freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

如何在Windows和Linux服务器中检测混淆命令
2019-06-06 13:00:53

1.png

工具介绍

在目前的无文件恶意软件或网络犯罪领域中,命令行混淆已经是很常见的了。为了绕过基于签名的安全检测机制,红队渗透测试以及APT攻击活动都会使用各种专用的混淆/模糊技术。同时,许多代码混淆工具(即执行语法转换工具)都已开源,这也使得网络攻击者们对给定命令进行混淆处理变得越来越容易了。

然而,针对这类技术的防御工具却仍然很少。针对Linux的命令行混淆,我们几乎找不到任何可以使用的检测工具。在防范Windows命令混淆方面,现有的方案要么是缺乏相应工具,要么只是解决了部分问题,并没有彻底解决所有问题。

为了更好地检测相关威胁,我们设计并开发了Flerken,这是一个工具化的平台,可以用来检测Windows(CMD和PowerShell)和Linux(Bash)命令。Flerken可分为Kindle和Octopus这两个模块,其中Kindle针对的是Windows模糊检测工具,而Octopus针对的是Linux模糊测试工具。除此之外,为了优化Flerken的分类性能,我们还引入了机器学习、双向特征过滤和脚本沙盒等技术。

工具安装&使用

工具安装

1、 确保服务器端已安装了Python 3.x,你可以使用下列命令来检测:

[root@server:~$]python –V

2、 安装依赖组件,所有的依赖组件已在requirement.txt中声明:

[root@server:~$]python –V

3、 登录MySQL控制台,导入数据库:

source/your path/Flerken/flerken/lib/flerken.sql

4、 自定义配置Flerken App:

Path:flerken/config/global_config.py

5、 运行工具:

[root@server:~$]python runApp.py

6、(可选)为了降低假阳性,可根据需要构建白名单规则:

Path:flerken/config/whitelists/

工具使用

工具的使用如下图所示,我们还可以使用API接口:

2.gif

获取帮助信息

如果你对Flerken的使用有任何疑问,可以直接创建issue并进行标注,我们会尽快解决大家提出的问题:

3.png

内置的第三方库

Flask

Flask-WTF

Flask-Limiter

frankie-huang/pythonMySQL

jQuery

Swiper

许可证协议

Flerken遵循Apache 2.0许可证协议。

项目地址

Flerken:【GitHub传送门

工具文档

如需了解关于Flerken的细节内容,可查看Flerken的官方文档:【点我获取

*参考来源:We5ter,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

# 混淆 # 检测 # 服务器
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者