反弹Shell多维检测技术详解
发布网友
发布时间:2024-09-30 14:35
共1个回答
热心网友
时间:2024-11-20 19:41
根据历史分析,反弹Shell的使用率最高的是交互式Bash+/dev/tcp,因为其兼容性好且易于使用。紧随其后的是Python,随着Go语言的兴起,云上入侵事件开始出现Go反弹Shell。不同的语言组合形成多样的反弹Shell,因此,为了确保最优的检测效果,反弹Shell检测方案需要考虑多种场景。
常见的检测方法通过正则匹配提取反弹Shell命令特征,但这有不足。因此,需要从更深层次挖掘本质解决方法。反弹Shell的核心是网络通信、命令执行和重定向。攻击者利用这条通道下发指令控制受害服务器,形成多样的反弹Shell。
反弹Shell检测可以分为三类:通过重定向标准输入、输出到/dev/tcp Socket,检测可以通过检测标准输入输出是否被重定向或分析主机网络日志来实现。云安全中心已支持此类检测。
另一种是利用管道中转的反弹Shell,检测可以通过跟踪文件描述符(FD)与进程关系来实现。云安全中心也支持检测此类反弹Shell。
第三类反弹Shell使用频率较高,通过伪终端中转方式。这类检测难度大,除了从Shell标准输入输出进行检测,还需要结合进程、网络等*度信息进行综合分析。云安全中心已支持检测伪终端中转方式的反弹Shell。
为应对对抗程度上升,云安全中心采用*度交叉检测方案,包括进程特征覆盖、文件描述符分析、命令行为序列、异常Shell启动、二进制沙箱、脚本沙箱、流量特征覆盖、对抗行为检测共八项技术。除了上述检测技术,云安全中心还对混淆类样本进行动态解混淆检测,对JAR等打包类文件进行静态反编译和动态运行的*度判定,以及针对无文件类反弹Shell提供相应检测方案。
