基于威胁情报周期模型的APT木马剖析

文｜腾讯安全平台部

xti9er

前言

近日，腾讯服务器安全系统“洋葱”协助部署于公有云的某合作方捕获到一起APT事件，目前已处置完毕。处置过程中捕获木马样本一枚，该样本中包含了大量隐匿攻击手法，“洋葱”团队会同腾讯安全应急响应中心（TSRC）秉承共建行业安全生态的原则，采用威胁情报处理周期模型梳理该攻击手法，将分析结果与业界共享。

关于威胁情报处理周期模型

“威胁情报处理周期”（F3EAD）一词源于军事，是美陆军为主战兵种各级指挥员设计的组织资源、部署兵力的方法。网络应急响应中心借鉴这套方法，分以下六个阶段处理威胁情报信息：

威胁情报处理周期F3EAD

威胁情报处理周期模型的应用

第一步：查找

某月某日，部署在合作方公有云服务器上的“洋葱”系统告警发现疑似木马程序，于是应急响应团队快速启动应急相应流程：

• 干系人等一键拉群，电话接入。

• 受害系统隔离待查。

• 安全系统、审计日志导出待溯源分析。

• 业务系统架构、代码相关资料准备，待分析入侵突破口及受影响范围

第二步：定位

根据安全系统的审计记录发现，恶意文件目录存在另一个*.ko文件，而此文件是通过scp从另一服务器传过来。

由此可见，攻击者首先拿到某个存在弱点的服务器权限，然后再跳转scp木马文件到包括当前受害机在内的通过已攻陷的服务器可访问的机器，并安装控制。

接下来咱们重点分析这组木马文件，根据AV厂商的命名规则（附录1），暂为其命名为"Backdoor:Linux/Rmgr!rookit"，其中“rmgr”来至木马代码中多个函数用了rmgr前缀。

2.1. 木马文件

目前已经掌握的木马文件分四部分，其功能简单描述如下：

2.2 木马工作流程

木马从植入到运行，包括后续可能的渗透活动都采用了各种技术进行隐藏，如果没有安全系统则很难发现。同时，该木马也做了很多对抗，常规的安全监测能力未必可以发现。其运行流程简要描述如下图：

木马工作流程

2.3 木马各部分主要功能

1. rmgr.ko

rootkit采用常见的L