恶意shell足DDoS防御本进化史-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 恶意shell足DDoS防御本进化史

恶意shell足DDoS防御本进化史

小墨安全管家 2020-09-28 12:05 CC防护 89 ℃
DDoS防御

过去,恶意shell 足本会将简单命令和部署payload 的明文链接直截了当组合起来。然而,最近研究人员发觉恶意攻击者开始使用一些攻击的命令和编程技术了。

令都会执行,而不大概思量服务器上运行的目标服务。然而如今足本能够检查服务器上有没有运行特定的服务,并未payload 保留CPU 时刻。还能够与base64 编码的新版本一起执行,还能够替换特定链接中的变量。

恶意shell脚DDoS谨防本进化史

恶意shell脚DDoS谨防本进化史

图 7. Base64 编码的config 和 Pastebin URL

Unix系统中使用shell 足本作为执行文件中的多个Linux 命令的方式。很多用户都会用shell 足本来作为日常批量操作文件、执行程序和打印文本的方式。

恶意shell脚DDoS谨防本进化史

图 4. 卸载服务而不检查服务是否安装的命令

研究人员还注意到攻击者使用Pastebin 来保存足本的部分内容,比如在URL 中和整个payload或helper 应用中,在例子中,会释放一具XMRig 加密货币挖矿机。

滥用命令行翻译器技术事实上是很常见和被广泛使用的一种技术。但研究人员最近注意到足本的一些变化。

图 6. 被变量替换的wget URL

恶意shell脚DDoS谨防本进化史

图 2. 用base64 编码来替换代码

图 1 linux shell 足本的进化:从明文(左)进化到base64编码的payload(右)

图 8. Base64编码的 XMrig

从图中能够看出,明文链接被base64 编码的文本所替代,其中部分代码是下载或编码的payload 。这是经过躲藏直截了当payload 链接、绕过用于识别的安全规则、使得分析变得更加艰难等方式来实现的。

过去,大多数的payload 基本上明文部署的,而且只针对特定的任务。如今,shell足本中基本开始浮上混淆机制了。由于恶意软件开辟者想要躲藏其真实的payload,所以,今后大概会有更多的混淆技术浮上。随着shell足本的进展以及在传播payload 中的应用,这种趋势值得注意。

恶意shell脚DDoS谨防本进化史

恶意攻击者在不断地改善和优化其攻击技术和想法,比如让shell 足本拥有混淆和传递payload的能力。为了最大化利益和绕过检测,攻击者会使用一些之前其他操作系统中发觉过的技术,并与这些新技术(系统)相融合。尽管一些技术之前在恶意软件环境中基本浮上过了,然而在shell足本中依旧比较新的。

恶意shell脚DDoS谨防本进化史

恶意shell脚DDoS谨防本进化史

图 3. 解码后的base64 编码的payload

结论

图 5. 发觉服务后卸载服务的命令 

因为每个unix 机器中都有一具shell 翻译器,所以也成为恶意攻击者滥用的动态工具。研究人员之前就分析过经过shell 足本来部署payload 来滥用错误配置的 Redis 实例、暴露Docker API、移除加密货币挖矿机的恶意活动。本文介绍攻击者在攻击活动中使用 shell 足本的几种方式。

命令和编程技术的变化

恶意shell脚DDoS谨防本进化史

恶意shell脚DDoS谨防本进化史


DDoS防御

当前位置:主页 > CC防护 > 恶意shell足DDoS防御本进化史

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119