SOC Prime Bias: クリティカル

05 2月 2026 19:59
newspaper icon Cyble

ShadowHS: A Fileless Linux Post‑Exploitation Framework Built on a Weaponized Hackshell

Author Photo
Ruslan Mikhalov SOC Primeの脅威リサーチ責任者 linkedin icon フォローする
ShadowHS: A Fileless Linux Post‑Exploitation Framework Built on a Weaponized Hackshell
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


概要

ShadowHSは、Linux向けのファイルレスポストエクスプロイトフレームワークであり、完全にメモリ内で武装化されたハックシェルを実行します。小さなローダーがAES-256-CBCペイロードを復号し、匿名ファイルディスクリプタを介して再構築し、ディスクに触れることなく実行します。実行されると、インタラクティブシェルと、資格情報の窃取、横方向移動、暗号通貨マイニング、静かなデータ漏洩のモジュールを提供します。設計は、異なるLinux環境でのステルス性、オペレーターの制御、耐久性のある持続性を優先します。

調査

Cybleのアナリストは、段階的なローダーを解析し、暗号化されたシェルスクリプトを復元し、Perlベースの復号チェーンをマッピングし、/proc/*/fd/パスを通じて実行を確認しました。EDR/AVチェック、競合抑止ロジック、SSHブルートフォース、カーネルエクスプロイト、GPUマイニングのためのオンデマンドモジュールを幅広く文書化し、テストで再現可能な結果を出しています。また、ハードコードされたC2エンドポイントとrsync-over-GSocketのデータ漏洩方法もリストされています。

緩和策

/proc/からのELF実行に注意し、/fd/、奇妙なOpenSSL/Perl復号チェーン、argv曖昧化の痕跡を確認します。削除済みまたはmemfdサポートのあるバイナリ、メモリダンプツール、非標準のrsyncトランスポートへの可視性を向上させます。既知のマイニングプールをブロックし、GSocketトンネルを制限して乱用を防ぎます。大規模なmemfd_createの不審な使用を警告します。

対応

検知した場合、ホストを隔離し、調査のためにメモリをキャプチャし、メモリ内フレームワークとマイニングラッパーを終了し、参照されたC2のIP/ドメインをブロックします。露出した資格情報をインベントリーし、キーとパスワードを回転させ、システムを強化します。横移動の試みとスキャン活動(rustscanやspiritの使用を含む)を追跡し、拡散を特定し再感染を防ぎます。

攻撃フロー

この部分はまだ更新中です。通知を受け取るためにサインアップしてください

通知を受け取る

検出

GDBバッチモードを介したLinuxメモリダンプ(コマンドライン経由)

SOC Prime チーム
2026年2月3日

表示

パイプラインを介したLinux OpenSSL AES-256-CBC復号の可能性(コマンドライン経由)

SOC Prime チーム
2026年2月3日

表示

/proc/self/fdを通じたLinuxファイルレス実行の可能性(コマンドライン経由)

SOC Prime チーム
2026年2月3日

表示

検出するためのIOC (HashSha256): ShadowHS: 武装化されたハックシェル上に構築されたファイルレスLinuxポストエクスプロイトフレームワーク パート1

SOC Prime AI ルール
2026年2月3日

表示

検出するためのIOC (HashSha256): ShadowHS: 武装化されたハックシェル上に構築されたファイルレスLinuxポストエクスプロイトフレームワーク パート2

SOC Prime AI ルール
2026年2月3日

表示

検出するためのIOC (DestinationIP): ShadowHS: 武装化されたハックシェル上に構築されたファイルレスLinuxポストエクスプロイトフレームワーク

SOC Prime AI ルール
2026年2月3日

表示

検出するためのIOC (SourceIP): ShadowHS: 武装化されたハックシェル上に構築されたファイルレスLinuxポストエクスプロイトフレームワーク

SOC Prime AI ルール
2026年2月3日

表示

ShadowHSファイルレスLinuxポストエクスプロイトフレームワークの検出 [Linuxプロセス作成]

SOC Prime AI ルール
2026年2月3日

表示

AES-256-CBC -nosaltの誤用と/proc/*/exeの列挙を検出 [Linuxファイルイベント]

SOC Prime AI ルール
2026年2月3日

表示

シミュレーション実行

前提条件: テレメトリとベースラインのプリフライトチェックに合格している必要があります。

理論: このセクションでは、検出ルールをトリガーするために設計された敵対者の技術(TTP)の正確な実行を詳述します。コマンドと説明は特定されたTTPを直接反映し、検出ロジックが期待する正確なテレメトリを生成することを目指す必要があります。抽象的または無関係な例は誤診につながる可能性があります。

  • 攻撃の説明とコマンド:
    既にLinuxホストで足場を確保した攻撃者は、(1)追加のエントロピーチェックを避けるために塩を使用せず、OpenSSLを使用して以前に漏洩したデータブロブを復号し、(2)資格情報を含む可能性のある特権プロセスを発見したり、後で無効化するためのセキュリティツールを識別するために /proc/*/exe を列挙します。攻撃者はBashセッションにおいて以下のコマンドを実行します:

    1. OpenSSL復号(AES-256-CBC, no‑salt) – Sigmaルールが監視する正確な文字列を再現します:

      openssl enc -d -aes-256-cbc -nosalt -in /tmp/stolen.enc -out /tmp/secret.txt

    2. Proc-exe列挙 – すべての数値PIDディレクトリをループし、 exe symlinkの

      ターゲットを出力します: for pid in /proc/[0-9]*; do
    readlink "$pid/exe"
done

    これらのアクションは、ルールの aes and proc_enum 条件を満たす2つの異なるプロセス作成イベントを生成します。

  • 回帰テストスクリプト:

    #!/usr/bin/env bash
set -euo pipefail

# ==== 1. OpenSSL復号(AES-256-CBC, no‑salt) ====
# テスト用にダミーの暗号化ファイルを作成
echo "SensitiveData123" > /tmp/plain.txt
openssl enc -aes-256-cbc -nosalt -salt -out /tmp/stolen.enc -pass pass:TestPass < /tmp/plain.txt

# 正確な検出パターンを使用して復号
openssl enc -d -aes-256-cbc -nosalt -in /tmp/stolen.enc -out /tmp/secret.txt -pass pass:TestPass

# ==== 2. /proc/*/exeシンボリックリンクを列挙====
for pid in /proc/[0-9]*; do
    readlink "$pid/exe"
done

echo "シミュレーション完了。SIEMで警告を確認してください。"

  • クリーンアップコマンド:

    #!/usr/bin/env bash
set -euo pipefail

rm -f /tmp/plain.txt /tmp/stolen.enc /tmp/secret.txt
echo "クリーンアップ完了。"

SOC PrimeのDetection as Codeプラットフォームに参加し ビジネスに最も関連性のある脅威に対する可視性を向上させましょう。開始して即座に価値をもたらすためには、今すぐSOC Primeの専門家とのミーティングを予約してください。

無料で参加