基于Linux Rootkit高级威胁恶意软件技术研究入门指导

安全分析与研究，专注于全球恶意软件的分析与研究，深度追踪全球黑客组织攻击活动，欢迎大家关注，获取全球最新的黑客组织攻击事件威胁情报。

Linux一般作为企业的服务器，针对Linux设备的各种恶意软件也是层出不穷，通过监控发现，更多的APT组织开始将下一个目标对准Linux，并正在创建基于Linux平台的各种黑客工具和攻击武器，越来越多的APT组织开始针对运行Linux软件的设备。

APT组织之所以将目标瞄准Linux，关键因素云计算以及容器化趋势推动了Linux的广泛采用，向虚拟化和容器化的转变使得大多数企业在某些日常任务中都使用Linux，而且这些基于Linux的设备通常是可以访问Internet，可以用作攻击者攻击的入口点，远程控制或操作服务器网络流量，获取重要的数据信息。

黑客在入侵Linux之后，往往需要长期驻留于目标操作系统以达到长期控制目标的目的，所以大多数Linux下的后门都会使用Rootkit相关技术。

相关APT攻击案例：Cloud Snooper APT攻击事件，该APT攻击事件使服务器上的恶意软件能够通过受害者的防火墙与其命令和控制(C2)服务器自由通信，Cloud Snooper攻击使用了三种主要的攻击策略、技术和程序(TTP)，包含一个绕过防火墙rootkit,一个伪装成合法流量的同时访问服务器的罕见技术，还包含一个在Windows和Linux系统之间共享恶意代码的后门程序，这次攻击事件有可能是由某个未知的APT组织发起的。

上篇给大家介绍了一些Linux RootKit高级威胁恶意软件检测方法，本文主要介绍Linux Rootkit高级威胁恶意软件一些基础隐藏技术点，通过研究这些Rootkit相关技术，可以发现客户服务器上隐藏的Rootkit恶意软件，对于分析和研究Linux Rootkit技术有一定价值。