Linux平台上的后台攻击者通常使用恶意shell脚本作为初始攻击向量,将恶意负载拉到受感染的主机上执行。最初,攻击者仅使用base64等编码方案来规避检测。目前,攻击者正在使用更新的技术,包括禁用防火墙和监控代理以逃避检测。本文将以一个Shell脚本文件(5050506ad2ccea35fe3b7aba63c4f413)为例进行分析。卸载MonitoringAgentMonitoringAgent是一款监控系统中进程和网络相关活动的安全软件。MonitoringAgent记录各种日志,这在事件调查和分析过程中很有帮助。恶意shell脚本试图:卸载阿里云的神盾卸载腾讯云的云景关闭防火墙大多数服务器都部署了防火墙作为防御机制,因此攻击者会尝试在恶意shell脚本中关闭防火墙(ufw)。同时攻击者也会清除iptables的规则。攻击者还禁用基于不可屏蔽中断(nmi)实现的看门狗。看门狗是一种可配置的计时器机制,可在给定条件和时间生成中断。为了绕过这种防御机制,攻击者会使用sysctl来禁用看门狗功能。禁用安全模块恶意shell脚本通常会禁用Linux安全模块,如SElinux、Apparmor等。这些安全模块实施强制访问控制(MAC)策略,管理员可以通过该策略控制应用程序的安装/访问权限。(1)AppArmourAppArmour是Linux中的一项安全特性,用于锁定Firefox等应用程序,提高系统安全性。用户可以通过向应用程序授予有限权限来限制应用程序的访问。(2)SElinuxSElinux也是Linux的一个安全功能,安全管理员可以通过配置应用程序来限制安全上下文。在某些Web服务器上,shell功能被禁用或受限,攻击者通常会绕过/禁用此功能。修改ACL访问控制列表(ACL)包含文件和程序的权限规则。文件系统ACL控制哪些用户可以访问哪些文件以及用户拥有哪些权限。Linux中的setfacl可以用来修改和删除ACL。更改属性Linux中的chattr可用于设置/取消设置文件属性,攻击者会使恶意软件不可变,以便用户无法删除恶意软件。重命名常用程序Utilitieswget、curl通常用于下载恶意文件,如果可以修改程序名称,监控特定程序名称的安全程序可能不会产生警报。结论随着攻击者继续使用更复杂和新颖的方法来规避检测,更完整、更全面地监控和记录系统活动变得越来越重要。建议所有人定期监控由不受信任的二进制执行产生的可疑进程、可疑事件和可疑流量。请务必定期更新系统和固件以进行安全升级。IOC39ac019520a278e350065d12ebc0c24201584390724f3d8e0dc828664fee6cae1ad0104478301e73e3f49cdeb10f8c1a1d54bccf9248e34ff81352598f112e6bb60ffcc7153650d6a232b1cb249924b0c6384c27681860eb13b12f4705bc0a053b280a4017ef2c2aef4b3ed8bb47516b816166998462899935afb39b533890ad7b6f7c48256a8df2041e8726c3490ccb6987e1a76fee947e148ea68eee036889d7c4693f4c36d8c06a52d8981827245b9ab4f63283907ef8c3947499a37eedc8参考来源:Uptycs
