近年来，Linux平台成为黑灰产的新目标，病毒数量激增。尽管当前Linux病毒对抗技术相对简单，但随着投入增加，预计未来将出现更多复杂的对抗手段。奇安信X实验室近期捕获一批VT低检测的可疑ELF文件，分析发现它们使用了名为Kiteshield的壳。这些样本虽隶属于已知威胁，如APT组织Winnti和黑产团伙暗蚊，但低检测率表明Kiteshield已被广泛用于免杀。随着网络演练临近，攻击方可能利用Kiteshield，因此有必要分享此发现，提升杀软引擎的检测能力。

🛡️Kiteshield壳被黑灰产组织滥用，用于Linux病毒免杀，导致安全厂商对其认知不足，检测率低。

📈Linux病毒数量近年来呈高速增长趋势，黑灰产组织逐渐将目光投向Linux平台。

⚔️尽管当前Linux病毒对抗技术相对“稚嫩”，但未来预计会像Windows平台一样，出现各种复杂的对抗手段和壳技术。

👨‍💻奇安信X实验室通过逆向分析，经历了反调试、字符串混淆、XOR加密、RC4加密等一系列对抗手段，最终确认样本使用了Kiteshield壳。

奇安信X实验室 2024-05-28 11:13 北京

近年来，越来越多的黑灰产组织将目光投向了Linux平台，导致Linux病毒如雨后春笋般不断涌现。

近年来，越来越多的黑灰产组织将目光投向了Linux平台，导致Linux病毒如雨后春笋般不断涌现。显而易见，Linux病毒正处于高速增长的阶段。从安全分析的角度来看，相较于Windows系统上的恶意软件，Linux下的病毒所使用的对抗技术显得相对“稚嫩”。然而，随着双方投入的增加，可以预见，Linux平台上的恶意软件也会像Windows平台一样，充斥着各种奇技淫巧的对抗手段和多样化的壳技术，而Kiteshield，只是一个开始。

近一个月XLab的大网威胁感知系统系统捕获了一批VT低检测且很相似的可疑ELF文件。我们在满心期待中开始了逆向分析，期间经历了反调试，字串混淆，XOR加密，RC4加密等等一系列对抗手段。坦白的说，在这个过程中我们是非常开心的，因为对抗越多，越能说明样本的“不同凡响”，或许我们抓到了一条大鱼。

然而，结果却让人失望。这批样本之所以检测率低，是因为它们都使用了一个名为Kiteshield的壳。最终，我们发现这些样本都是已知的威胁，分别隶属于APT组织Winnti、黑产团伙暗蚊，以及某不知名的脚本小子。

尽管我们未能从这批样本中发现新的威胁，但低检测率本身也是一种重要的发现。显然，不同级别的黑灰产组织都开始使用Kiteshield来实现免杀，而目前安全厂商对这种壳还缺乏足够的认知。随着一年一度的大型网络演练临近，我们不排除攻击方使用Kiteshield的可能性。因此，我们认为有必要编写本文，向社区分享我们的发现，以促进杀软引擎对Kiteshield壳的处理能力。

详细内容请访问：

https://blog.xlab.qianxin.com/kiteshield_is_being_abused_by_cybercriminals_cn

或者点击下方的阅读原文

阅读原文

跳转微信打开