内存马

  • webshell变迁
    web服务器管理页面——>大马——>小马拉大马——>一句话木马——>加密一句话木马——>加密内存马
  • 内存马
    内存马:无文件马,是无文件攻击的一种常见手段。
    无文件攻击:可以有效的躲避传统安全软件的检测,它们可以在系统的内存中远程加载执行,驻留在注册表中或滥用常用的白名单工具。无文件攻击技术允许攻击者访问系统,从而启用后续的恶意活动。攻击者可以破坏系统、提升特权或在网络上横向传播恶意代码。无文件威胁不会留下痕迹。
  • webshell内存马
    是在内存中写入恶意后门和木马并执行,达到远程控制web服务器的一类内存马,利用中间件的进程执行某些恶意代码,不会落地文件。
    内存攻击者利用软件安全漏洞,构造恶意输入导致软件在处理输入数据时出现非预期错误,将输入数据写入内存中的某些特定敏感位置,从而劫持软件控制流、执行流,转而执行外部输入的指令代码,造成目标系统被获取远程控制,让内存马的攻击得以实现。
  • 内存马分类
    1、PHP内存马
    2、python内存马
    3、java内存马:seevlet-api类:filter型、servlet型、listener型
    spring类:拦截器、controller型
    java instrumentation类:agent型
  • 内存马应急排查思路
    1、先排查服务器web日志,查看是否有可疑web访问日志,如filter或listener类型的内存马,会有大量URL请求路径相同,参数不同,或者页面不存在但是返回200请求。
    2、排查是否为中间件漏洞导致代码执行注入内存马,排查中间件的error.log日志查看是否有可疑的报错,根据注入事件和方法、根据业务使用的组件排查是否可能存在java代码执行漏洞以及是否存在webshell,排查框架漏洞,反序列化漏洞。
    3、查看是否有类似哥斯拉、冰蝎特征的URL请求,哥斯拉和冰蝎的内存马注入流量特征与普通webshell的流量特征基本吻合
    4、通过查找返回200的URL路径对比web目录下是否真实存在文件,如不存在大概率为内存马。
  1. 确认内存马的存在
    日志分析:检查系统日志、Web服务器日志、应用日志等,寻找异常请求或行为。检查系统日志(如/var/log/下的日志文件)、Web服务器日志(如Apache、Nginx)和应用日志,寻找可疑请求或行为。检查系统是否存在异常进程、网络连接或资源占用。
    进程监控:使用工具(如ps、top、netstat)检查异常进程或网络连接。
    内存分析:使用内存分析工具(如Volatility)扫描内存中的恶意代码。
    定位内存马
    进程排查:
    使用ps aux或htop查看所有进程,重点关注异常进程名、高CPU/内存占用的进程。
    使用netstat -antp或ss -antp查看异常网络连接,尤其是与外部IP的连接。
    文件排查:
    检查/proc/[pid]/exe和/proc/[pid]/fd,查看进程对应的可执行文件和打开的文件描述符。
    使用lsof -p [pid]查看进程打开的文件和网络连接。
    内存注入检测:
    使用工具(如GDB、Volatility)分析进程内存,查找可疑的代码段或注入的Shellcode。
    检查是否有动态链接库(如.so或.dll)被恶意加载。
  2. 隔离受感染系统
    网络隔离:立即将受感染的系统从网络中隔离,防止进一步扩散。
    停止服务:停止相关服务(如Web服务器、数据库)以阻断攻击者的访问。
  3. 清除内存马
    终止恶意进程:使用kill命令终止恶意进程。kill -9 [pid]
    删除与内存马相关的恶意文件(如Web Shell、恶意脚本、动态链接库等)。使用find命令查找最近修改的文件:find / -mtime -1。
    重启系统:重启系统以清除内存中的恶意代码。
  4. 修复漏洞
    漏洞分析:分析攻击路径,找出被利用的漏洞。
    补丁更新:应用相关补丁或更新,修复漏洞。
    配置加固:加强系统配置,关闭不必要的服务和端口。
  5. 恢复系统
    备份恢复:从干净的备份中恢复系统。
    文件校验:校验系统文件,确保未被篡改。
  6. 监控与审计
    实时监控:部署实时监控工具,检测异常行为。
    日志审计:定期审计日志,发现潜在威胁。

工具推荐
进程监控:ps、top、htop
网络监控:netstat、ss、lsof
内存分析:Volatility、GDB
日志分析:ELK Stack(Elasticsearch, Logstash, Kibana)、Splunk
文件校验:md5sum、sha256sum、tripwire
预防措施
定期更新:及时更新系统和应用补丁。
最小权限:遵循最小权限原则,限制用户和进程的权限。
入侵检测:部署入侵检测系统(IDS)和入侵防御系统(IPS)。
安全培训:定期进行安全培训,提高员工的安全意识。

本文作者:予遂计划

本文链接:https://www.cnblogs.com/ysjh/p/18711658

版权声明:本作品采用知识共享署名-非商业性使用-禁止演绎 2.5 中国大陆许可协议进行许可。

posted @   予遂计划  阅读(20)  评论(0编辑  收藏  举报
点击右上角即可分享
微信分享提示
💬
评论
📌
收藏
💗
关注
👍
推荐
🚀
回顶
收起
  1. 1 404 not found REOL
404 not found - REOL
00:00 / 00:00
An audio error has occurred.