准备
测试环境:ubuntu-22.04.3
测试软件:StellConceal、chronyd-test
其中 StellConceal 是一个 eBPF 程序,chronyd-test 则是 Supershell 马。
在 /tmp 目录下有后渗透相关工具,其中 chronyd-dir 是保存其他工具目录,chronyd-fs 是 fscan,chronyd-txt 是其他文本文件。
值得注意的是,这些和后渗透相关的工具都是以 chronyd-
为前缀命名的。
进入隐匿命名空间
利用 StellConceal 运行 bash,进入一个隐匿空间,
./StellConceal bash
在隐匿空间中运行 chronyd-test 马,
Supershell 这边正常上线。
隐匿作战文件
在 Supershell 中进入会话,可以正常看见后渗透程序、目录、文件,
但是在服务器上直接查看,是看不见以 chronyd-
为前缀命名的相关文件、程序、目录的。
当在非隐匿命名空间中执行命令,命令中含有以 chronyd-
为前缀命名的文件则该命令无法执行。
因为只有 Supershell 的会话是处于隐匿命名空间中的,其他不处于该空间的进程不能操作相关文件(以 chronyd-
为前缀命名)。
隐匿网络连接
在 Supershell 中进入会话,可以正常看见马子的网络通信,
但是在服务器上直接查看,只能看见伪造后的网络,
隐匿相关进程
在 Supershell 中进入会话,可以正常看见相关进程,
但是在服务器上无法查看到,
并且在 Supershell 会话中创建其他进程,
服务器上仍然无法查看到,
原文始发于微信公众号(安全小将李坦然):利用 eBPF 隐匿后渗透相关操作 篇一
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论