内存马
- webshell变迁
web服务器管理页面——>大马——>小马拉大马——>一句话木马——>加密一句话木马——>加密内存马
- 内存马
内存马:无文件马,是无文件攻击的一种常见手段。
无文件攻击:可以有效的躲避传统安全软件的检测,它们可以在系统的内存中远程加载执行,驻留在注册表中或滥用常用的白名单工具。无文件攻击技术允许攻击者访问系统,从而启用后续的恶意活动。攻击者可以破坏系统、提升特权或在网络上横向传播恶意代码。无文件威胁不会留下痕迹。 - webshell内存马
是在内存中写入恶意后门和木马并执行,达到远程控制web服务器的一类内存马,利用中间件的进程执行某些恶意代码,不会落地文件。
内存攻击者利用软件安全漏洞,构造恶意输入导致软件在处理输入数据时出现非预期错误,将输入数据写入内存中的某些特定敏感位置,从而劫持软件控制流、执行流,转而执行外部输入的指令代码,造成目标系统被获取远程控制,让内存马的攻击得以实现。 - 内存马分类
1、PHP内存马
2、python内存马
3、java内存马:seevlet-api类:filter型、servlet型、listener型
spring类:拦截器、controller型
java instrumentation类:agent型 - 内存马应急排查思路
1、先排查服务器web日志,查看是否有可疑web访问日志,如filter或listener类型的内存马,会有大量URL请求路径相同,参数不同,或者页面不存在但是返回200请求。
2、排查是否为中间件漏洞导致代码执行注入内存马,排查中间件的error.log日志查看是否有可疑的报错,根据注入事件和方法、根据业务使用的组件排查是否可能存在java代码执行漏洞以及是否存在webshell,排查框架漏洞,反序列化漏洞。
3、查看是否有类似哥斯拉、冰蝎特征的URL请求,哥斯拉和冰蝎的内存马注入流量特征与普通webshell的流量特征基本吻合
4、通过查找返回200的URL路径对比web目录下是否真实存在文件,如不存在大概率为内存马。
- 确认内存马的存在
日志分析:检查系统日志、Web服务器日志、应用日志等,寻找异常请求或行为。检查系统日志(如/var/log/下的日志文件)、Web服务器日志(如Apache、Nginx)和应用日志,寻找可疑请求或行为。检查系统是否存在异常进程、网络连接或资源占用。
进程监控:使用工具(如ps、top、netstat)检查异常进程或网络连接。
内存分析:使用内存分析工具(如Volatility)扫描内存中的恶意代码。
定位内存马
进程排查:
使用ps aux或htop查看所有进程,重点关注异常进程名、高CPU/内存占用的进程。
使用netstat -antp或ss -antp查看异常网络连接,尤其是与外部IP的连接。
文件排查:
检查/proc/[pid]/exe和/proc/[pid]/fd,查看进程对应的可执行文件和打开的文件描述符。
使用lsof -p [pid]查看进程打开的文件和网络连接。
内存注入检测:
使用工具(如GDB、Volatility)分析进程内存,查找可疑的代码段或注入的Shellcode。
检查是否有动态链接库(如.so或.dll)被恶意加载。 - 隔离受感染系统
网络隔离:立即将受感染的系统从网络中隔离,防止进一步扩散。
停止服务:停止相关服务(如Web服务器、数据库)以阻断攻击者的访问。 - 清除内存马
终止恶意进程:使用kill命令终止恶意进程。kill -9 [pid]
删除与内存马相关的恶意文件(如Web Shell、恶意脚本、动态链接库等)。使用find命令查找最近修改的文件:find / -mtime -1。
重启系统:重启系统以清除内存中的恶意代码。 - 修复漏洞
漏洞分析:分析攻击路径,找出被利用的漏洞。
补丁更新:应用相关补丁或更新,修复漏洞。
配置加固:加强系统配置,关闭不必要的服务和端口。 - 恢复系统
备份恢复:从干净的备份中恢复系统。
文件校验:校验系统文件,确保未被篡改。 - 监控与审计
实时监控:部署实时监控工具,检测异常行为。
日志审计:定期审计日志,发现潜在威胁。
工具推荐
进程监控:ps、top、htop
网络监控:netstat、ss、lsof
内存分析:Volatility、GDB
日志分析:ELK Stack(Elasticsearch, Logstash, Kibana)、Splunk
文件校验:md5sum、sha256sum、tripwire
预防措施
定期更新:及时更新系统和应用补丁。
最小权限:遵循最小权限原则,限制用户和进程的权限。
入侵检测:部署入侵检测系统(IDS)和入侵防御系统(IPS)。
安全培训:定期进行安全培训,提高员工的安全意识。
本文作者:予遂计划
本文链接:https://www.cnblogs.com/ysjh/p/18711658
版权声明:本作品采用知识共享署名-非商业性使用-禁止演绎 2.5 中国大陆许可协议进行许可。
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步