fireELF是一个开源的跨平台无文件Linux恶意代码框架,它允许用户轻松的创建和管理payloads。...默认情况下附带了'memfd_create',这是一种从内存中完全运行linux elf可执行文件的新方法。 截图 ? ?...能够从URL或本地二进制文件创建payloads 包含的 payload memfd_create 这是一个linux系统的底层调用函数,它在内核3.17中引入,会创建一个匿名文件并返回一个文件描述符指向它...,该文件表现和常规文件类同, 可以进行修改,截断,内存映射等等,但不同的是,它存在于RAM当中。...-p PAYLOAD_NAME] [-w PAYLOAD_FILENAME] (-u PAYLOAD_URL | -e EXECUTABLE_PATH) fireELF, Linux
Security Affairs 网站披露,Sonatype 研究人员发现了一个名为“secretslib”的新 PyPI 包,旨在将无文件加密矿工投放到 Linux 机器系统的内存中。...但经过仔细分析观察,该软件包在用户 Linux 机器上暗中运行加密矿工(直接从用户的 RAM 中),这种技术主要由无文件的恶意软件和加密器采用。...该软件包可以从远程服务器获取 Linux 可执行文件并执行,以将 ELF 文件(“memfd”)直接放入内存中,它是一个可能通过“memfd_create”系统调用创建的门罗币加密矿工。...研究人员发现了其它恶意软件包 研究人员发现,“像 memfd_create”这样的 Linux 系统调用使程序员能够在 RAM 中投放 “匿名 ”文件,而不是将文件写入磁盘。...这种情况跳过了将恶意文件输出到硬盘的中间步骤,因此防病毒产品可能并不容易主动捕获到还驻留在系统易失性内存中的无文件恶意软件。
Linux恶意文件在分析处置过程中,与其他环境恶意文件分析思路大体相同,但仍有其一些特有的特点困扰着linux管理员。...、虚拟机保护、反调试等手段逃避检测,恶意代码片段本身的相似性分析受到很多因素干扰,Linux下的恶意文件查杀也更多只能是一种借鉴而难以形成通用操作,如何有效度量恶意文件的相似性,提取出能协助用于预警和查杀的共性...最终整合内外部数据,取样共2139个linux恶意文件样本,分布如下 ? 0x01....分析过程 通过内外部数据整合而成的linux恶意文件库固然是服务管理员的福音,借助诸如MD5校验,Ssdeep相似度计算等,可以识别大量恶意文件,规避风险,但同时我们注意到两点: 1....从安全运维角度而言,特别是Linux服务器反恶意文件,在技术的基础上需要考虑更多的管理因素,对快速响应的能力要求也更高,本文发现带来的启发包括: (1)建立自身的黑 / 白名单库(含恶意文件及恶意域名)
——那些年困扰Linux的蠕虫、病毒和木马 虽然针对Linux的恶意软件并不像针对Windows乃至OS X那样普遍,但是近些年来,Linux面临的安全威胁却变得越来越多、越来越严重。...个中原因包括,手机爆炸性的普及意味着基于Linux的安卓成为恶意黑客最具吸引力的目标之一,以及使用Linix系统作为数据中心服务器系统的机器也在一直稳步增长。...但早在2000年之前,Linux恶意软件就以某种形式出现在我们周围了。让我们一起来回顾一下吧。...Staog(1996) 首个公认的Linux恶意软件是Staog,一种试图将自身依附于运行中的可执行文件并获得root访问权限的基本病毒。...Windigo(2014) Windigo是针对成千上万的Linux服务器而进行的一场复杂而大规模的网络犯罪活动。Windigo造成服务器生成垃圾邮件、中转恶意软件并重定向链接。
在对linux系统应急处理时,常需要查杀系统中是否存在恶意文件,但纯手工检查的话,难免会有遗漏,虽然在linux系统中也有一些专门门的查杀工具,但终究维护的人少,效果也不是非常明显,但如果先使用windows...平台下的杀毒软件,去查杀linux文件的话,那效果是会强上一个等级,下面我们就来介绍下如何在windows下查杀linux系统文件的方法,提供一种思路: 1.linux开启nfs,共享 ‘/ ‘ 或...‘web目录’ #(根据需要); 2.windows挂载 linux共享 ; 3.开启杀毒软件,查杀挂载盘。...-e 显示指定nfs服务器上的所有文件系统。 -a 显示每个已挂载的nfs服务器上的所有网络文件系统 (NFS) 客户端和目录。...如下图所示,是在win中成功挂载linux nfs出来的/var/www路径下的文件: ?
文章前言 Windows Defender是Windows 10系列自带的一款系统保护程序,可以对系统中的恶意程序、恶意行为进行查杀,与此同时,我们可以使用Windows Defender自带的命令执行工具..."MpCmdRun.exe"来实现远程下载恶意文件的目的,但是免杀好像还是不太可靠,不过我们可以在cmd中关闭Windows Defender,所以这样一来,一结合就变得有意思多了,不管在使用该思路的过程中还需要权限提升...,但是CS因为在后渗透测试中有很好的辅助功能,所以总体来说还是划算的~ 具体实现 Step 1:在cobaltstrike中生成恶意攻击载荷 ?...Step 3:在目标主机上使用Windows Defender自带的MpCmdRun.exe程序下载恶意文件 "C:\ProgramData\Microsoft\Windows Defender\Platform...Step 4:之后执行恶意文件,可以看到在CS中成功上线 ?
恶意文件分析在应急响应中也是十分重要的一环,up把恶意文件分析分为两个大类来讲。...一、常见病毒木马样本分析 这类简而言之,那就是市面上拥有姓名的病毒or木马文件,什么老一辈的灰鸽子啊,现在新型的银狐,还有Windows提权的土豆家族这种,最简单的方式就是放入云沙箱一查杀,底细十分清楚...到这一步就已经知道恶意文件具有什么样的特殊功能了,就拿土豆来说,提权利用的也是Windows操作系统的底层漏洞,对相应位置进行做修补填补等紧急措施就可以了。...外附——上传了黑客工具 其他类型的木马可能有修改注册表或者上传了恶意工具的,我放在这里讲,红队嘛,或者黑客,只拿下了某台服务器一定不是最终目的黑客上传的工具也是恶意文件分析的一环,因为从他上传的工具以及跑工具的结果就能推测出目前的一个形式...毕竟也要与时俱进,很多培训课程可能更倾向于让大家从头排查到尾一点不落,当然,时间充足的情况下当然是越细致越好,但就实际情况来看应急本来就是很紧急且仓促的一件事情,对恶意文件的分析是较为后面的事情了,紧急处理完
ytkah刚开始想着用NGINX进行限制,但是没有起到很好的效果,那就用防火墙吧,服务器一般都会有防火墙功能,如果是linux服务器可以用iptables命令,也有一些第三方的服务器控制面板如wdcp,
无文件并不是真的不依靠文件 从字面来看,“无文件”恶意软件很容易让人误以为攻击者在使用该技术进行攻击时不需要使用任何文件,显然,这种理解是错误的!有一点需要明确,无文件恶意软件有时候也会使用文件。...因此,无文件恶意软件极难检测,也极其危险。 实际上无文件恶意软件是一种不存在磁盘上的威胁,通常当磁盘中存在恶意软件时,它很容易就能被安全软件检测到。...无文件恶意软件不需要文件即可启动,但它确实需要修改它试图攻击的本地环境和工具,这也是使用无文件恶意软件的一种更高级的方法。...为了有效,无文件恶意软件攻击者还需要正确的环境。 无文件恶意软件攻击的阶段 与传统的恶意软件攻击一样,无文件恶意软件攻击的典型阶段是: 第 1 阶段:攻击者获得对受害者系统的远程访问权限。...下面列出的技术在与无文件恶意软件结合使用时往往会更成功: 漏洞利用工具包 劫持的原生工具 注册表驻留恶意软件 勒索软件 如何检测无文件恶意软件 检测和击败无文件恶意软件攻击的最佳方法是采用一种具有多层防御态势的整体方法
本文作者:Twe1ve(贝塔安全实验室-核心成员) 0x00、什么是无文件非恶意软件 区别于传统的基于文件的攻击,无文件非恶意软件攻击在内存中运行,不需要利用可执行文件就能达到攻击的目的。...1) 、隐秘性高:无文件非恶意软件使用的是合法工具,所以几乎不会出现无文件非恶意软件被**加入黑名单从而导致不能使用的情况。...) 0x02.1.2、使用 powershell 作为无文件非恶意软件的优点 除了满足上面三点无文件非恶意软件流行的原因,使用 powershell 作为无文件非恶意软件还有如下优点: 1) 、易于混淆...没有.NET,就没有 PowerShell 0x02.3.2、使用.NET 作为无文件非恶意软件的优点 除了满足上面三点无文件非恶意软件流行的原因,使用.NET 作为无文件非恶意软件还有如下优点: 1...宏是一系列命令和指令,您可以将它们组合为一个命令以自动完成任务 0x02.4.2、使用宏作为无文件非恶意软件的优点 除了满足上面三点无文件非恶意软件流行的原因 ,使用宏作为无文件非恶意软件攻击还有如下优点
近期,网络安全研究人员详细介绍了一项可能针对东南亚实体的新型攻击活动,该活动可能使用以前无法识别的Linux恶意软件,除了收集凭据和充当代理服务器外,还可以远程访问其运营商。...为了收集数据或进行其他恶意活动,这类恶意软件使用修改后的合法二进制文件,这些文件经过调整以加载更多组件。此外,为了隐藏自身的存在,FontOnLak总是伴随着一个 rootkit。...这些二进制文件通常在Linux系统上使用,并且还可以作为一种持久性机制。...FontOnLake的工具集包括三个组件,它们由合法 Linux 实用程序的木马化版本组成,用于加载内核模式的rootkits和用户模式的后门,所有这些都使用虚拟文件相互通信。...ESET表示发现了两个不同版本的Linux rootkit,它们基于一个名为Suterusu的开源项目,在功能上有重叠之处,除了能隐藏自身外,还包括隐藏进程、文件、网络连接,同时还能够执行文件操作,提取并执行用户模式的后门
这篇文章将翻译一篇LNK文件发起的恶意攻击,主要是LNK文件伪装成证书执行RokRAT恶意软件,并利用Powershell命令发起无文件攻击和执行相关行为。基础性技术文章,希望您喜欢!...受感染的文本编辑器notepad++ [译文] 恶意代码分析:2.LNK文件伪装成证书传播RokRAT恶意软件(含无文件攻击) 声明:本人坚决反对利用工具或渗透技术进行犯罪的行为,一切犯罪行为必将受到严惩...:RedEyes (ScarCruft) 这种类型的恶意软件有一个显著特点:它在LNK文件中包含了合法的文档文件、脚本代码和恶意PE数据。...RokRAT恶意软件的简化操作过程如下所示,是一种比较常见的LNK攻击: 通过Email发起鱼叉式钓鱼攻击,包括恶意LNK文件(可执行Powershell) 整个LNK文件包含:正常PDF文件、viwer.dat...该恶意软件根据威胁行为体(behaviors)或攻击者的命令可以执行的恶意行为包括: 执行cmd命令 收集目录信息 删除启动项文件夹中的特定文件(包括VBS、CMD、BAT和LNK扩展名) 收集启动文件夹列表
restart iptables -I INPUT -p tcp -m tcp --dport $ss -j ACCEPT iptables-save echo "OK" 直接把上面代码保存为文件...» 本文链接:更改Linux默认端口,防止被恶意扫描 » 转载请注明来源:刺客博客
Linux文件操作 Linux中,一切皆文件(网络设备除外)。 硬件设备也“是”文件,通过文件来使用设备。 目录(文件夹)也是一种文件。...boot:这里存放的是启动Linux时使用的一些核心文件,包括一些连接文件和镜像文件。...deb:deb是Device(设备)的缩写,该目录下存放的是Linux的外部设备,在Linux中访问设备的方式和访问文件的方式是相同的。...tmp:用来存放一些临时文件 media:Linux系统会自动识别一些设备,例如U盘、光驱等,当识别后,Linux会把识别的设备挂载到这个目录下。...mnt:临时挂载其他文件。 proc:包含了进程的相关信息。 ---- Linux文件的操作方式 文件描述符fd fd是一个大于等于0的整数。
当发生容器安全事件时,需要从容器或镜像中提取恶意文件进行分析和处理。...本文主要介绍3种常见的方法: (1) 从运行的容器中复制文件 首先,需要从镜像运行启动一个容器,然后,使用docker cp命令从容器中提取文件到宿主机。...将镜像保存为tar文件,解压tar镜像文件到宿主机,从分层目录找到目标文件。...docker文件系统是分层的,镜像在宿主机上有自己的文件系统,可以通过docker inspect 快速定位容器文件系统在宿主机上对应的目录,直接从宿主机上获取目标文件。...事实上,这也是最简单最安全的提取恶意文件的方式。
/bin/sh #auto drop ssh failed IP address #定义变量 SEC_FILE=/var/log/secure #如下为截取secure文件恶意ip 远程登录22端口,大于等于...=0;j<=4;j++)) ;do echo -n "----------";sleep 1 ;done echo for i in `echo $IP_ADDR` do #查看iptables配置文件是否含有提取的...-ne 0 ];then #判断iptables配置文件里面是否存在已拒绝的ip,如何不存在就不再添加相应条目 sed -i "/lo/a -A INPUT -s $i -m state --state
所以每天看/var/log/secure文件里面,全部是恶意攻击的ip,那怎么拒绝这些ip下次再攻击,或者怎么让这些IP尝试3-5次就拒绝访问22端口了 测试环境:CentOS 7.4 [root@localhost.../bin/bash #2017-11-30 14:47:53 #by author yangxz #deny ssh login drop failed ip #如下为截取secure文件恶意ip 远程登录...find /etc/sysconfig/ -name iptables -a -mmin -1|wc -l` echo for i in `echo $IP_ADDR` do #查看iptables配置文件是否含有提取的...-ne 0 ];then #判断iptables配置文件里面是否存在已拒绝的ip,如过不存在就添加相应条目 sed -i "/OUTPUT ACCEPT/a-A INPUT -s $i -m state....." fi done if [ $NUM -eq 1 ];then #最后重启iptables生效 /etc/init.d/iptables restart fi 如上脚本编写完毕,如何实现自动添加恶意
前言 目前,针对企业环境的无文件型恶意软件威胁正在日趋增长。...无文件型恶意软件所使用的代码不需要驻留在目标Windows设备上,而普通的Windows安装程序涉及到很多的东西:PowerShell、WMI、VB、注册表键和.NET框架等等,但对于无文件型恶意软件来说...鉴于这类日趋严重的安全威胁,安全团队可以做些什么来保护他们的组织抵御无文件型恶意软件呢?...因为很多无文件型恶意软件攻击都是通过一封简单的网络钓鱼邮件开始的,因此这样的安全培训或操作方案是非常重要的。...更新访问权限和特权账号 组织应该了解无文件型恶意软件的攻击机制,因为就算你点击了一封邮件中的恶意附件,也并不意味着你的电脑就会立即感染恶意软件。
图片来源于网络 【漏洞】Arch Linux AUR软件库现恶意程序 日前,Arch Linux AUR软件仓库发现了至少三个恶意程序。...AUR是用户递交到Arch Linux项目的软件包仓库,截至目前,恶意代码已经被AUR团队迅速移除。...用户接管了一个被放弃的软件包 acroread,该软件允许 Arch Linux 用户浏览 PDF 文件。...根据该软件源代码的 Git commit,xeactor 加入了恶意代码,从一个模仿 Pastebin 的文本分析网站 ptpb [dot] pw 下载名为 ~x 的文件。...整个攻击流程基本如下:用户启动进入Linux之后,打开程序和文件,然后机器暂停并进入低功耗模式后,写入设备状态到内存中。一旦此时攻击者移除硬盘并唤醒系统,用户能够输入任意密码进行访问。
一种名为 Shikitega 的新型Linux 恶意软件,可利用多阶段感染链来针对端点和物联网设备。...据Security affairs 9月7日消息,AT&T Alien Labs 的研究人员发现了一种新型隐形 Linux 恶意软件 Shikitega,它以端点和物联网设备为目标实施多阶段感染,以达到能够完全控制系统并执行其他恶意活动...【Shikitega操作流程】 该恶意软件的主要释放器是一个非常小的 ELF 文件,其总大小仅为 370 字节左右,而其实际代码大小约为 300 字节。...除了Shikitega,近来在野外发现的 Linux 恶意软件正越发多样,包括BPFDoor、Symbiote、Syslogk、OrBit和 Lightning Framework等。...参考来源: https://securityaffairs.co/wordpress/135437/malware/shikitega-linux-malware.html
领取专属 10元无门槛券
手把手带您无忧上云