利用 eBPF 隐匿后渗透相关操作 篇一

admin 2024年7月15日17:23:20评论30 views字数 684阅读2分16秒阅读模式

准备

测试环境:ubuntu-22.04.3

测试软件:StellConceal、chronyd-test

其中 StellConceal 是一个 eBPF 程序,chronyd-test 则是 Supershell 马。

利用 eBPF 隐匿后渗透相关操作 篇一

在 /tmp 目录下有后渗透相关工具,其中 chronyd-dir 是保存其他工具目录,chronyd-fs 是 fscan,chronyd-txt 是其他文本文件。

利用 eBPF 隐匿后渗透相关操作 篇一

值得注意的是,这些和后渗透相关的工具都是以 chronyd- 为前缀命名的。

 

进入隐匿命名空间

利用 StellConceal 运行 bash,进入一个隐匿空间,

./StellConceal bash

利用 eBPF 隐匿后渗透相关操作 篇一

在隐匿空间中运行 chronyd-test 马,利用 eBPF 隐匿后渗透相关操作 篇一

Supershell 这边正常上线。利用 eBPF 隐匿后渗透相关操作 篇一

 

隐匿作战文件

在 Supershell 中进入会话,可以正常看见后渗透程序、目录、文件,利用 eBPF 隐匿后渗透相关操作 篇一

但是在服务器上直接查看,是看不见以 chronyd- 为前缀命名的相关文件、程序、目录的。利用 eBPF 隐匿后渗透相关操作 篇一

当在非隐匿命名空间中执行命令,命令中含有以 chronyd- 为前缀命名的文件则该命令无法执行。利用 eBPF 隐匿后渗透相关操作 篇一

因为只有 Supershell 的会话是处于隐匿命名空间中的,其他不处于该空间的进程不能操作相关文件(以 chronyd- 为前缀命名)。

隐匿网络连接

在 Supershell 中进入会话,可以正常看见马子的网络通信,利用 eBPF 隐匿后渗透相关操作 篇一

但是在服务器上直接查看,只能看见伪造后的网络,利用 eBPF 隐匿后渗透相关操作 篇一

隐匿相关进程

在 Supershell 中进入会话,可以正常看见相关进程,利用 eBPF 隐匿后渗透相关操作 篇一

但是在服务器上无法查看到,利用 eBPF 隐匿后渗透相关操作 篇一

并且在 Supershell 会话中创建其他进程,利用 eBPF 隐匿后渗透相关操作 篇一

服务器上仍然无法查看到,利用 eBPF 隐匿后渗透相关操作 篇一

原文始发于微信公众号(安全小将李坦然):利用 eBPF 隐匿后渗透相关操作 篇一

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月15日17:23:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   利用 eBPF 隐匿后渗透相关操作 篇一https://cn-sec.com/archives/2777911.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息