DecoyMini 技术交流社区

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 4919|回复: 0

[T1546] T1546.005 - Trap 命令

[复制链接]

188

主题

35

回帖

30

荣誉

Rank: 9Rank: 9Rank: 9

UID
2
积分
354
精华
1
沃币
2 枚
注册时间
2021-6-24

论坛管理

发表于 2022-2-17 17:36:25 | 显示全部楼层 |阅读模式
一、概念

攻击者可以通过执行由中断信号触发的恶意内容来实现持久化,trap 命令允许程序和 shell 在接收到中断信号时执行命令。一个常见的情况是允许终止和处理常见键盘中断 (如 ctrl+c 和 ctrl+d) 的脚本。

当 shell 遇到特定中断时,攻击者使用 trap 命令来记录将被执行的代码,此可作为一种持久化机制。trap 命令为以下格式,trap 'command list' signals,当接收到 signals 时,将执行 command list 命令。

二、涉及到组织或恶意软件

not yet

三、案例

not yet

四、缓解措施

这种类型的攻击技术无法通过预防性控制来轻松缓解,因为它基于滥用系统功能。

五、如何检测

必须为 shell 或程序注册 trap 命令,以便它们出现在文件中。监视文件中是否存在可疑或过于宽泛的 trap 命令可以缩小调查期间的可疑行为,监控通过 trap 中断执行的可疑进程。

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|小黑屋|DecoyMini 技术交流社区 (吉沃科技) ( 京ICP备2021005070号 )

GMT+8, 2024-12-22 16:18 , Processed in 0.059373 second(s), 24 queries .

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表