Linux Rootkit是一类针对Linux操作系统设计的恶意工具集，它通过多种方式隐藏自身和攻击活动，使得攻击者能够绕过安全防御机制，在受害主机上非法维持控制权限，因此常被喻为黑客的“隐身斗篷”。

面对这种高级威胁，了解其原理是实现有效检测和防御的第一步。本系列文章将深入解析Linux Rootkit的常见手法。为了方便理解，我们将分上下两篇：本篇（上篇）将聚焦于“用户态Rootkit”，探讨攻击者如何在相对外围的用户空间玩弄“隐身”把戏；而下篇则将潜入系统核心，揭开“内核态Rootkit”更为强大的隐身魔法。​

本系列将主要介绍的Linux Rootkit手法

让我们先从用户态的攻防开始。用户态Rootkit通过篡改系统命令、动态链接库劫持等相对简单的手法实现隐藏，易被检出，主要手法如下：

1. 篡改系统命令

替换系统命令如ps、top、ls、lsof、ss、netstat等，达到隐藏进程、文件、网络连接的目的。下图为被替换的ps命令。

• 检测思路：系统命令文件完整性校验。

2. 篡改环境变量脚本

修改或添加环境变量shell脚本如/etc/profile、/etc/profile.d/[恶意脚本：gateway.sh]、/etc/bashrc等，劫持环境变量，覆盖常见的系统命令如ps、netstat、dir、ls、find等，使得不展示恶意进程、文件、网络连接，并在用户登录时加载生效。下图为实际入侵事件中的恶意环境变量脚本。

• 检测思路：
  恶意环境变量脚本文件名特征匹配；
  正则或yara规则扫描环境变量脚本内容，观察是否有命中劫持特征字符串；
  audit审计监控环境变量脚本的写入，观察是否有异常写入行为。

3. 文件挂载

运行如下命令，将进程虚拟目录挂载到隐藏目录或空目录，达到隐蔽效果。下图为挂载至空目录示例。

mount [绑定选项：-o bind、--bind] [挂载目录：/tmp/.hidden、/tmp/empty] /proc/[pid]

• 检测思路：
  /proc/$$/mountinfo可查看到/proc/[pid]挂载记录；
  ps查看不到对应进程；
  /proc/[pid]目录大小非0。

4. 动态链接器&动态链接库劫持

首先编译生成恶意.so库，劫持系统调用或其它库函数。以libprocesshider.so（链接：https://github.com/gianlucaborello/libprocesshider）为例，下图展示了其劫持libc库函数readdir()并过滤process_to_filter变量定义的恶意进程的逻辑。

然后再通过以下7种常见手法加载恶意.so库：

1. 篡改ld动态链接器，使其从攻击者指定路径查找.so库加载；
2. 修改$LD_PRELOAD环境变量，添加恶意预加载.so库路径；
3. 将恶意预加载.so库路径写入/etc/ld.so.preload文件；
4. 修改$LD_LIBRARY_PATH或$PATH环境变量，添加恶意.so库搜索路径，使得优先加载恶意.so库；
5. 修改或创建/etc/ld.so.conf或/etc/ld.so.conf.d/*.conf文件，添加恶意.so库搜索路径，使得优先加载恶意.so库；
6. 将对应的原始.so库直接替换为恶意.so库，如将libc.so.6替换为恶意的libc.so.6；
7. 修改.service系统服务Environment或EnvironmentFile，配置其包含的环境变量$LD_PRELOAD、$LD_LIBRARY_PATH或$PATH，使得指定服务优先加载恶意.so库。

• 检测思路：
  恶意.so库文件路径特征匹配；
  动态链接器文件完整性校验；
  检测全局和系统服务的$LD_PRELOAD、$LD_LIBRARY_PATH或$PATH环境变量是否配置可疑.so库或可疑.so查找路径；
  检测/etc/ld.so.preload、/etc/ld.so.conf或/etc/ld.so.conf.d/*.conf文件是否配置可疑.so库或可疑.so查找路径；
  yara规则或病毒引擎扫描运行进程加载的.so库、环境变量和ld相关配置文件配置加载的.so库、以及系统默认.so库存放路径（如/usr/lib64/）；
  利用busybox静态链接编译工具，辅助排查是否有隐藏进程、文件、网络连接的情况。

5. io_uring滥用

io_uring是Linux内核自5.1版引入的一种绕过传统系统调用的异步I/O机制，它包含ubmission Queue (SQ)和Completion Queue (CQ)两个用户和内核空间共享的环形缓冲区，应用提交I/O请求至SQ并通知内核，内核异步处理完请求后把结果放进CQ，等待应用主动去取或轮询或等待通知，目前已支持处理60+种操作请求。由于无需依赖系统调用，所以监控系统调用的安全工具无法检测仅依赖io_uring的Rootkit，需要注意的是io_uring的隐藏效果不包括恶意进程/文件/网络连接本身。

以curing为例（链接：https://github.com/armosec/curing），它利用io_uring实现client端与server端通信并执行C2指令，以绕过某些安全检测工具达到一定的隐藏效果。下图分析了curing client与server端建立通信的逻辑。

下图分析了curing client端隐蔽执行写文件C2指令的逻辑。

• 检测思路：
  由于大多数应用通常不依赖 io_uring，可通过监控io_uring接口的异常使用情况进行检测；
  利用KRSI（Kernel Runtime Security Instrumentation，内核运行时安全检测），它允许eBPF程序附加到LSM（Linux Security Module，Linux安全模块）钩子上，提供比系统调用监控钩子更为与安全相关的内核级事件；
  寻找非系统调用的替代插桩点，再利用Kprobes或eBPF技术监控，如找到一个不同内核版本在进行文件写入时每次都能触发的HOOK点。

小结

通过上文的探讨，我们可以看到，用户态Rootkit主要通过一种“欺骗”或“劫持”的逻辑来实现隐藏。尽管这些手法在实战中屡见不鲜，但它们的共同点是依赖于用户空间的环境和组件。这决定了它们并非无迹可寻：通过文件完整性校验、环境变量审计、使用静态编译工具对比等方法，我们总能发现其中的不和谐之处。

然而，当攻击不满足于在“外围”伪装，而是将触角伸向系统的“大脑”——内核时，一场真正意义上的“隐形”战争才刚拉开序幕。如果用户态Rootkit是易容术，那么内核态Rootkit就是直接控制了你的视觉神经中枢，让你对某些东西“视而不见”。在下篇中，我们将探索内核态Rootkit这一更高级的威胁。