据外媒 6 月 17 日报道,荷兰开发人员 Luke Paris 创建了一款隐藏在 PHP 服务器模块中的新型 rootkit 程序,允许攻击者托管 Web 服务器并可有效规避检测。
众所周知,传统 rootkit 可在操作系统最低级别拦截内核操作、执行恶意活动。Paris 近期成功创建一款与 PHP 解释器交互的 rootkit 程序,从而取代了更为复杂的操作系统内核功能。Paris 表示,将 rootkit 写成 PHP 模块的原因显而易见,具体如下:
操作简单:将 rootkit 写成 PHP 模块要比学习编写内核模块容易得多,因为代码库本身体积更小、文档更完善,操作更简单。即使没有良好的文档或教程,任何一个开发新手在学习 PHP 模块编写基础知识后均可做到。
更加稳定:对于运行在内核的传统 rootkit 而言,编写不当可导致整个系统崩溃。而对于 PHP rootkit 而言,最糟糕的情况莫过于导致分段错误、中断当前请求(注:多数 Web 服务器在错误日志中均上报此类恶意操作)。
有效规避检测检测:由于系统缺乏对 PHP 模块的检测机制,PHP rootkit 可有效规避检测。而传统 rootkit 要求对每个进程进行系统调用,大大降低用户设备运行速度,更易引发怀疑。
易便携:PHP rootkit 具有跨平台功能,因为 PHP 模块多数情况下与平台相独立。
Paris 在社交平台 GitHub 上发布 PHP rootkit 概念证明。据悉,该开源项目代码连接至 PHP 服务器的 “ 哈希 ” 与 “ sha1 ” 函数,并仅由 80 行代码组成,因此极易隐藏在合法 PHP 模块中。
安全专家建议,管理员在安装 PHP 后应保留模块哈希列表。此外,还可使用定时功能尝试对扩展目录中的所有文件进行散列排序并将其与当前散列对比。目前,Paris 已发布 Python 脚本,用于检查用户设备 PHP 模块 SHA1 哈希值。
原作者:Pierluigi Paganini, 译者:青楚,译审:游弋
from hackernews.cc.thanks for it.