恶意shell脚本进化史
Unix系统中使用shell 脚本作为执行文件中的多个Linux 命令的方式。许多用户都会用shell脚本来作为日常批量操作文件、执行程序和打印文本的方式。
因为每个unix 机器中都有一个shell 翻译器,因此也成为恶意攻击者滥用的动态工具。研究人员之前就分析过通过shell 脚本来部署payload来滥用错误配置的 Redis 实例、暴露Docker API、移除加密货币挖矿机的恶意活动。本文介绍攻击者在攻击活动中使用 shell 脚本的几种方式。
命令和编程技术的变化
滥用命令行翻译器技术其实是非常常见和被广泛使用的一种技术。但研究人员最近注意到脚本的一些变化。
过去,恶意shell 脚本会将简单命令和部署payload 的明文链接直接组合起来。但是,最近研究人员发现恶意攻击者开始使用一些攻击的命令和编程技术了。
图 1 linux shell 脚本的进化:从明文(左)进化到base64编码的payload(右)
从图中可以看出,明文链接被base64 编码的文本所替代,其中部分代码是下载或编码的payload 。这是通过隐藏直接payload链接、绕过用于识别的安全规则、使得分析变得更加困难等方式来实现的。
图 2. 用base64 编码来替换代码
图 3. 解码后的base64 编码的payload
令都会执行,而不会考虑服务器上运行的目标服务。但是现在脚本可以检查服务器上有没有运行特定的服务,并未payload 保留CPU 时间。还可以与base64编码的新版本一起执行,还可以替换特定链接中的变量。
图 4. 卸载服务而不检查服务是否安装的命令
图 5. 发现服务后卸载服务的命令
图 6. 被变量替换的wget URL
研究人员还注意到攻击者使用Pastebin 来保存脚本的部分内容,比如在URL 中和整个payload或helper 应用中,在例子中,会释放一个XMRig加密货币挖矿机。
图 7. Base64 编码的config 和 Pastebin URL
图 8. Base64编码的 XMrig
结论
恶意攻击者在不断地改善和优化其攻击技术和方法,比如让shell脚本拥有混淆和传递payload的能力。为了最大化利益和绕过检测,攻击者会使用一些之前其他操作系统中发现过的技术,并与这些新技术(系统)相融合。虽然一些技术之前在恶意软件环境中已经出现过了,但是在shell脚本中还是比较新的。
过去,大多数的payload都是明文部署的,而且只针对特定的任务。现在,shell脚本中已经开始出现混淆机制了。由于恶意软件开发者想要隐藏其真实的payload,因此,未来可能会有更多的混淆技术出现。随着shell脚本的发展以及在传播payload中的应用,这种趋势值得注意。
本文翻译自:https://www.trendmicro.com/en_us/research/20/i/the-evolution-of-malicious-shell-scripts.html如若转载,请注明原文地址
推荐系统
番茄花园 Windows 10 极速企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10新萝卜家园电脑城专用系统 Windows10 x86 企业版 版本1507 2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(64位) 提供下载
语言:中文版系统大小:3.98GB系统类型:Win10雨林木风 Windows10 x64 企业装机版 版本1903 2022年7月(64位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10深度技术 Windows 10 x64 企业版 电脑城装机版 版本1903 2022年7月(64位) 高速下载
语言:中文版系统大小:3.98GB系统类型:Win10电脑公司 装机专用系统Windows10 x64 企业版2022年7月(64位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新雨林木风 Windows10 x86 企业装机版2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.15GB系统类型:Win10
相关文章
- 微软GitHub账号被黑,500GB数据被窃取
- Win10系统下txt文件打不开怎么办?
- 教你了解无线网络技术中的故障分析与解决方法
- ColonialPipeline 油管事件后续,美国追回价值数百万的加密货币
- 显示器颜色不正常、偏色的原因与解决办法
- 校准显示器
- 电脑反应速度卡慢怎么办?有效解决办法
- 如何创建一个空文件
- 那些默默坑了大家十年的路由器漏洞大盘点
- 亚马逊花10亿美金收购的Ring,正协助美国2000多个警察和消防部门调查
- F-Secure Internet Gatekeeper堆溢出RCE漏洞分析
- 电脑老是断网怎么办 快速修复网络的方法【解决方法】
- 在xp系统中,为什么浏览器自动弹出拨号连接窗口?
- 关于智能投影要火的3个假象
热门系统
热门文章
常用系统
- 1电脑公司Ghost Win7 Sp1 装机万能版2020年5月(32位) 提供下载
- 2电脑公司 GhostXpSp3 六一节 电脑城装机版 2021年6月 ISO镜像高速下载
- 3深度技术Ghost Win7 x64 Sp1 电脑城装机版2018年4月(64位) 提供下载
- 4深度技术 Windows 10 x86 企业版 电脑城装机版2019年12月(32位) ISO镜像免费下载
- 5新萝卜家园 GhostWin7 SP1 电脑城极速稳定版2022年5月(32位) ISO镜像高速下载
- 6雨林木风 Windows10 x64 企业装机版2021年2月(64位) ISO镜像高速下载
- 7番茄花园 Ghost XP SP3 海量驱动装机版 2019年10月 ISO镜像高速下载
- 8笔记本&台式机专用系统 Windows10 企业版 2018年5月(32位) ISO镜像快速下载
- 9新萝卜家园Ghost Win8.1 X64位 纯净版2020年1月(自动激活) ISO镜像高费下载