近年来，Linux平台成为黑灰产的新目标，Linux病毒呈现高速增长态势。虽然目前Linux病毒的对抗技术相对稚嫩，但随着投入增加，未来Linux平台上的恶意软件预计将充满各种复杂的对抗手段和壳技术。奇安信X实验室近期捕获了一批VT低检测的可疑ELF文件，经过逆向分析发现，这些样本使用了名为Kiteshield的壳。这些样本分别隶属于APT组织Winnti、黑产团伙暗蚊以及某脚本小子。尽管未发现新的威胁，但低检测率表明不同级别的黑灰产组织都开始利用Kiteshield进行免杀，而安全厂商对此壳的认知尚不足。随着网络演练临近，攻击方可能使用Kiteshield，因此有必要分享这一发现，提升杀软引擎的处理能力。

🛡️Kiteshield壳成为黑灰产组织实现免杀的新手段，不同级别的黑灰产组织，包括APT组织Winnti、黑产团伙暗蚊以及一些脚本小子，都在使用它来躲避检测。

🕵️奇安信X实验室的大网威胁感知系统捕获了一批VT低检测且相似的可疑ELF文件，通过逆向分析，揭示了这些样本使用了Kiteshield壳的事实。分析过程涉及反调试、字符串混淆、XOR加密、RC4加密等多种对抗技术。

⚠️尽管这些样本最终被确定为已知的威胁，但其低检测率暴露了安全厂商对Kiteshield壳的认知不足。随着大型网络演练临近，攻击者可能利用Kiteshield，构成潜在威胁。

奇安信X实验室 2024-05-28 11:13 北京

近年来，越来越多的黑灰产组织将目光投向了Linux平台，导致Linux病毒如雨后春笋般不断涌现。

近年来，越来越多的黑灰产组织将目光投向了Linux平台，导致Linux病毒如雨后春笋般不断涌现。显而易见，Linux病毒正处于高速增长的阶段。从安全分析的角度来看，相较于Windows系统上的恶意软件，Linux下的病毒所使用的对抗技术显得相对“稚嫩”。然而，随着双方投入的增加，可以预见，Linux平台上的恶意软件也会像Windows平台一样，充斥着各种奇技淫巧的对抗手段和多样化的壳技术，而Kiteshield，只是一个开始。

近一个月XLab的大网威胁感知系统系统捕获了一批VT低检测且很相似的可疑ELF文件。我们在满心期待中开始了逆向分析，期间经历了反调试，字串混淆，XOR加密，RC4加密等等一系列对抗手段。坦白的说，在这个过程中我们是非常开心的，因为对抗越多，越能说明样本的“不同凡响”，或许我们抓到了一条大鱼。

然而，结果却让人失望。这批样本之所以检测率低，是因为它们都使用了一个名为Kiteshield的壳。最终，我们发现这些样本都是已知的威胁，分别隶属于APT组织Winnti、黑产团伙暗蚊，以及某不知名的脚本小子。

尽管我们未能从这批样本中发现新的威胁，但低检测率本身也是一种重要的发现。显然，不同级别的黑灰产组织都开始使用Kiteshield来实现免杀，而目前安全厂商对这种壳还缺乏足够的认知。随着一年一度的大型网络演练临近，我们不排除攻击方使用Kiteshield的可能性。因此，我们认为有必要编写本文，向社区分享我们的发现，以促进杀软引擎对Kiteshield壳的处理能力。

详细内容请访问：

https://blog.xlab.qianxin.com/kiteshield_is_being_abused_by_cybercriminals_cn

或者点击下方的阅读原文

阅读原文