怎么在Windows和Linux服務(wù)器中檢測混淆命令

這篇文章主要介紹“怎么在Windows和Linux服務(wù)器中檢測混淆命令”，在日常操作中，相信很多人在怎么在Windows和Linux服務(wù)器中檢測混淆命令問題上存在疑惑，小編查閱了各式資料，整理出簡單好用的操作方法，希望對大家解答”怎么在Windows和Linux服務(wù)器中檢測混淆命令”的疑惑有所幫助！接下來，請跟著小編一起來學(xué)習(xí)吧！

工具介紹

在目前的無文件惡意軟件或網(wǎng)絡(luò)犯罪領(lǐng)域中，命令行混淆已經(jīng)是很常見的了。為了繞過基于簽名的安全檢測機制，紅隊滲透測試以及APT攻擊活動都會使用各種專用的混淆/模糊技術(shù)。同時，許多代碼混淆工具（即執(zhí)行語法轉(zhuǎn)換工具）都已開源，這也使得網(wǎng)絡(luò)攻擊者們對給定命令進行混淆處理變得越來越容易了。

然而，針對這類技術(shù)的防御工具卻仍然很少。針對Linux的命令行混淆，我們幾乎找不到任何可以使用的檢測工具。在防范Windows命令混淆方面，現(xiàn)有的方案要么是缺乏相應(yīng)工具，要么只是解決了部分問題，并沒有徹底解決所有問題。

為了更好地檢測相關(guān)威脅，我們設(shè)計并開發(fā)了Flerken，這是一個工具化的平臺，可以用來檢測Windows（CMD和PowerShell）和Linux（Bash）命令。Flerken可分為Kindle和Octopus這兩個模塊，其中Kindle針對的是Windows模糊檢測工具，而Octopus針對的是Linux模糊測試工具。除此之外，為了優(yōu)化Flerken的分類性能，我們還引入了機器學(xué)習(xí)、雙向特征過濾和腳本沙盒等技術(shù)。

工具安裝&使用

工具安裝

1、 確保服務(wù)器端已安裝了Python 3.x，你可以使用下列命令來檢測：

[root@server:~$]python –V

2、 安裝依賴組件，所有的依賴組件已在requirement.txt中聲明：

[root@server:~$]python –V

3、 登錄MySQL控制臺，導(dǎo)入數(shù)據(jù)庫：

source/your path/Flerken/flerken/lib/flerken.sql

4、 自定義配置Flerken App：

Path:flerken/config/global_config.py

5、 運行工具：

[root@server:~$]python runApp.py

6、（可選）為了降低假陽性，可根據(jù)需要構(gòu)建白名單規(guī)則：

Path:flerken/config/whitelists/

工具使用

工具的使用如下圖所示，我們還可以使用API接口：

獲取幫助信息

如果你對Flerken的使用有任何疑問，可以直接創(chuàng)建issue并進行標(biāo)注，我們會盡快解決大家提出的問題：

內(nèi)置的第三方庫

Flask

Flask-WTF

Flask-Limiter

frankie-huang/pythonMySQL

jQuery

Swiper

到此，關(guān)于“怎么在Windows和Linux服務(wù)器中檢測混淆命令”的學(xué)習(xí)就結(jié)束了，希望能夠解決大家的疑惑。理論與實踐的搭配能更好的幫助大家學(xué)習(xí)，快去試試吧！若想繼續(xù)學(xué)習(xí)更多相關(guān)知識，請繼續(xù)關(guān)注億速云網(wǎng)站，小編會繼續(xù)努力為大家?guī)砀鄬嵱玫奈恼拢?/p>