部署为Windows加载器的Linux可执行软件

Black Lotus安全研究人员近期发现多个Python语言编写的恶意文件,并编译为 Debian 操作系统的Linux二进制文件格式ELF。这些文件会以加载器运行payload,payload要么嵌入在样本中或从远程服务器中提取,然后使用Windows API调用注入到运行的进程中。

[[426607]]

简介

2021年8月,Black Lotus研究人员发现了大量为Debian Linux编译的可疑ELF文件。文件是用Python 3编写的,然后用PyInstaller转变为ELF可执行文件。Python代码作为使用不同Windows API的加载器,Windows API可疑提取远程文件,然后注入运行的进程。从 VirusTotal 的检测率来看,大多数为Windows系统设计的终端代理无法有效分析ELF签名。在调查中,研究人员发现了2个ELF加载器方法的变种:第一个是用Python编写的,第二个表中使用ctype来调用不同的Windows API和调用powershell脚本。研究人员分析认为该PowerShell变种仍在开发中。

技术细节

从2021年5月到2021年8月这3个月内,研究人员发现样本的进化过程,从最初的Python 3编写的样本到使用ctype来调用Windows API,再到使用PowerShell来宿主机器上执行随后的动作。

Python变种

使用Python编写的变种并不使用任何Windows API。其中一个特征是加载器使用变种的Python库,使得其可以在Linux和Windows机器上运行。研究人员分析样本发现脚本会打印“Пивет Саня”,打印的内容是俄语文字翻译过来就是“Hello Sanya”。所有的相关的文件都含有隐私或者非路由的IP地址,除了一个样本。该样本中含有公共IP地址185.63.90[.]137和一个Python编写的加载器文件,这些文件随后会被转化为可执行文件。该文件首先尝试从机器分配内容,然后创建一个新的进程,并注入位于hxxp://185.63.90[.]137:1338/stagers/l5l.py的远程服务器的资源。目前,该服务器已经无法访问,表明该地址是用于测试或之前的攻击活动。

研究人员发现许多恶意活动都与同一IP地址185.63.90[.]137进行通信,样本中都含有Meterpreter payload,其中部分使用Shikata Ga Nai编码器混淆。

使用PowerShell和Ctype的WSL变种

不同文件的ELF到Windows二进制文件执行路径是不同的。在部分样本中,PowerShell 用于注入和执行shellcode,在其他样本中,Python ctype被用来解析Windows API。

在其中一个PowerShell样本中,编译的Python会调用3个函数: kill_av()、reverseshell() 和 windowspersistance()。

图1: 反编译的decompiled kill_av和windowspersistence函数

kill_av()函数会使用 os.popen()尝试kill调可疑的反病毒产品和分析攻击。 reverseshell() 函数使用子进程每20秒性一个base64编码的PowerShell 脚本,拦截其他函数的执行。windowspersistence() 函数会复制原始ELF文件到appdata 文件夹,命名为payload.exe并使用子进程来加入注册表以实现驻留。在上图中,windowspersistance()会用字符串“TIME TO Presist”被调用。

图2: reverseshell 和 kill_av函数

解码的PowerShell使用GetDelegateForFunctionPointer来调用VirtualAlloc,复制MSFVenom payload到分配的内存,并使用GetDelegateForFuctionPointer来在分配的含有payload的内存中调用CreateThread 。

图3:注入和调用MSFVenom payload的PowerShell脚本

另一个使用样本使用Python ctype来解析Windows API来注入和调用payload。在分析过程中,研究人员发现一些小的不连续,比如变量类型。研究人员猜测代码仍在开发中,但可能即将结束。

图4: 使用Python ctypes的分混淆的代码

本文翻译自:

https://blog.lumen.com/no-longer-just-theory-black-lotus-labs-uncovers-linux-executables-deployed-as-stealth-windows-loaders/

 

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/150511.html<

(0)
管理的头像管理
上一篇2025-03-13 02:57
下一篇 2025-03-13 02:59

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注