应急响应-Rookit后门查杀

Rookit和内存马的区别

内存马一般是作为控制网站的webshell的进一步权限维持，而Rookit一般是用来控制服务器隐藏常规C2后门的权限维持手法。

Rookit常规隐藏手法-Windows

我们知道常规C2后门的排查手法就是通过网络连接、进程排查进行分析定性，那么Rookit可以做到哪些方面的隐藏呢？

Rookit可以隐藏进程，隐藏网络连接，同时它还可以隐藏文件，让蓝队成员无法排查到这个C2后门的所在。

隐藏进程

隐藏网络连接

隐藏文件

应急处理方法

碰运气-使用对应Rookit的卸载文件进行卸载

常规手法-火绒剑看隐藏的进程

可以看到火绒剑可以看到隐藏的进程，而其他的一些工具无法看到隐藏的进程

通过进程PID我们可以直接结束该进程

常规手法-通过Unhide工具查看隐藏的进程和端口

Just a moment...^[1]

上面的条件仅仅只有进程的PID对我们有点用，本地隐藏的端口是没什么用的，因为我们不知道连接的C2服务端以及服务端开放连接的端口，所以说这个条件除非我们卸载了Rookit看到网络连接才能正确的封禁IP和端口，不然基本没用

通过PID我们可以将进程结束掉，从而防止危害进一步扩大。（这边我们尝试通过cmd的结束进程命令来结束恶意进程似乎不行，提示未找到PID，最好还是火绒剑结束比较稳妥）

Rookit常规隐藏手法-Linux

GitHub - f0rb1dd3n/Reptile: LKM Linux rootkit^[2]

隐藏进程

/reptile/reptile_cmd hide 5803

隐藏网络连接

/reptile/reptile_cmd tcp 114.55.115.6 4444

应急处理方法

常规方法-通过Unhide工具查看隐藏

sudo apt-get install unhide

unhide proc

通过kill命令即可清除运行的后门进程

至于网络端口只能发现本地的端口，其实没啥用，所以就不演示了，具体的使用方法可以自己体验

补充：Linux杀软-clamav

Clam AntiVirus是一个类UNIX系统上使用的反病毒软件包。主要应用于邮件服务器，采用多线程后台操作，可以自动升级病毒库。ClamAV是一个在命令行下查毒软件，因为它不将杀毒作为主要功能，默认只能查出您计算机内的病毒，但是无法清除。

引用链接

[1]Just a moment...:https://sourceforge.net/projects/unhide/
[2]GitHub - f0rb1dd3n/Reptile: LKM Linux rootkit:https://github.com/f0rb1dd3n/Reptile