从TeamTNT蠕虫检测看一个主机安全软件的自我修养

安全头条 2年前 (2023) safehot

1.2K 0 0

内容简介：

背景
近日，牧云（CloudWalker）主机安全管理平台帮助用户检测并协助处置一起TeamTNT蠕虫感染事件，事后复盘该蠕虫使用了多种攻击逃逸技术进行自身的隐藏。本文主要结合实际的蠕虫事件介绍主机安全软件的对抗手段，从而阐述主机安全软件如何自我修炼，从而可以有效地应对持续迭代更新的恶意软件及其逃逸手段。

事件概述
事件的起源是一起异常网络连接告警引发的应急响应。

发现告警之后，上机排查发现并没有看到相应的进程，判断可能存在进程隐藏等对抗行为。利用牧云的安全基线进行分析，果然发现有两个rootkit。
通过加载LKM模块实现进程隐藏和rootkit自身的隐藏。

通过ld.so....