一种新型内核马/WebShell

项目简介

@veo师傅研究的一个全链路内存马系列（ebpf内核马、nginx内存马、WebSocket内存马）。

注意：本项目不含有完整的利用工具，仅提供无害化测试程序、防御加固方案，以及研究思路讨论。

ebpf内核马：通过ebpf hook入/出口流量，筛选出特定的恶意命令，再通过hook execve等函数，将其他进程正常执行的命令替换为恶意命令，达到WebShell的效果。

无进程、无端口、无文件（注入后文件可删除）执行命令不会新建shell进程，无法通过常规行为检测将WebShell注入内核，无法通过常规内存检测可改造内核马，适配HTTP协议以外的所有协议

内核版本需要大于4.15.0，即 Ubuntu 16、CentOS 8命令不是直接执行，需要等待其他进程执行命令无回显

下载测试程序 releases 并运行

POST veo=/bin/touch /tmp/pwn

1. 为什么不通过ebpf直接执行命令

根据ebpf的编写规则，ebpf自己是不能执行命令的，它只能hook各种函数。所以有两种方法可以间接达到执行命令的效果

自己开一个进程，ebpf通过ebpf map传输命令参数到这个进程，通过这个进程执行命令监听其他进程执行的命令，将其修改为恶意命令参数

2. 怎么通过ebpf识别HTTP报文

3. 怎么让ebpf脱离加载器在内核中持续运行，即使加载器程序退出

https://eunomia.dev/zh/tutorials/28-detach/

通过bpftool可以检测出是否有ebpf恶意程序权限收敛，收敛SYS_ADMIN、CAP_BPF等权限确认 /proc/sys/kernel/unprivileged_bpf_disabled 为 1

https://github.com/veo/ebpf_shell

https://github.com/veo/nginx_shell