پوسته یونیکس
Unix Shellتوضیحات
مهاجمان از shellهای یونیکس مانند bash، sh، zsh و fish برای اجرای دستورات و اسکریپتهای مخرب در سیستمهای لینوکس و macOS استفاده میکنند. shellهای یونیکس ابزارهای قدرتمندی برای مدیریت سیستم هستند که میتوانند برای اجرای کد مخرب، مدیریت فایلها و ارتباط با شبکه استفاده شوند.
روشهای شناسایی
نظارت بر اجرای shellها با آرگومانهای مشکوک. شناسایی اسکریپتهای shell مخرب. بررسی دستوراتی که از طریق shell اجرا میشوند. تحلیل لاگهای bash_history.
روشهای مقابله
محدود کردن دسترسی به shellها. پیادهسازی SELinux یا AppArmor. نظارت بر فعالیتهای shell. استفاده از auditd برای لاگگیری. محدود کردن دسترسی SSH.
تکنیک اصلی
مفسر دستور و اسکریپت
مهاجمان از مفسرهای دستور و اسکریپت برای اجرای دستورات، اسکریپتها یا باینریها سوءاستفاده میکنند. این رابطها و زبانها در اکثر سیستمها به صورت پیشفرض وجود دارند. مهاجمان میتوانند از این ابزارها برای اجرای کد مخرب، دور زدن کنترلهای امنیتی و ایجاد پایداری استفاده کنند.