自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

新型檢測(cè)逃避技術(shù)分析,以一個(gè) Shell 腳本文件為例

作者:Avenger
安全 網(wǎng)站安全
目前,攻擊者正在采用更新的技術(shù),包括禁用防火墻、監(jiān)控代理等方式進(jìn)行檢測(cè)逃避。本文將以一個(gè) Shell 腳本文件為例,進(jìn)行分析。

背景

Linux 平臺(tái)上的攻擊者通常使用惡意 Shell 腳本作為初始的攻擊向量,拉取惡意 Payload 到失陷主機(jī)執(zhí)行。

最初,攻擊者只使用 base64 等編碼方案來進(jìn)行檢測(cè)逃避。目前,攻擊者正在采用更新的技術(shù),包括禁用防火墻、監(jiān)控代理等方式進(jìn)行檢測(cè)逃避。

本文將以一個(gè) Shell 腳本文件(5050506ad2ccea35fe3b7aba63c4f413)為例,進(jìn)行分析。

[[417569]]

卸載監(jiān)控 Agent

監(jiān)控 Agent 是監(jiān)控系統(tǒng)中進(jìn)程和網(wǎng)絡(luò)相關(guān)活動(dòng)的安全軟件。監(jiān)控 Agent 會(huì)記錄各種日志,這可以在進(jìn)行事件調(diào)查分析時(shí)提供幫助。惡意 Shell 腳本試圖:

  • 卸載阿里云的 Aegis
  • 卸載騰訊云的 YunJing

禁用防火墻

大多數(shù)服務(wù)器都會(huì)部署防火墻作為防御機(jī)制,所以攻擊者會(huì)在惡意 Shell 腳本試圖禁用防火墻(ufw)。與此同時(shí),攻擊者還會(huì)清除 iptables 的規(guī)則。

攻擊者還會(huì)禁用基于不可屏蔽中斷(nmi)實(shí)現(xiàn)的 watchdog。watchdog 是一種可配置的定時(shí)器機(jī)制,會(huì)在給定的條件和時(shí)間產(chǎn)生中斷。為了規(guī)避這種防御機(jī)制,攻擊者會(huì)使用 sysctl 禁用 watchdog 功能。

禁用安全模塊

惡意 Shell 腳本通常會(huì)禁用 SElinux、Apparmor 等 Linux 安全模塊。這些安全模塊都實(shí)施強(qiáng)制訪問控制(MAC)策略,管理員可以通過模塊控制應(yīng)用程序的安裝/訪問權(quán)限。

(1) AppArmour

AppArmour 是 Linux 中的一項(xiàng)安全功能,用于鎖定 Firefox 等應(yīng)用程序提高系統(tǒng)安全性。用戶可以通過向某個(gè)應(yīng)用程序授予有限的權(quán)限來限制應(yīng)用程序的訪問。

1627829234_6106b3f23984c32f7ca82.png!small?1627829233338

(2) SElinux

SElinux 也是 Linux 的一項(xiàng)安全功能,安全管理員可以通過配置應(yīng)用程序限定安全上下文。在某些 Web 服務(wù)器上,Shell 功能會(huì)被禁用或被限制,攻擊者通常會(huì)繞過/禁用此功能。

1627829221_6106b3e5d4cf087a53e73.png!small?1627829220978

修改 ACL

訪問控制列表(ACL)包含文件和程序的權(quán)限規(guī)則。文件系統(tǒng) ACL 控制那些用戶可以訪問那些文件,用戶擁有哪些權(quán)限。Linux 中的 setfacl 可用于修改、刪除 ACL。

1627829206_6106b3d6863467ecf3267.png!small?1627829205719

更改屬性

Linux 中的 chattr 可用于設(shè)置/取消設(shè)置文件屬性,攻擊者會(huì)將惡意軟件設(shè)置為不可變,使用戶不能刪除惡意軟件。

重命名常用程序

實(shí)用程序 wget、curl 通常用于下載惡意文件,如果能夠修改程序名稱,監(jiān)控特定程序名稱的安全程序有可能就不會(huì)產(chǎn)生告警。

1627829381_6106b485b5bcfe7b34843.png!small?1627829380810

1627829368_6106b4785fcbaf84ef11c.png!small?1627829367602

結(jié)論

攻擊者不斷使用更復(fù)雜、更新穎的方法進(jìn)行檢測(cè)規(guī)避,更完整、全面地監(jiān)控和記錄系統(tǒng)的活動(dòng)正變得越來越重要。建議所有人都應(yīng)該定期監(jiān)控不受信任的二進(jìn)制執(zhí)行產(chǎn)生的可疑進(jìn)程、可疑事件和可疑流量。一定要定期更新系統(tǒng)和固件,進(jìn)行安全升級(jí)。

IOC

  1. 39ac019520a278e350065d12ebc0c24201584390724f3d8e0dc828664fee6cae 
  2. 1ad0104478301e73e3f49cdeb10f8c1a1d54bccf9248e34ff81352598f112e6b 
  3. b60ffcc7153650d6a232b1cb249924b0c6384c27681860eb13b12f4705bc0a05 
  4. 3b280a4017ef2c2aef4b3ed8bb47516b816166998462899935afb39b533890ad 
  5. 7b6f7c48256a8df2041e8726c3490ccb6987e1a76fee947e148ea68eee036889 
  6. d7c4693f4c36d8c06a52d8981827245b9ab4f63283907ef8c3947499a37eedc8 

參考來源:Uptycs

 

責(zé)任編輯:趙寧寧 來源: FreeBuf
Shell攻擊檢測(cè)逃避
相關(guān)推薦

2015-05-07 11:24:13

DockerIT技術(shù)評(píng)價(jià)新技術(shù)

2009-12-03 10:06:33

Ubuntushell腳本

2023-11-08 14:23:55

2013-07-27 20:53:52

2025-03-27 07:00:00

惡意軟件移動(dòng)安全網(wǎng)絡(luò)安全

2015-06-17 14:25:04

2015-04-22 15:24:31

2021-02-15 17:29:46

LinuxShell腳本

2025-04-11 08:20:00

NetQuality網(wǎng)絡(luò)質(zhì)量檢測(cè)網(wǎng)絡(luò)性能

2021-08-02 09:50:47

Vetur源碼SMART

2022-11-03 08:13:52

echo 命令Linux

2015-09-29 21:31:47

2015-06-03 09:56:18

2018-10-15 11:08:23

2010-09-08 10:54:37

2015-03-31 09:23:55

2016-12-20 12:34:46

存儲(chǔ)MySQL流程

2016-11-13 16:46:49

2014-07-08 09:27:24

SQLSERVER腳本

2019-08-09 13:50:08

shellLinux
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)