怎么使用命令行对无DDoS防御文件恶意软件举行取证-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 怎么使用命令行对无DDoS防御文件恶意软件举行取证

怎么使用命令行对无DDoS防御文件恶意软件举行取证

小墨安全管家 2020-07-23 13:36 CC防护 89 ℃
DDoS防御

攻击经过SSH将bindshell后门发送到目标靶机并举行执行。运行后代码将在靶机上驻留并打开一具侦听端口等待连接,入侵者能够在远程主机上执行的任意命令。

特别多人大概会忽略在Linux上,当你启动一具进程时,它通常会附加一系列环境变量。在大多数事情下,由用户启动的任何进程都会出如今那个地点。我们试图经过查看/proc/ /environ文件夹猎取进程信息。

memfd_create()无文件攻击

该文件被恢复到/tmp/malware.recovered下。您能够像以前一样对恶意样本举行分析,还能够为二进制文件生成hash值:sha1sum exesha1sum /tmp/malware.recovered

即便二进制文件没有在磁盘上存在,然而我们仍能够很便捷的恢复注入的二进制文件。具体的操作细节我基本在对于恢复已删除的二进制文件的文章中举行了全面介绍,在那个地点只举行简述。

快速检测无文件Linux攻击

使用Comm和Cmdline参数寻找躲藏的Linux进程

如何使用命令行对无DDoS谨防文件恶意软件进行取证

经过netstat命令,我们注意到了一具反常的tcp端口,该端口的进程名也特别奇怪:netstat -nalp

假如攻击者基本使用了完备的方案实现了对二进制文件的躲藏,这么以下的策略大概会失效。然而关于常见的攻击,使用这种想法是快速有效的。

5.comm文件内容惟独一具字符长。

最重要的一点是,在Linux上,除了少数用例外,具有deleted标记的二进制文件的进程通常是恶意的。而且,该进程不仅被删除,还指向一具很不平常的位置了/memfd:这是攻击所使用的内存文件描述符。

1.执行二进制文件后从磁盘删除自身。

如何使用命令行对无DDoS谨防文件恶意软件进行取证

既然我们的恶意软件是经过SSH传入的,纵使攻击者设法清理的有关IP地址的日志,然而启动进程时依旧会留下蛛丝马迹。

执行命令后显示了以下名目条目:lrwxrwxrwx 1 root root 0 Jul 8 23:37 /proc/14667/exe -> /memfd: (deleted)在路径中,进程的ID(PID)为14667,这是我们需要重点关注的对象。

运行此命令后,正常事情下不应有任何回响。假如您看到有任何结果返回,则应即将调查该过程。固然有时会有误报的风险,然而关于这种类型的攻击,特别少见到(假如有示例,请与我们联系)。

进程名目列表

在进程名目中,我们能够使用ls命令列出文件夹中的内容。Linux内核将实时构建名目,并向我们显示很多有价值的信息。ls -al

经过进程映射来验证二进制名称

其实,Linux并不大概刻意躲藏任何信息。它们就像屋檐上的观看者一样,或者就像我们在Sandfly上所讲的那么:试图躲藏正是一种入侵的特征。

/proc/[pid]/maps文件能够显示进程的内存区域映射信息。在那个地点也能够找到二进制名称,以及运行时正在使用的其他库文件。通常,该文件的第一部分包含对正在运行的二进制文件的引用(例如/usr/bin/vi)。然而在文件中,我们再一次看到了对/memfd: (deleted)的奇怪引用。

comm和cmdline文件显示以下内容:

在/ proc名目下的comm和cmdline文件会记录进程的命令名和进程的完整命令行信息,这是一具特别好的切入点。

如何使用命令行对无DDoS谨防文件恶意软件进行取证

6.进程当前的工作名目位于/ root下。

4.comm和cmdline文件中没有引用相同的命令名。

7.进程试图链接已被删除的/memfd位置,而不是合法的二进制路径。

我们在进程列表中,看到它的进程名为[kwerker/0:sandfly],这将关心它躲藏在具有相似名称的合法进程中。您能够在上面的列表中看到,假如不使用sandfly标识符举行命名,我们的确特别难发觉它。

当启动进程时含有参数时,会在各个参数中使用字符’’举行分割。于是当我们使用cat命令查看cmdline文件内容时,只能打印出第一具参数,即进程名。于是我们能够使用cat命令查看comm文件,使用strings命令来查看cmdline文件。cat commstrings cmdline

3.使用诸如ptrace()之类的系统调用附加到正在运行的进程,并将代码插入内存空间执行。

9.恶意软件是经过SSH传入的

1.可疑的可执行文件的路径。

收集到的信息

使用命令行举行攻击取证

在本篇文章中,我们将讨论怎么检测最终一具攻击向量。

如何使用命令行对无DDoS谨防文件恶意软件进行取证

cat maps

如何使用命令行对无DDoS谨防文件恶意软件进行取证

如何使用命令行对无DDoS谨防文件恶意软件进行取证

在最近的几年,Linux面临的一具日益严峻的威胁—-基于无文件降地型的恶意软件。无文件恶意软件是指将自身注入到正在运行的Linux系统中,同时不大概在磁盘上留下任何痕迹。如今基本有多种手法能够实现无文件攻击:

如上图所示,该进程的PID为14667。下一步经过PS命令查看该进程一些具体信息:ps -auxw

2.在不写入磁盘的事情下直截了当将代码注入正在运行的服务器(例如,在PHP服务器经过易受攻击的输入来运行PHP代码)。

针对文章中演示的示例能够经过一具简单的ls和grep命令举行检测:ls -alR /proc/*/exe 2> /dev/null | grep memfd:.*(deleted)


DDoS防御

当前位置:主页 > CC防护 > 怎么使用命令行对无DDoS防御文件恶意软件举行取证

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119