工具推荐 | ebpf 一种新型内核马/WebShell技术 - 新鲜讯息

点击上方蓝字关注我们

现在只对常读和星标的公众号才展示大图推送，建议大家能把星落安全团队“设为星标”，否则可能就看不到了啦！

工具介绍

veo师傅研究的一个全链路内存马系列（ebpf 内核马、nginx内存马、WebSocket内存马）。本项目不含有完整的利用工具，仅提供无害化测试程序、防御加固方案，以及研究思路讨论

技术原理

通过ebpf hook入/出口流量，筛选出特定的恶意命令。再通过hook execve等函数，将其他进程正常执行的命令替换为恶意命令，达到WebShell的效果。

技术特点

无进程、无端口、无文件（注入后文件可删除）执行命令不会新建shell进程，无法通过常规行为检测将WebShell注入内核，无法通过常规内存检测可改造内核马，适配HTTP协议以外的所有协议

技术缺点

内核版本需要大于4.15.0，即 Ubuntu 16、CentOS 8命令不是直接执行，需要等待其他进程执行命令无回显

使用方式

下载测试程序 releases 并运行

POST veo=/bin/touch /tmp/pwn

研究中遇到的问题

1. 为什么不通过ebpf直接执行命令

根据ebpf的编写规则，ebpf自己是不能执行命令的，它只能hook各种函数。所以有两种方法可以间接达到执行命令的效果

自己开一个进程，ebpf通过ebpf map传输命令参数到这个进程，通过这个进程执行命令监听其他进程执行的命令，将其修改为恶意命令参数

2. 怎么通过ebpf识别HTTP报文

XDP是读不到报文内容的，所以最底层用TC格式化HTTP报文就可以，你需要算IP header、TCP header的长度等定位包体内容。另外ebpf有循环次数限制，所以最好payload是放在包体的开头或结尾

下载地址

关注微信公众号后台回复“入群”，即可进入星落安全交流群！

关注微信公众号后台回复“20250328”，即可获取项目下载地址！

圈子介绍

博主介绍：

目前工作在某安全公司攻防实验室，一线攻击队选手。自2022-2024年总计参加过30+次省/市级攻防演练，擅长工具开发、免杀、代码审计、信息收集、内网渗透等安全技术。

目前已经更新的免杀内容：

目前星球已满300人，价格由208元调整为218元(交个朋友啦)，400名以后涨价至268元！

往期推荐

【声明】本文所涉及的技术、思路和工具仅用于安全测试和防御研究，切勿将其用于非法入侵或攻击他人系统以及盈利等目的，一切后果由操作者自行承担！！！

推荐站内搜索：最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……

工具推荐 | ebpf 一种新型内核马/WebShell技术