最新公告
  • 欢迎您光临悠哉网,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • 恶意shell脚本进化史

    恶意shell脚本进化史

    Unix系统中使用shell 脚本作为执行文件中的多个Linux 命令的方式。许多用户都会用shell 脚本来作为日常批量操作文件、执行程序和打印文本的方式。

    因为每个unix 机器中都有一个shell 翻译器,因此也成为恶意攻击者滥用的动态工具。研究人员之前就分析过通过shell 脚本来部署payload 来滥用错误配置的 Redis 实例、暴露Docker API、移除加密货币挖矿机的恶意活动。本文介绍攻击者在攻击活动中使用 shell 脚本的几种方式。

    命令和编程技术的变化

    滥用命令行翻译器技术其实是非常常见和被广泛使用的一种技术。但研究人员最近注意到脚本的一些变化。

    过去,恶意shell 脚本会将简单命令和部署payload 的明文链接直接组合起来。但是,最近研究人员发现恶意攻击者开始使用一些攻击的命令和编程技术了。

    恶意shell脚本进化史

    图 1 linux shell 脚本的进化:从明文(左)进化到base64编码的payload(右)

    从图中可以看出,明文链接被base64 编码的文本所替代,其中部分代码是下载或编码的payload 。这是通过隐藏直接payload 链接、绕过用于识别的安全规则、使得分析变得更加困难等方式来实现的。

    恶意shell脚本进化史

    图 2. 用base64 编码来替换代码

    恶意shell脚本进化史

    图 3. 解码后的base64 编码的payload

    令都会执行,而不会考虑服务器上运行的目标服务。但是现在脚本可以检查服务器上有没有运行特定的服务,并未payload 保留CPU 时间。还可以与base64 编码的新版本一起执行,还可以替换特定链接中的变量。

    恶意shell脚本进化史

    图 4. 卸载服务而不检查服务是否安装的命令

    恶意shell脚本进化史

    图 5. 发现服务后卸载服务的命令 

    恶意shell脚本进化史

    图 6. 被变量替换的wget URL

    研究人员还注意到攻击者使用Pastebin 来保存脚本的部分内容,比如在URL 中和整个payload或helper 应用中,在例子中,会释放一个XMRig 加密货币挖矿机。

    恶意shell脚本进化史

    图 7. Base64 编码的config 和 Pastebin URL

    恶意shell脚本进化史

    图 8. Base64编码的 XMrig

    结论

    恶意攻击者在不断地改善和优化其攻击技术和方法,比如让shell 脚本拥有混淆和传递payload的能力。为了最大化利益和绕过检测,攻击者会使用一些之前其他操作系统中发现过的技术,并与这些新技术(系统)相融合。虽然一些技术之前在恶意软件环境中已经出现过了,但是在shell脚本中还是比较新的。

    过去,大多数的payload 都是明文部署的,而且只针对特定的任务。现在,shell脚本中已经开始出现混淆机制了。由于恶意软件开发者想要隐藏其真实的payload,因此,未来可能会有更多的混淆技术出现。随着shell脚本的发展以及在传播payload 中的应用,这种趋势值得注意。

    本文翻译自:https://www.trendmicro.com/en_us/research/20/i/the-evolution-of-malicious-shell-scripts.html如若转载,请注明原文地址

    1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
    2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
    3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
    4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
    5. 如有链接无法下载、失效或广告,请联系管理员处理!
    6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
    7. 如遇到加密压缩包,默认解压密码为"www.yoozai.net",如遇到无法解压的请联系管理员!
    悠哉网 » 恶意shell脚本进化史

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    悠哉网 WWW.YOOZAI.NET
    悠哉网,用户消费首选的网站,喜欢你就悠哉一下。

    发表评论

    • 699会员总数(位)
    • 5248资源总数(个)
    • 109本周发布(个)
    • 10 今日发布(个)
    • 212稳定运行(天)

    提供最优质的资源集合

    立即查看 了解详情