奇安信X实验室近期关注到Linux平台病毒的快速增长，特别是黑灰产组织开始使用Kiteshield壳来实现免杀。通过对一批低检测率的ELF文件进行分析，确认了Kiteshield壳被不同黑灰产组织滥用的情况，包括APT组织Winnti和黑产团伙暗蚊。虽然未发现新的威胁，但低检测率本身也具有重要意义。文章旨在分享这一发现，促进安全厂商对Kiteshield壳的处理能力，为即将到来的网络演练做好准备。

🛡️ Kiteshield壳的出现：近年来，越来越多的黑灰产组织将目光投向Linux平台，导致Linux病毒数量激增。这些病毒使用Kiteshield壳来绕过安全软件的检测。

🔍 样本分析与对抗：XLab对一批VT低检测的可疑ELF文件进行了逆向分析，样本使用了反调试、字串混淆、XOR加密、RC4加密等对抗手段。最终发现这些样本都使用了Kiteshield壳。

🚨 威胁组织与影响：这些样本分别隶属于APT组织Winnti、黑产团伙暗蚊，以及某不知名的脚本小子。表明不同级别的黑灰产组织都开始使用Kiteshield来实现免杀，而安全厂商对此类壳的认知尚有不足。

⚠️ 应对与建议：考虑到一年一度的大型网络演练临近，攻击方可能使用Kiteshield。因此，分享研究成果，旨在促进杀软引擎对Kiteshield壳的处理能力，提高整体防御水平。

奇安信X实验室 2024-05-28 11:13 北京

近年来，越来越多的黑灰产组织将目光投向了Linux平台，导致Linux病毒如雨后春笋般不断涌现。

近年来，越来越多的黑灰产组织将目光投向了Linux平台，导致Linux病毒如雨后春笋般不断涌现。显而易见，Linux病毒正处于高速增长的阶段。从安全分析的角度来看，相较于Windows系统上的恶意软件，Linux下的病毒所使用的对抗技术显得相对“稚嫩”。然而，随着双方投入的增加，可以预见，Linux平台上的恶意软件也会像Windows平台一样，充斥着各种奇技淫巧的对抗手段和多样化的壳技术，而Kiteshield，只是一个开始。

近一个月XLab的大网威胁感知系统系统捕获了一批VT低检测且很相似的可疑ELF文件。我们在满心期待中开始了逆向分析，期间经历了反调试，字串混淆，XOR加密，RC4加密等等一系列对抗手段。坦白的说，在这个过程中我们是非常开心的，因为对抗越多，越能说明样本的“不同凡响”，或许我们抓到了一条大鱼。

然而，结果却让人失望。这批样本之所以检测率低，是因为它们都使用了一个名为Kiteshield的壳。最终，我们发现这些样本都是已知的威胁，分别隶属于APT组织Winnti、黑产团伙暗蚊，以及某不知名的脚本小子。

尽管我们未能从这批样本中发现新的威胁，但低检测率本身也是一种重要的发现。显然，不同级别的黑灰产组织都开始使用Kiteshield来实现免杀，而目前安全厂商对这种壳还缺乏足够的认知。随着一年一度的大型网络演练临近，我们不排除攻击方使用Kiteshield的可能性。因此，我们认为有必要编写本文，向社区分享我们的发现，以促进杀软引擎对Kiteshield壳的处理能力。

详细内容请访问：

https://blog.xlab.qianxin.com/kiteshield_is_being_abused_by_cybercriminals_cn

或者点击下方的阅读原文

阅读原文

跳转微信打开