阿里云提示反弹shell的安全解决方案

攻防技术总是在对抗中不断升级,任何单一的突破都可以形成一种稳定的绕开方式。任何形式的反弹shell检测在理论上都不完美,尤其是第三类反弹shell。云安中心采用深度探测的思想,采用多维探测方案交叉埋设点,覆盖从弹跳外壳执行到后续渗透利用的各个阶段。除以上所述更接近反弹外壳的FD检测服务外,还包括基于情形目的的异常命令情形序列检测服务、异常外壳启动检测和常规命令、网络特征覆盖方案等,云安全中心还采用了以下技术方案,最大限度地保证了检测效果。


反脚本的shell类型,阿里云云安全中心也给出了目标解决方法。


为落盘脚本文件检测文件落盘。包含但不限于bash,python,perl,vbs,powershell,bat,jar等等。对混杂类样本,采用每种语言的特征模式,实现动态解混杂后检测。最近几年,java应用越来越多,一些使用jar包的case也出现在云上,用于反弹shell。Alliance安全中心对诸如jar这样的打包类文件实现静态反编译,并结合动态运行实现多维判断。无文件攻击越来越受欢迎,攻防对抗水平不断提高,阿里云安全中心对于无文件类反弹SHELL有相应的检测方案。阿里云安全中心对于二进制弹跳shell开发的方法,如c/vb.net、dogo、meterpreterlorelcode等,实现了特殊的识别和处理,综合了输入函数特征、代码特征、二进制在沙箱中的动态情形特征等多个维度实现检测。云安中心覆盖了通用外壳通信的特点,辅助提升检测效果。云安中心覆盖常用的绕过方法,例如替换系统外壳、命令编码等,以辅助提升检测效果。


阿里云安全中心实践纵深检测的思想,采用多维交叉检测弹跳外壳,通过过程特征覆盖、文件描述符分析、命令情形序列、异常外壳启动、二进制沙箱、脚本沙箱、流量特征覆盖、对抗情形检测等八种技术,最大限度地保证了不同阶段的埋点检测效果。

分享: