Skrip Shell Linux Berbahaya Digunakan untuk Menghindari Pertahanan

  • Whatsapp
Skrip Shell Linux Berbahaya Digunakan untuk Menghindari Pertahanan

 

Metode pengelakan penyerang merentang kembali ke masa ketika base64 dan skema pengkodean populer lainnya digunakan.
Metode dan teknik skrip shell Linux baru sedang digunakan oleh penyerang saat ini untuk menonaktifkan firewall, memantau agen, dan mengubah daftar kontrol akses (ACL). Teknik skrip shell mengelak yang umum adalah:
1.Mencopot pemasangan agen pemantau
Agen pemantauan adalah elemen perangkat lunak yang melacak proses sistem dan aktivitas jaringan secara teratur. Agen pemantauan juga menghasilkan berbagai log, yang berguna selama penyelidikan insiden.
Skrip berbahaya, ditemukan di kotak pasir berbasis osquery, mencoba untuk menghapus instalan agen pemantauan terkait cloud Aegis (agen pendeteksi ancaman Alibaba Cloud) dan menghentikan layanan Aliyun. Itu juga mencoba untuk menghapus YunJing, agen keamanan host dari Tencent dan agen manajemen klien BCM, yang umumnya diinstal pada Endpoint untuk mitigasi risiko.
2.Menonaktifkan Firewall dan Interupsi
Sebagai tindakan defensif, sebagian besar sistem dan server menggunakan firewall. Sebagai teknik penghindaran pertahanan, perangkat lunak berbahaya mencoba untuk menonaktifkan firewall, yaitu firewall tanpa gangguan (ufw). Selain itu, penyerang menghapus aturan iptables (iptables -F), yang biasanya digunakan pada komputer dan server Linux untuk mengontrol aturan firewall.
Instruksi tersebut juga dimanfaatkan oleh penyerang untuk menonaktifkan Non-maskable Interrupts (nmi). Watchdog adalah sistem pengatur waktu yang dapat dikonfigurasi yang menciptakan gangguan ketika kondisi dan waktu tertentu terpenuhi. Pengendali interupsi pengawas nmi akan menghentikan proses yang menyebabkan sistem membeku jika terjadi pembekuan sistem. Untuk mengatasi pertahanan ini, penyerang menonaktifkan fitur pengawas menggunakan perintah sysctl atau menonaktifkannya untuk sementara dengan menetapkan nilai ke ‘0’.
3.Menonaktifkan Modul Keamanan Linux (LSM)
Komponen keamanan seperti SElinux dan Apparmor juga dinonaktifkan oleh skrip shell berbahaya. Modul-modul ini digunakan untuk menetapkan kebijakan MAC (kontrol akses wajib). Modul-modul ini mungkin dengan mudah dikonfigurasi oleh administrator server untuk memberi pengguna akses terbatas ke program yang diinstal atau berjalan di sistem.
-AppArmour: AppArmour adalah fitur keamanan Linux yang memungkinkan pengguna untuk mengunci aplikasi seperti Firefox untuk perlindungan tambahan. Dalam pengaturan default Ubuntu, pengguna dapat membatasi program dengan memberikan izin terbatas.
– SElinux: SElinux adalah fitur keamanan Linux yang memungkinkan administrator keamanan untuk menyebarkan konteks keamanan ke aplikasi dan layanan tertentu. Shell diblokir atau dibatasi di berbagai server web, oleh karena itu penyerang RCE (Remote Code Execution) umumnya mem-bypass/menonaktifkannya.
4.Memodifikasi ACL
Panduan untuk memberikan hak pada file dan utilitas terdapat dalam ACL, atau Daftar Kontrol Akses. ACL pada sistem file memberi tahu sistem operasi pengguna mana yang berwenang untuk mengakses sistem dan hak apa yang mereka miliki. Di Linux, program setfacl digunakan untuk mengubah dan menghapus ACL.
5.Mengubah Atribut
Di Linux, chattr digunakan untuk mengatur dan menghapus berbagai karakteristik file. Penyerang menggunakan ini untuk melindungi file mereka yang dijatuhkan atau membuat file mereka permanen sehingga tidak dapat dihapus oleh pengguna.
6.Mengganti nama utilitas umum
Utilitas umum seperti wget dan curl digunakan dengan berbagai nama di salah satu skrip berbahaya. Program-program ini sering digunakan untuk memperoleh file dari alamat IP yang jauh. Alat ini digunakan oleh penyerang untuk mengunduh file berbahaya dari C2.
Jika wget dan curl digunakan dengan nama yang berbeda, beberapa sistem keamanan yang melacak nama utilitas yang tepat mungkin tidak memicu peristiwa unduhan.
-Deteksi EDR oleh Uptycs
Skrip berbahaya ini ditemukan dengan tingkat ancaman 10/10 oleh Uptycs EDR menggunakan pemindaian proses YARA.
Karena penyerang menggunakan teknik penghindaran yang lebih kompleks dan baru, menjadi lebih penting dari sebelumnya untuk melacak dan mendokumentasikan apa yang terjadi dalam sistem. Sesuai dengan Ancaman Post, saran berikut direkomendasikan:
-Memantau proses, peristiwa, dan lalu lintas jaringan yang mencurigakan yang dihasilkan dari eksekusi biner yang tidak tepercaya secara teratur.
-Selalu perbarui sistem dan firmware Anda dengan perbaikan dan rilis terbaru.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *