流量检测如何实锤远程代码执行反弹shell成功

启明星辰金睛安全研究团队 2020-06-01

1042

通常在渗透中挖掘到了远程代码执行漏洞，攻击者会利用漏洞执行操作系统命令获得系统相关信息，也可写入webshel或者是直接反弹shell到攻击者监听的服务器。

上述的攻击行为也都是有特征可以做检测的，但是仅仅依据特征检测通常只能检测到探测攻击，每台流量检测设备每天的探测日志是海量的，安全运营人员很难从中获得价值信息。如果通过引擎关联上反弹shell的特征以及成功以后的后续动作即可去判断攻击成功服务器沦陷。以bash反弹shell为例：

被攻击的服务器执行代码成功后会反弹shell到172.16.50.123的2333端口：

获得shell后执行命令：

检测的思路可根据相关特征把目标ip以及目标端口做缓存，受害资产做源ip地址，此三元组关联一秒内发出的tcp请求即可判断攻击成功：

此类检测优点是能直观帮助安全运营人员实锤攻击成功且服务器沦陷，避免海量日志带来的苦恼，以便作出进一步的应急动作。

缺点是需要引擎支持跨流检测。同时对于正向的特征做好匹配也是此攻击检测的关键，特征部分编码绕过也是需要引起关注的。

文章转载自启明星辰金睛安全研究团队，如果涉嫌侵权，请发送邮件至：contact@modb.pro进行举报，并提供相关证据，一经查实，墨天轮将立刻删除相关内容。