反弹是shell攻击者拿来控制目标网站服务器的1种方式。目标网站服务器主动发出网络连接请求,将网站服务器命令执行的规范输入、规范输出和规范错误重定向给攻击者。通过监听来自目标网站服务器的请求,攻击者向目标服务器发送指令并获得执行结果。它通常用于目标网站服务器位于内部网、受防火墙策略限制等入侵场景。
云上的现状
通过分析云上近三年的Linux网站服务器入侵恶性事件,反弹shell建立的语言和软件在攻击环节的利用率如下:interactivebash官网+/dev/tcp是最常用的反弹shell,/dev/tcp/是bash的默认特性,这使得这种反弹方式兼容大多数环境,因此利用率高;其次是Python,兼容性好,灵活易用。随着围棋语言的兴起,云上的入侵恶性事件开始以围棋弹壳的形式出现。可见反弹壳的建立是灵活多样的,每种语言都可以进一步扩展和拓展。因此,为了保证最佳的检测效果,平衡假阳性和假阳性,弹壳的检测方案需要考虑多种场景因素。
常见的检测方案通过规则匹配提取反弹shell命令的特征来匹配命令日志和流量日志,存在以下缺陷:
命令日志收集未完成。例如,当遇到管道符号和重定向时,netlink收集的日志将无法收集完整的原始执行命令。但是,当网站服务器使用zsh、ksh等其他shell环境,或者攻击者上传自己编译的bash时,patchbash官网记录命令日志会失败;规律性掩盖不了无休止的文字对抗,攻击者总能挖掘出新的方法绕过它。在实际的业务场景中,太多复杂的规律带来性能压力,而更多多用途的规律带来误报;网络流量加密后,特征匹配失败。
测试需要从外到内挖掘出更实质的解决方案,因为表面对抗是无止境的。从检测的角度来看,反弹壳可以分为几种典型类型吗?回弹shell的实质可以理解为:命令执行和网络通信通过重定向的方式建立一个流动的数据通道,攻击者利用这个通道控制网站服务器发出指令。不同的建立方式结合起来形成多种反弹外壳,比如:网络通信可以使用TCP/UDP/ICMP等协议,TCP协议可以细分为HTTP/HTTPS协议,UDP包含DNS等等;命令执行可以通过调用shell解释器、glibc库、Syscall来建立;重定向,在本文中我们称之为“transit”,可以通过管道、成对伪终端、内存文件等来建立。
还没有评论,来说两句吧...