ZVrban Phrack-artikkeli cryptexec: seuraavan sukupolven ajonaikaisesta binaarisalaussta on hyvä lukea eikä se ole riippuvainen ytimen lisätoiminnoista:

Tässä artikkelissa kuvataan menetelmä kohdeohjelman hallitsemiseksi, joka ei ole riippuvainen käyttöjärjestelmän ytimen tai prosessorilaitteiston avusta. Menetelmä toteutetaan x86-32 GNU AS: ssä (AT&T-syntaksissa). Kun ohjausmenetelmä on suunniteltu, on suhteellisen triviaalia sisällyttää lennon koodinpurku.

Linux-binaarikoodisuojauksesta on mukava artikkeli osoitteessa http://www.intel-assembler.it/portale/5/linux-binary-code-protection/linux-binary-code-protection.asp.

Jos tavoitteena on suojata binaarinen Sentinel HASP tukee Linuxia.

Mitä tulee vanhoihin, kuten mainitset, useimmat niistä eivät enää toimi, tontun salaaja Shiva, Burneye jne. JOS minun piti arvata mikä on yleisintä Linux-haittaohjelmissa, se on yleisin Windowsissa käytettävä pakkausohjelma, UPX.

Suurin osa moderneista ELF-binaareista on suojattu UPX: llä tai sen muunnoksella. ^1,2 Luonnossa on kuitenkin havaittu mukautettuja pakkaajia, mukaan lukien sekä UPX-pohjaiset että muut kuin UPX-pohjaiset mukautetut pakkaajat.

• Yksinkertaisin muunnelma Luonnossa käytetty UPX-pakkaus on LSD-pakkaus, jossa merkkijono UPX muutetaan LSD-muotoon. Esimerkkinä tästä oli Go-kirjoitettu XMR-kolikkolaite, joka kohdistui Jenkinsiä käyttäviin järjestelmiin.

• mumblehard mukautettu suojaus - ei perustu UPX: ään

  Koko pakkaaja koostuu itse asiassa noin 200 asennusohjeesta. Toinen merkittävä havainto: järjestelmäpuhelut soitetaan suoraan int 80h -ohjeiden avulla. Toinen vihje siitä, että se kirjoitettiin kokoonpanossa, on se, että funktioilla ei ole tavallista prologua pinon hallitsemiseksi. Suorittamalla järjestelmäkutsut keskeytyksillä Mumblehard ELF -binaarit välttävät ulkoista riippuvuutta. Lisäksi pakkaaja toimii sekä Linux- että BSD-järjestelmissä. ¹

  näytteet:

  • 20b567084bcc6bd5ac47b2ab450bbe838ec88fc726070eb6e61032753734d233
  • 78c19897d08e5c2f1d1d
  • 84dfe2ac489ba41dfb25166a983ee2d664022bbcc01058c56a1b1de82f785a43
  • 747d985d4bd302e974474dc9ab44cb1f60cb06206f3639c5d603db94395b877b
  • 9512cd72e901d7df95ddbcdfc42cdb16141ff155e0cb0f8321069212e0cd67a8
  • a5915c3060f5891242514b7899975393ef3d3cb87b33b6a767cffce4feac215f

• variantti pieni XMR mooner käyttää räätälöityä pakkaajaa r2con 2018 -esityksen Pakkaamattomien pakkausten purkaminen mukaisesti.

  • 8a0d9c84cfb86dd1f8c9acab87738d2cb82106aee0d88396f6fa86265ff252dd

  • md5sum esityksestä: 4f1fdacaee8e3c612c9ffbbe162042

    Huomaa, että tämä tiedosto oli “Tiny XMR mooner” Linux cryptominer -haittaohjelman kohde (sha256-summa on identtinen), mutta tässä analyysissä ei mainita pakkaamista tai muuta binaarimuodoa suojaus.

• tsunami mukautetulla pakkaajalla
  • Malshare-näyte
  • (Virustotal)
  • aiemmin oli saatavilla analyysi osoitteesta pwning.fun, mutta näyttää siltä, ​​että se on poistettu.

Viitteet

1. Linux-haittaohjelmien ymmärtäminen

2. Moderni Linux-haittaohjelma on paljastettu

3. Unboxing Linux / Mumblehard (2015) - ESET