나는 이 명령에 관해 몇 가지 연구를 해왔습니다.
rm -f /etc/ld.so.preload
현재 제가 분석하고 있는 스크립트는 위의 명령어로 시작됩니다.
노트:
"ld.so.preload""ld.so.preload" 파일에 대해 조사해 본 결과 일반적으로 해당 파일이 시스템에 존재하지 않는다는 결론에 도달했습니다 . 거의 모든 프로그램은 이 파일을 열려고 시도하며 이 동작은 glibc에 내장되어 있습니다. 해당 프로세스에 파일이 존재하지 않기 때문에 그냥 access를 호출해서 음수 값을 얻어서 계속 진행하면 됩니다.
질문:
ld.so.preload 파일은 일반적으로 어떤 상황에서 시스템에 존재하거나 생성됩니까?
악성 프로그램이 강제로
ld.so.preload파일 삭제를 시도하면 시스템에 어떤 영향을 미치나요?
원래 i.sh 코드는 다음에서 유래합니다.DShield: CVE-2020-5902와 관련된 일부 IoC
답변1
- 시스템이 손상되어 프로그램이 라이브러리에 올바르게 액세스할 수 없는 경우
- 그 결과 이미 열악한 상태에 있는 시스템은 결국 더욱 악화되는 상태에 빠지게 됩니다.
모든 프로그램이 이 파일에 액세스하려고 시도하는 이유는(존재하지 않더라도) 다른 작업을 수행하기 전에 먼저 로드할 라이브러리를 프로그램에 알려주기 때문입니다.
실행 중에 프로그램은 자신이 존재하지 않는다는 사실을 아직 알지 못하므로 시도해야 합니다.