日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
新型檢測逃避技術(shù)分析,以一個Shell腳本文件為例

背景

Linux 平臺上的攻擊者通常使用惡意 Shell 腳本作為初始的攻擊向量,拉取惡意 Payload 到失陷主機執(zhí)行。

網(wǎng)站建設(shè)哪家好,找創(chuàng)新互聯(lián)建站!專注于網(wǎng)頁設(shè)計、網(wǎng)站建設(shè)、微信開發(fā)、微信小程序開發(fā)、集團企業(yè)網(wǎng)站建設(shè)等服務(wù)項目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了蘄春免費建站歡迎大家使用!

最初,攻擊者只使用 base64 等編碼方案來進行檢測逃避。目前,攻擊者正在采用更新的技術(shù),包括禁用防火墻、監(jiān)控代理等方式進行檢測逃避。

本文將以一個 Shell 腳本文件(5050506ad2ccea35fe3b7aba63c4f413)為例,進行分析。

卸載監(jiān)控 Agent

監(jiān)控 Agent 是監(jiān)控系統(tǒng)中進程和網(wǎng)絡(luò)相關(guān)活動的安全軟件。監(jiān)控 Agent 會記錄各種日志,這可以在進行事件調(diào)查分析時提供幫助。惡意 Shell 腳本試圖:

  • 卸載阿里云的 Aegis
  • 卸載騰訊云的 YunJing

禁用防火墻

大多數(shù)服務(wù)器都會部署防火墻作為防御機制,所以攻擊者會在惡意 Shell 腳本試圖禁用防火墻(ufw)。與此同時,攻擊者還會清除 iptables 的規(guī)則。

攻擊者還會禁用基于不可屏蔽中斷(nmi)實現(xiàn)的 watchdog。watchdog 是一種可配置的定時器機制,會在給定的條件和時間產(chǎn)生中斷。為了規(guī)避這種防御機制,攻擊者會使用 sysctl 禁用 watchdog 功能。

禁用安全模塊

惡意 Shell 腳本通常會禁用 SElinux、Apparmor 等 Linux 安全模塊。這些安全模塊都實施強制訪問控制(MAC)策略,管理員可以通過模塊控制應(yīng)用程序的安裝/訪問權(quán)限。

(1) AppArmour

AppArmour 是 Linux 中的一項安全功能,用于鎖定 Firefox 等應(yīng)用程序提高系統(tǒng)安全性。用戶可以通過向某個應(yīng)用程序授予有限的權(quán)限來限制應(yīng)用程序的訪問。

(2) SElinux

SElinux 也是 Linux 的一項安全功能,安全管理員可以通過配置應(yīng)用程序限定安全上下文。在某些 Web 服務(wù)器上,Shell 功能會被禁用或被限制,攻擊者通常會繞過/禁用此功能。

修改 ACL

訪問控制列表(ACL)包含文件和程序的權(quán)限規(guī)則。文件系統(tǒng) ACL 控制那些用戶可以訪問那些文件,用戶擁有哪些權(quán)限。Linux 中的 setfacl 可用于修改、刪除 ACL。

更改屬性

Linux 中的 chattr 可用于設(shè)置/取消設(shè)置文件屬性,攻擊者會將惡意軟件設(shè)置為不可變,使用戶不能刪除惡意軟件。

重命名常用程序

實用程序 wget、curl 通常用于下載惡意文件,如果能夠修改程序名稱,監(jiān)控特定程序名稱的安全程序有可能就不會產(chǎn)生告警。

結(jié)論

攻擊者不斷使用更復(fù)雜、更新穎的方法進行檢測規(guī)避,更完整、全面地監(jiān)控和記錄系統(tǒng)的活動正變得越來越重要。建議所有人都應(yīng)該定期監(jiān)控不受信任的二進制執(zhí)行產(chǎn)生的可疑進程、可疑事件和可疑流量。一定要定期更新系統(tǒng)和固件,進行安全升級。

IOC

 
 
 
    
  
  
  
  1. 39ac019520a278e350065d12ebc0c24201584390724f3d8e0dc828664fee6cae
    2. 
  
  
  
  2. 1ad0104478301e73e3f49cdeb10f8c1a1d54bccf9248e34ff81352598f112e6b
    3. 
  
  
  
  3. b60ffcc7153650d6a232b1cb249924b0c6384c27681860eb13b12f4705bc0a05
    4. 
  
  
  
  4. 3b280a4017ef2c2aef4b3ed8bb47516b816166998462899935afb39b533890ad
    5. 
  
  
  
  5. 7b6f7c48256a8df2041e8726c3490ccb6987e1a76fee947e148ea68eee036889
    6. 
  
  
  
  6. d7c4693f4c36d8c06a52d8981827245b9ab4f63283907ef8c3947499a37eedc8
    7.

參考來源:Uptycs


網(wǎng)站欄目:新型檢測逃避技術(shù)分析,以一個Shell腳本文件為例
網(wǎng)址分享:http://www.5511xx.com/article/djpcjop.html