T1546.005 - Trap 命令
一、概念攻击者可以通过执行由中断信号触发的恶意内容来实现持久化,trap 命令允许程序和 shell 在接收到中断信号时执行命令。一个常见的情况是允许终止和处理常见键盘中断 (如 ctrl+c 和 ctrl+d) 的脚本。
当 shell 遇到特定中断时,攻击者使用 trap 命令来记录将被执行的代码,此可作为一种持久化机制。trap 命令为以下格式,trap 'command list' signals,当接收到 signals 时,将执行 command list 命令。
二、涉及到组织或恶意软件
not yet
三、案例
not yet
四、缓解措施
这种类型的攻击技术无法通过预防性控制来轻松缓解,因为它基于滥用系统功能。
五、如何检测
必须为 shell 或程序注册 trap 命令,以便它们出现在文件中。监视文件中是否存在可疑或过于宽泛的 trap 命令可以缩小调查期间的可疑行为,监控通过 trap 中断执行的可疑进程。
页:
[1]