置换(但是是可
能的, 细节参见附录)。 我们利用的是大部分发布时就被编译进内核中的防火墙。每个到来
的包,转发的包, 或发出的包必须通过防火墙。并且防火墙函数是可以被动态地加载到内核里
的！我们利用系统导出函数register_firewall() 在系统防火墙规则之前插入我们自己的规
则。假如我们发现一些来自于53333端口的包, 我们可以自动改变它到80。

关于此实现的另外的细节是无论何时我们改变数据包, 我们必须去重新计算校验和。 更有趣
的事情是我们可以在web服务器和其他一些机器上监听网络流量，我们可以看到他们的不同之
处。 在其他机器上的sniffer看起来象普通的web流量, 但是在web服务器上的sniffer是一些
无用的流量纪录。具体细节参见附录。