CRIL揭露ShadowHS:一款专为隐蔽长期访问而构建的无文件Linux后渗透框架

admin
admin
admin
0
文章
0
评论
2026-02-03 01:03:34 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: CRIL揭露无文件Linux后渗透框架ShadowHS,利用内存运行和加密加载绕过传统检测。该工具集成侦察、提权、横向移动及GSocket隧道数据外泄功能,亦支持挖矿与反竞争。鉴于其无磁盘特性,防御需转向监控进程行为与内存活动。 综合评分: 86 文章分类: 威胁情报,恶意软件,红队,内网渗透

cover_image

CRIL 揭露 ShadowHS:一款专为隐蔽长期访问而构建的无文件 Linux 后渗透框架

会杀毒的单反狗 会杀毒的单反狗

军哥网络安全读报

2026年2月2日 09:10 湖北

Cyble Research & Intelligence Labs (CRIL) 发现了 ShadowHS,这是一款完全在系统内存中运行的 Linux 后渗透工具包,旨在实现初始入侵后的隐蔽持久化。

它无需将二进制文件写入磁盘,而是以无文件方式运行,从而绕过标准安全检查,并最大限度地减少取证痕迹。

ShadowHS 依赖于一种经过武器化的 hackshell,使攻击者能够通过交互式会话保持长期远程控制。这种无文件方式使得检测更加困难,因为许多传统工具侧重于扫描存储的文件,而不是内存中的活动。

CRIL发现ShadowHS是通过一个加密的shell加载器进行传播的,该加载器部署了一个经过深度修改的hackshell组件。

在执行过程中,加载器使用AES-256-CBC解密算法,结合Perl字节跳过例程和gzip解压缩,在内存中重建有效载荷。重建完成后,有效载荷通过/proc//fd/目录执行,并使用伪造的argv[0]参数。这种方法旨在避免在磁盘上留下痕迹,从而绕过基于特征码的检测工具。

ShadowHS一旦激活,便会首先进行侦察,绘制系统防御图并识别已安装的安全工具。它会检查是否存在先前入侵的迹象,并有意将后台活动保持在较低水平,从而使操作人员能够有选择地激活诸如凭证窃取、横向移动、权限提升、加密货币挖矿和隐蔽数据窃取等功能。

CRIL指出,这种行为体现了操作人员严谨的专业技能,而非机会主义攻击。

ShadowHS 还对 CrowdStrike、Tanium、Sophos 和 Microsoft Defender 等商业终端工具以及与云平台和工业控制环境相关的监控代理进行广泛的指纹识别。尽管运行时活动似乎受到限制,但 CRIL 强调该框架包含更广泛的潜在功能,可在需要时触发。

CRIL重点指出ShadowHS的一项关键特性是其隐蔽的数据外泄方法。它不使用标准网络通道,而是利用基于GSocket的用户空间隧道技术,取代rsync的默认传输方式,从而能够穿透防火墙和受限环境传输数据。

研究人员观察到两种变体:一种使用基于DBus的隧道技术,另一种使用类似netcat的GSocket隧道技术,这两种方法都旨在保留文件元数据,例如时间戳、权限和部分传输状态。

该框架还包含用于内存转储以窃取凭证、基于 SSH 的横向移动和暴力破解扫描以及利用内核漏洞进行权限提升的休眠模块。它还通过 XMRig、GMiner 和 lolMiner 等工具提供加密货币挖矿支持。

此外,ShadowHS 还包含反竞争程序,用于检测和终止 Rondo 和 Kinsing 等竞争对手的恶意软件,以及 Ebury 等窃取凭证的后门程序,同时检查内核完整性和已加载的模块,以评估主机是否已被入侵或处于监视之下。

CRIL 总结认为,ShadowHS 凸显了 Linux 环境在抵御无文件威胁方面面临的日益严峻的挑战。由于此类攻击不会留下磁盘痕迹,传统的防病毒软件和基于文件的检测方法都难以奏效。有效的防御需要监控进程行为、内核遥测数据和内存驻留活动,重点关注实时系统行为而非静态指标。

技术报告:

《ShadowHS:基于武器化 hackshell 构建的无文件 Linux 后渗透框架》

ShadowHS: A Fileless Linux Post‑Exploitation Framework Built on a Weaponized hackshell

新闻链接:

https://www.cysecurity.news/2026/01/cril-uncovers-shadowhs-fileless-linux.html

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:军哥网络安全读报 会杀毒的单反狗 会杀毒的单反狗《CRIL 揭露 ShadowHS:一款专为隐蔽长期访问而构建的无文件 Linux 后渗透框架》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0