Folgen
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
ShadowHS ist ein fileloses Post-Exploitation-Framework für Linux, das eine waffenfähige Hackshell vollständig im Speicher ausführt. Ein kleiner Lader entschlüsselt eine AES-256-CBC-Nutzlast, baut sie über anonyme Dateideskriptoren wieder auf und führt sie aus, ohne den Datenträger zu berühren. Sobald es läuft, bietet es eine interaktive Shell sowie Module für Diebstahl von Zugangsdaten, laterale Bewegungen, Krypto-Mining und leise Datenexfiltration. Das Design priorisiert Unauffälligkeit, Bedienersteuerung und dauerhafte Persistenz in diversen Linux-Umgebungen.
Untersuchung
Cyble-Analysten zerlegten den gestaffelten Lader, rekonstruierten ein verschlüsseltes Shell-Skript, kartierten eine Perl-basierte Entschlüsselungskette und bestätigten die Ausführung über /proc/*/fd/-Pfade. Sie dokumentierten umfassende EDR/AV-Überprüfungen, Konkurrenzvermeidung und bedarfsgesteuerte Module für SSH-Brute-Force, Kernel-Exploitation und GPU-Mining mit reproduzierbaren Ergebnissen in der Testphase. Der Bericht listet auch fest kodierte C2-Endpunkte und eine Exfiltrationsmethode über rsync-über-GSocket auf.
Abmilderung
Achten Sie auf ELF-Ausführung von /proc//fd/, ungewöhnliche OpenSSL-/Perl-Entschlüsselungsketten und argv-Spoofing-Artefakte. Erlangen Sie Sichtbarkeit über gelöschte oder memfd-gestützte Binärdateien, Memory-Dump-Tools und nicht standardisierte rsync-Transporte. Blockieren Sie bekannte Mining-Pools und beschränken Sie GSocket-Tunnel, um Missbrauch zu bekämpfen. Alarmieren Sie bei verdächtiger memfd_create-Nutzung im großen Stil.
Antwort
Im Falle eines Nachweises isolieren Sie den Host, erfassen den Speicher zur Untersuchung, beenden das im Speicher befindliche Framework und alle Mining-Wrapper und blockieren die referenzierten C2-IP-Adressen/Domains. Inventarisieren Sie exponierte Zugangsdaten, drehen Sie Schlüssel und Passwörter und härten Sie das System. Verfolgen Sie seitliche Bewegungsversuche und Scan-Aktivitäten, einschließlich der Verwendung von rustscan und spirit, um die Ausbreitung zu bestimmen und eine Neuinfektion zu verhindern.
Attack Flow
Wir aktualisieren diesen Teil noch. Melden Sie sich an, um benachrichtigt zu werden
Benachrichtigen Sie michErkennungen
Linux-Speicherabbild über GDB-Batchmodus (via cmdline)
Anzeigen
Mögliche Dechiffrierung von Linux OpenSSL AES-256-CBC über Pipeline (via cmdline)
Anzeigen
Mögliche dateilose Ausführung von Linux über /proc/self/fd (via cmdline)
Anzeigen
IOCs (HashSha256) zur Erkennung: ShadowHS: Ein fileloses Post-Exploitation-Framework für Linux, basierend auf einer waffenfähigen Hackshell Teil 1
Anzeigen
IOCs (HashSha256) zur Erkennung: ShadowHS: Ein fileloses Post-Exploitation-Framework für Linux, basierend auf einer waffenfähigen Hackshell Teil 2
Anzeigen
IOCs (DestinationIP) zur Erkennung: ShadowHS: Ein fileloses Post-Exploitation-Framework für Linux, basierend auf einer waffenfähigen Hackshell
Anzeigen
IOCs (SourceIP) zur Erkennung: ShadowHS: Ein fileloses Post-Exploitation-Framework für Linux, basierend auf einer waffenfähigen Hackshell
Anzeigen
Erkennung des ShadowHS filelosen Post-Exploitation-Frameworks für Linux [Prozesserstellung unter Linux]
Anzeigen
Erkennung von AES-256-CBC -nosalt-Missbrauch und /proc/*/exe-Aufzählung [Linux-Datei-Ereignis]
Anzeigen
Simulation Ausführung
Voraussetzung: Der Telemetrie- & Base-Line Pre-Flight-Check muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die darauf ausgelegt ist, die Erkennungsregel auszulösen. Die Befehle und Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und zielen darauf ab, die genau von der Erkennungslogik erwartete Telemetrie zu erzeugen. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.
-
Angriffs-Narrativ & Befehle:
Ein Angreifer, der bereits einen Fuß in der Tür bei der kompromittierten Linux-Host gewonnen hat, möchte (1) einen zuvor exfiltrierten Datenblock mit OpenSSL ohne Salz entschlüsseln, um die zusätzliche Entropieüberprüfung zu vermeiden, und (2) alle laufenden ausführbaren Dateien über/proc/*/exeaufzählen, um privilegierte Prozesse zu entdecken, die möglicherweise Anmeldeinformationen enthalten, oder um Sicherheitstools zu identifizieren, die später deaktiviert werden sollen. Der Angreifer führt die folgenden Befehle in einer Bash-Sitzung aus:-
OpenSSL-Entschlüsselung (AES‑256‑CBC, kein Salz) – reproduziert den exakten String, den die Sigma-Regel überwacht:
openssl enc -d -aes-256-cbc -nosalt -in /tmp/stolen.enc -out /tmp/secret.txt -
Proc‑exe-Aufzählung – läuft über alle numerischen PID-Verzeichnisse und druckt das Ziel des
exesymlink:for pid in /proc/[0-9]*; do readlink "$pid/exe" done
Diese Aktionen generieren zwei verschiedene Prozess-Erstellungs-Ereignisse, die die allgemein-
aesandproc_enumBedingungen erfüllen. -
-
Regression Test Script:
#!/usr/bin/env bash set -euo pipefail # ==== 1. OpenSSL-Entschlüsselung (AES-256-CBC, kein Salz) ==== # Erstelle eine Dummy-verschlüsselte Datei für den Test echo "SensitiveData123" > /tmp/plain.txt openssl enc -aes-256-cbc -nosalt -salt -out /tmp/stolen.enc -pass pass:TestPass < /tmp/plain.txt # Entschlüsseln mit dem exakten Erkennungsmuster openssl enc -d -aes-256-cbc -nosalt -in /tmp/stolen.enc -out /tmp/secret.txt -pass pass:TestPass # ==== 2. Auflisten der /proc/*/exe-Symlinks ==== for pid in /proc/[0-9]*; do readlink "$pid/exe" done echo "Simulation abgeschlossen. Überprüfen Sie SIEM auf Warnungen." -
Bereinigungsbefehle:
#!/usr/bin/env bash set -euo pipefail rm -f /tmp/plain.txt /tmp/stolen.enc /tmp/secret.txt echo "Bereinigung abgeschlossen."