手工搭建简易的Linux恶意脚本分析系统

最新推荐文章于 2022-11-18 10:24:11 发布
VIP文章 最新推荐文章于 2022-11-18 10:24:11 发布
阅读量688 收藏 3
点赞数 1
分类专栏: 恶意软件分析 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37552052/article/details/108152121
版权

概述

Linux环境下的恶意软件大部分以shell脚本作为母体文件进行传播,而且,同一个病毒家族所使用的的恶意脚本往往具有极高相似性,新变种的脚本大部分是在旧变种脚本的基础上进行修改,新增或替换部分关键恶意代码,同时,不同家族之间的恶意脚本也可能出现代码互相借鉴,部分重合的情况。
该如何揭示病毒家族中恶意脚本之间的关系呢?接下来,我们就通过手工搭建一个简易的恶意脚本分析系统,来实现对恶意脚本之间关系的研究。

系统的功能如下,主要为3个:
[1] 使用yara检测脚本对应的病毒家族。
[2] 计算脚本与样本库中每个样本的相似度。
[3] 提取脚本新增/改动的恶意代码。

通过以上3个环节,就能检测出该脚本所属的家族,与其最相似的样本,以及新改动的恶意代码,从而快速定位到本次病毒变种更新的恶意项(C&C域名/文件路径/进程名等)。
1

使用方法

系统结构由3部分组成,yara规则库、病毒样本库、功能代码,后者运行后会读取规则和样本内容进行检测。
2

最低0.47元/天 解锁文章
G4rb3n
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux脚本攻击,恶意shell脚本攻击的方法与预防策略
weixin_26837345的博客
05-01 2493
前言网络安全对于互联网从业者而言,一直是一个重要的、绕不开的话题,PowerShell可以给运维人员带来极大的方便,但同时也是被攻击者盯上的重灾区。想想就非常可怕,攻击的人只要能从远程执行shell脚本,就能执行一些敏感的安全操作,比如篡改重要数据,修改安全配置等。所以我们有必要掌握一些恶意shell脚本攻击的方法与预防策略。PowerShell攻击方法PowerShell攻击方法一般分为两方面:...
Shell脚本注册到Linux系统服务实例
09-15
主要介绍了Shell脚本注册到Linux系统服务实例,本文给出一个可以作为Linux服务的脚本实例,及加入服务的方法等步骤,需要的朋友可以参考下
linux c恶意代码,fireELF:无文件Linux恶意代码框架
weixin_39609822的博客
05-13 86
fireELF是一个开源的跨平台无文件Linux恶意代码框架,它允许用户轻松的创建和管理payloads。默认情况下附带了'memfd_create',这是一种从内存中完全运行linux elf可执行文件的新方法。截图特性选择并构建payloads能够缩小payloads能够通过将payloads上传到pastebin来缩小payloads,然后创建一个与python <= 2.7兼容的非常...
恶意脚本代码执行及Linux系统漏洞修复
weixin_43268590的博客
06-16 1316
第一步,查看top命令有没有被篡改。命令:top 或 top -c第二步,通过点击“shift+M”,按照内存大小排序;点击“shift+P”,按照CPU大小排序。若没有被篡改,则能很快定位到是哪个进程占用CPU,可以得到对应的[COMMAND]和PID。第三步,利用ps命令把PID拿出来,并杀死进程。命令:ps -ef | grep [COMMAND]kill -9 [PID]若把进程杀死后,进程马上又重启了,则说明系统挂了一个定时脚本。第四步,检查定时任务配置文件。命令:ls
解决-linux服务器被执行恶意脚本代码
WHJwhj552200的博客
11-18 1003
删除root的定时任务后,发现进程又重启了(用户是nobody),所以需要删除其他用户的定时任务。这是所有用户crontab文件存放的目录,以用户名命名。crontab -e:编辑并删除定时任务代码。但是发现杀死进程后,它又重新启动,所以应该是使用了定时任务。命令:crontab -l :查看定时任务代码。直接删除某个用户的定时任务文件即可。发现并不是执行某个程序占用资源。
Linux搭建网络服务命令脚本合集
07-23
教程名称:Linux搭建网络服务命令脚本合集课程目录:【】在linux中通过脚本安装apache网站web服务(完善版)【】在linux中通过脚本安装lamp架构(完善版)【】在linux中通过脚本安装mysql数据库服务(完善版)【】在...
Linux 系统内存性能测试shell脚本
02-11
Linux 系统内存性能测试shell脚本 脚本使用了 dd 命令和 /proc/sys/vm/drop_caches 文件来测试内存的读写速度和带宽
Linux系统安全基线检查脚本
04-25
Linux系统安全基线检查脚本
Linux操作系统Shell脚本.zip
最新发布
03-05
Linux操作系统Shell脚本.zipLinux操作系统Shell脚本.zipLinux操作系统Shell脚本.zip Linux操作系统Shell脚本.zipLinux操作系统Shell脚本.zipLinux操作系统Shell脚本.zip Linux操作系统Shell脚本.zipLinux操作系统...
Linux查看恶意Cron脚本
dong_1997_的博客
04-16 507
/var/spool/cron/* /etc/crontab /etc/cron.d/* /etc/cron.daily/* /etc/cron.hourly/* /etc/cron.monthly/* /etc/cron.weekly/ /etc/anacrontab /var/spool/anacron/*
xig,Linux恶意攻击脚本进程之一
Luxuff的博客
10-20 5189
 首先说明一点,当你在搜索"xig"的时候,我可以肯定你的服务器已经被恶意攻击了, 原因很简单:绝大部分都是因为服务器连接密码设置过于简单。 回去改个密码再删删文件什么的基本就解决了,这种小白挖矿程序一般都只是占用服务器资源挖挖矿什么的,其他危害倒不严重。   由于之前我搜索“xig”的时候没遇到什么有针对性的文章,估计是已经很少有人犯这种错误了,但想想还是把细节写出来,引以为戒吧。  ...
linux恶意脚本,Dr.Web曝光新型Linux恶意软件 脚本功能极其复杂庞大
weixin_33543395的博客
05-02 180
该木马本身是一个包含 1000 多行代码的巨型 shell 脚本,也是能在受感染的 Linux 系统上执行的第一个文件。它所做的第一件事,就是寻找磁盘上某个具有写入权限的文件夹,这样它就可以复制自己、然后用于下载其它模块。一旦木马在受害系统上站稳了脚跟,就会利用 CVE-2016-5195(又称 Dirty COW)和 CVE-2013-2094 两个特权提升漏洞中的一种。在获取了 root 权限...
linux 查找恶意脚本,【技术分享】看我如何查找并解码恶意PowerShell脚本
weixin_30641597的博客
04-30 580
预估稿费:200RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿一、前言PowerShell的身影无所不在,我最近也遇到过越来越多的恶意PowerShell脚本。为什么攻击者热衷于使用PowserShell?因为许多Windows版本中都会自带这个工具,并且该工具可以访问WMI以及.Net Framework的全部功能,也能在内存中执行恶意代码以逃避反病毒软件的查杀,对了...
Linux 禁止恶意IP脚本
weixin_33881753的博客
06-06 435
2019独角兽企业重金招聘Python工程师标准>>> ...
操作系统之文件管理:1、初识文件管理
千寻瀑
10-11 491
1、初识文件管理思维导图文件的定义关于文件系统我们要讨论的几个问题?1、文件属性2、文件内部的数据组织形式(存储结构)3、文件之间的组织形式4、操作系统向上层提供的接口(功能)5、文件如何存放在外存?(物理结构)6、其他文件管理功能 PS:本篇仅是概述,对文件系统的初步介绍,有需要请看链接博客 思维导图 文件的定义 文件:一组有意义的信息/数据的集合 关于文件系统我们要讨论的几个问题? 1、文件属性 2、文件内部的数据组织形式(存储结构) 本质上来看:文件内部数据的组织形式其实就是文件的逻
linux恶意脚本,手工搭建简易Linux恶意脚本分析系统
weixin_36242060的博客
05-02 138
概述Linux情况下的恶意软件大部门以shell剧本作为母体文件进行流传,并且,统一个病毒家眷所使用的的恶意剧本往往具有极高相似性,新变种的剧本大部门是在旧变种剧本的根蒂长进行点窜,新增或替代部门要害恶意代码,同时,分歧家眷之间的恶意剧本也或者显现代码互相借鉴,部门重合的情形。[原文来自:www.pp00.com]该若何揭示病毒家眷中恶意剧本之间的关系呢?接下来,我们就经由手工搭建一个简略的恶意剧...
linux恶意脚本实验,手工搭建简易Linux恶意脚本分析系统
weixin_36033516的博客
05-01 328
概述Linux情况下的恶意软件大部门以shell剧本作为母体文件进行流传,并且,统一个病毒家眷所使用的的恶意剧本往往具有极高相似性,新变种的剧本大部门是在旧变种剧本的根蒂长进行点窜,新增或替代部门要害恶意代码,同时,分歧家眷之间的恶意剧本也或者显现代码互相借鉴,部门重合的情形。 [转载出处:www.ii77.com]该若何揭示病毒家眷中恶意剧本之间的关系呢?接下来,我们就经由手工搭建一个简略的恶意...
linux centos7系统下shell简易趣味脚本书写
06-02
好的,我可以为您介绍一下Linux CentOS7系统下如何编写一个简单的有趣的Shell脚本。 首先,打开终端,使用命令行编辑器(如vi)创建一个名为“fun_script.sh”的文件: ``` vi fun_script.sh ``` 然后,在文件中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值