新型檢測(cè)逃避技術(shù)分析,以一個(gè) Shell 腳本文件為例
背景
Linux 平臺(tái)上的攻擊者通常使用惡意 Shell 腳本作為初始的攻擊向量,拉取惡意 Payload 到失陷主機(jī)執(zhí)行。
最初,攻擊者只使用 base64 等編碼方案來進(jìn)行檢測(cè)逃避。目前,攻擊者正在采用更新的技術(shù),包括禁用防火墻、監(jiān)控代理等方式進(jìn)行檢測(cè)逃避。
本文將以一個(gè) Shell 腳本文件(5050506ad2ccea35fe3b7aba63c4f413)為例,進(jìn)行分析。
卸載監(jiān)控 Agent
監(jiān)控 Agent 是監(jiān)控系統(tǒng)中進(jìn)程和網(wǎng)絡(luò)相關(guān)活動(dòng)的安全軟件。監(jiān)控 Agent 會(huì)記錄各種日志,這可以在進(jìn)行事件調(diào)查分析時(shí)提供幫助。惡意 Shell 腳本試圖:
- 卸載阿里云的 Aegis
- 卸載騰訊云的 YunJing
禁用防火墻
大多數(shù)服務(wù)器都會(huì)部署防火墻作為防御機(jī)制,所以攻擊者會(huì)在惡意 Shell 腳本試圖禁用防火墻(ufw)。與此同時(shí),攻擊者還會(huì)清除 iptables 的規(guī)則。
攻擊者還會(huì)禁用基于不可屏蔽中斷(nmi)實(shí)現(xiàn)的 watchdog。watchdog 是一種可配置的定時(shí)器機(jī)制,會(huì)在給定的條件和時(shí)間產(chǎn)生中斷。為了規(guī)避這種防御機(jī)制,攻擊者會(huì)使用 sysctl 禁用 watchdog 功能。
禁用安全模塊
惡意 Shell 腳本通常會(huì)禁用 SElinux、Apparmor 等 Linux 安全模塊。這些安全模塊都實(shí)施強(qiáng)制訪問控制(MAC)策略,管理員可以通過模塊控制應(yīng)用程序的安裝/訪問權(quán)限。
(1) AppArmour
AppArmour 是 Linux 中的一項(xiàng)安全功能,用于鎖定 Firefox 等應(yīng)用程序提高系統(tǒng)安全性。用戶可以通過向某個(gè)應(yīng)用程序授予有限的權(quán)限來限制應(yīng)用程序的訪問。
(2) SElinux
SElinux 也是 Linux 的一項(xiàng)安全功能,安全管理員可以通過配置應(yīng)用程序限定安全上下文。在某些 Web 服務(wù)器上,Shell 功能會(huì)被禁用或被限制,攻擊者通常會(huì)繞過/禁用此功能。
修改 ACL
訪問控制列表(ACL)包含文件和程序的權(quán)限規(guī)則。文件系統(tǒng) ACL 控制那些用戶可以訪問那些文件,用戶擁有哪些權(quán)限。Linux 中的 setfacl 可用于修改、刪除 ACL。
更改屬性
Linux 中的 chattr 可用于設(shè)置/取消設(shè)置文件屬性,攻擊者會(huì)將惡意軟件設(shè)置為不可變,使用戶不能刪除惡意軟件。
重命名常用程序
實(shí)用程序 wget、curl 通常用于下載惡意文件,如果能夠修改程序名稱,監(jiān)控特定程序名稱的安全程序有可能就不會(huì)產(chǎn)生告警。
結(jié)論
攻擊者不斷使用更復(fù)雜、更新穎的方法進(jìn)行檢測(cè)規(guī)避,更完整、全面地監(jiān)控和記錄系統(tǒng)的活動(dòng)正變得越來越重要。建議所有人都應(yīng)該定期監(jiān)控不受信任的二進(jìn)制執(zhí)行產(chǎn)生的可疑進(jìn)程、可疑事件和可疑流量。一定要定期更新系統(tǒng)和固件,進(jìn)行安全升級(jí)。
IOC
- 39ac019520a278e350065d12ebc0c24201584390724f3d8e0dc828664fee6cae
- 1ad0104478301e73e3f49cdeb10f8c1a1d54bccf9248e34ff81352598f112e6b
- b60ffcc7153650d6a232b1cb249924b0c6384c27681860eb13b12f4705bc0a05
- 3b280a4017ef2c2aef4b3ed8bb47516b816166998462899935afb39b533890ad
- 7b6f7c48256a8df2041e8726c3490ccb6987e1a76fee947e148ea68eee036889
- d7c4693f4c36d8c06a52d8981827245b9ab4f63283907ef8c3947499a37eedc8
參考來源:Uptycs
