从冰蝎antiAgent看Java Attach机制

webshell的隐藏与检出一直以来都是攻防的焦点,随着内存马的研究与工具的公开,内存shell已然成为了webshell主流。

引用【9】中关于攻击的思路

  1. 基于Servlet规范的利用,动态注册Servlet规范中的组件,包括Servlet,Filter,Listener,这部分的公开文章比较多,比如:基于tomcat的内存 Webshell 无文件攻击技术(https://xz.aliyun.com/t/7388)。
  2. 基于特定框架的利用,框架一般对于Servlet又进行了一层封装,动态注册框架的路由,文章:基于内存 Webshell 的无文件攻击技术研究(https://www.anquanke.com/post/id/198886)
  3. 基于javaagent修改Servlet处理流程中的字节码,工具:memShell(https://github.com/rebeyond/memShell)

引用【8】中关于检测的思路

无论是以上哪种攻击方式,从防守方的角度来说,检测的方式都是通过java instrumentation机制,将检测jar包attach到tomcat jvm,检查加载到jvm中的类是否异常。整体检测思路为:

  1. 获取tomcat jvm中所有加载的类
  2. 遍历每个类,判断是否为风险类。我们把可能被攻击方新增/修改内存中的类,标记为风险类(比如实现了filter/servlet的类)
  3. 遍历风险类,检查是否为webshell:
  4. 检查高风险类的class文件是否存在;
  5. 反编译风险类字节码,检查java文件中包含恶意代码

有攻有防,而防御又引发攻击的升级,冰蝎最新版已经加入了反VirtualMachine.Attach功能。

冰蝎AntiAgent

AntiAgent的实现

先看看冰蝎的实现,具体在MemShell.java

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
public void doAgentShell(boolean antiAgent) throws Exception {
   try {
      Class VirtualMachineCls = ClassLoader.getSystemClassLoader().loadClass("com.sun.tools.attach.VirtualMachine");
      Method attachMethod = VirtualMachineCls.getDeclaredMethod("attach", String.class);
      Method loadAgentMethod = VirtualMachineCls.getDeclaredMethod("loadAgent", String.class, String.class);
      Object obj = attachMethod.invoke(VirtualMachineCls, getCurrentPID());
      loadAgentMethod.invoke(obj, libPath, base64encode(path) + "|" + base64encode(password));
      String osInfo = System.getProperty("os.name").toLowerCase();
      if (osInfo.indexOf("windows") < 0 && osInfo.indexOf("winnt") < 0 && osInfo.indexOf("linux") >= 0 && antiAgent) {
         String fileName = "/tmp/.java_pid" + getCurrentPID();
         (new File(fileName)).delete();
      }
   } catch (Exception var12) {
      var12.printStackTrace();
   } catch (Error var13) {
      var13.printStackTrace();
   } finally {
      (new File(libPath)).delete();
   }

}

测试AntiAgent

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
public class testAttach {
    public static void main(String[] args) {
        try {
            String pid = "2715";
            System.out.println(System.getProperty("java.io.tmpdir"));
            String password = "whoami";
            String currentPath = "/Users/mody/study/java/MemShell/memShell/target/";
            String agentFile = currentPath + "agent.jar";
            agentFile = new File(agentFile).getCanonicalPath();
            String agentArgs = currentPath;
            if (!password.equals("") || password != null) {
                agentArgs = agentArgs + "^" + password;
            }

            VirtualMachine vm = VirtualMachine.attach(pid);
            vm.loadAgent(agentFile, agentArgs);
            String fileName = System.getProperty("java.io.tmpdir")+".java_pid" + pid;
            System.out.println(fileName);
            Boolean e = (new File(fileName)).exists();
            System.out.println(e);
        } catch (Exception var12) {
            var12.printStackTrace();
        } finally {
//            (new File(libPath)).delete();
        }
    }
  1. 找一个jvm进程,运行testAttach
  2. 删除对应.java_pidxx
  3. 再运行testAttach,会发现报错,socket连不上

可以看出,冰蝎通过删除.java_pid,实现了无法VirtualMachine.attach。原理如何?检测是否有绕过空间?

Java Attach机制

参考【1】中总结了Java 的3种动态Attach方法

  1. 继承Tool/HotSpotAgent.attach(采用Serviceability Agent,简称SA)
  2. VirtualMachine.attach(Attach到Attach Listener线程后执行有限命令)
  3. Perf.getPerf().attach(通过PerfData文件获取信息)

upload successful

其中1会暂停进程,不适用于内存马的检测,3只是关注进程状态信息,主要用于性能分析,关注的类不全,无法用于检测异常类。

Java Instrumentation API

引用参考【10】,Java Instrumentation APi支持启动时/运行时Attach Agent

如果需要在目标JVM启动的同时加载Agent,需要在Agent中实现下面的方法:

1
2
[1] public static void premain(String agentArgs, Instrumentation inst);
[2] public static void premain(String agentArgs);

如果希望在目标JVM运行时加载Agent,则需要实现下面的方法:

1
2
[1] public static void agentmain(String agentArgs, Instrumentation inst);
[2] public static void agentmain(String agentArgs);

本文只关注运行时加载Agent,也就是VirtualMachine.attach。

VirtualMachine.attach

upload successful
此流程图需要搭配参考【3】中的调试过程,分析得出

JVM 流程

  1. init, 等待SIGQUIT(也是SIGBREAK)
  2. 收到SINQUIT,attach_pid验证(这个不是很重要)
  3. 判断是否有对应java_pid socket文件,没有则创建
  4. 建立unix socket tcp server ,绑定java_pid socket通道
  5. 进入循环,响应attach client
  6. 新SIGQUIT,验证attach_pid(不重要), 进入5(重点,并不会重新建server)

在步骤5完成之后,删除掉java_pid socket文件,会怎样?可恢复吗?

  1. 即使删除socket通道,server不会失败重新尝试连接
  2. 即使新建相同name的unix socket通道,client也无法连接,所以不可恢复

UnixSocket

以下通过实验验证以上的两点结论

server.go

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
import (
	"fmt"
	"net"
	"time"
)


//接收内容并返回结果
func HandleServerContext(context string) string {
	now := time.Now().String()
	return now
}

//接收连接并处理
func HandleServerConn(c net.Conn) {
	defer c.Close()
	bufsize := 32
	buf := make([]byte, bufsize)
	nr, err := c.Read(buf)
	if err != nil {
		panic("Read: " + err.Error())
	}
	// 这里,你需要 parse buf 里的数据来决定返回什么给客户端
	// 假设 respnoseData 是你想返回的文件内容
	fmt.Print(string(buf[0:nr]))
	result := HandleServerContext(string(buf[0:nr]))
	_, err = c.Write([]byte(result))
	if err != nil {
		panic("Writes failed.")
	}
	fmt.Print(result)
}

func main() {
	s_filename := "/var/folders/vw/5c9ynmt1277dbnmrxjq8hzn40000gq/T/.java_pid10021"
	addr, err := net.ResolveUnixAddr("unix", s_filename)
	if err != nil {
		panic("Cannot resolve unix addr: " + err.Error())
	}
	listener, err := net.ListenUnix("unix", addr)
	defer listener.Close()
	if err != nil {
		panic("Cannot listen to unix domain socket: " + err.Error())
	}
	fmt.Println("Listening on", listener.Addr())
	for {
		c, err := listener.Accept()
		if err != nil {
			panic("Accept: " + err.Error())
		}
		go HandleServerConn(c)
	}
}

client.go

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
import (
	"fmt"
	"net"
)

func main() {
	s_filename := "/var/folders/vw/5c9ynmt1277dbnmrxjq8hzn40000gq/T/.java_pid10021"
	addr, err := net.ResolveUnixAddr("unix", s_filename)
	if err != nil {
		panic("Cannot resolve unix addr: " + err.Error())
	}
	//拔号
	c, err := net.DialUnix("unix", nil, addr)
	if err != nil {
		panic("DialUnix failed.")
	}
	//写出
	context := "hello server"
	_, err = c.Write([]byte(context))
	if err != nil {
		panic("Writes failed.")
	}
	//读结果
	bufsize := 32
	buf := make([]byte, bufsize)
	nr, err := c.Read(buf)
	if err != nil {
		panic("Read: " + err.Error())
	}
	fmt.Printf(string(buf[0:nr]))
}
  1. 运行server
  2. 运行client,tcp连接ok,数据传输ok
  3. 删除java_pid
  4. 运行client,tcp连接失败
  5. nc -lkU java_pid,创建相同文件
  6. 运行client,仍然连接失败

JVM信号

如上,通过恢复java_pid重建连接的思路无法走通,那有其他的思路重新让jvm建立新的tcp server吗?

第一步时是通过SIGQUIT信号触发jvm init tcp server的,有没有其他信号可以重现呢?可惜通过参考【4】,并未发现有如此功能的信号。

小结

本文复现了冰蝎为防止常见内存马检测antiAgent的功能(不得不膜拜beyond大佬,对Java实在是熟悉),在此基础上分析其实现原理,得出无法绕过的悲情结论。

不过无法Attach本身就是一个强特征(虽然有些/tmp目录清理会导致误报),也使得antiAgent有利有弊,攻击者也需要斟酌而用。

水平有限,如有疏漏,恳请告知。

———–20210624补充————

参考【11】中带头大哥 补充了关于冰蝎3.0beta8版本windows的实现,AntiAttach原理是通过关闭sun.tools.attach.WindowsVirtualMachine pipe,带头大哥 通过分析WindowsVirtualMachine JNI的实现得出:

WindowsVirtualMachine是通过向目标JVM注入shellcode来执行我们与目标JVM的通信指令。Pipe只是一种通信手段,关闭pipe并不能影响我们向目标JVM加载javaagent。

大哥66的

在linux侧,转化为的问题是:UnixSocket文件删除之后如何恢复原有的server连接?本文只尝试了新建同名socket文件,或者还有其他方式?这块还是菜🐔,求知道的大佬们指点。

参考

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true