本發(fā)明涉及一種反彈shell防御方法、裝置、存儲(chǔ)介質(zhì)及系統(tǒng)，屬于反彈shell防御。

背景技術(shù)：

1、在網(wǎng)絡(luò)安全領(lǐng)域，反彈shell（reverse?shell）技術(shù)作為一種高級(jí)且隱蔽的遠(yuǎn)程攻擊手段，日益受到黑客和網(wǎng)絡(luò)安全研究人員的關(guān)注。反彈shell技術(shù)允許攻擊者通過誘導(dǎo)受害者的計(jì)算機(jī)主動(dòng)建立反向連接至攻擊者控制的服務(wù)器，從而繞過傳統(tǒng)的防火墻和入侵檢測(cè)機(jī)制，實(shí)現(xiàn)對(duì)受害者系統(tǒng)的遠(yuǎn)程控制。

2、該技術(shù)的基本原理在于，攻擊者首先在其控制的服務(wù)器上設(shè)置監(jiān)聽端口，并構(gòu)造惡意代碼或利用系統(tǒng)漏洞，誘導(dǎo)受害者執(zhí)行該代碼。一旦執(zhí)行，受害者的計(jì)算機(jī)會(huì)主動(dòng)向攻擊者預(yù)設(shè)的監(jiān)聽端口發(fā)起連接，建立起一個(gè)反向shell會(huì)話。通過這個(gè)會(huì)話，攻擊者可以像操作本地系統(tǒng)一樣，在受害者計(jì)算機(jī)上執(zhí)行任意命令，竊取敏感數(shù)據(jù)，甚至進(jìn)行更進(jìn)一步的惡意操作。反彈shell技術(shù)的隱蔽性和高效性使其成為網(wǎng)絡(luò)攻擊中極具威脅性的手段之一。它不僅能夠穿透嚴(yán)格的網(wǎng)絡(luò)訪問控制策略，還能在不被傳統(tǒng)安全設(shè)備輕易察覺的情況下實(shí)施攻擊。因此，對(duì)于網(wǎng)絡(luò)安全防護(hù)體系而言，識(shí)別和防御反彈shell攻擊顯得尤為重要。

3、隨著網(wǎng)絡(luò)攻擊手段的不斷演進(jìn)與復(fù)雜化，如反彈shell技術(shù)，傳統(tǒng)的防御機(jī)制如防火墻、入侵檢測(cè)系統(tǒng)等已難以滿足全面保護(hù)的需求。在此背景下，欺騙防御技術(shù)作為一種創(chuàng)新的網(wǎng)絡(luò)安全策略應(yīng)運(yùn)而生。欺騙防御技術(shù)通過在網(wǎng)絡(luò)中故意引入虛假信息或構(gòu)建模擬環(huán)境（如蜜罐、蜜網(wǎng)等），誘使攻擊者將資源消耗在無關(guān)緊要的誘餌上，從而有效保護(hù)真實(shí)資產(chǎn)免受侵害。

4、該技術(shù)不僅能夠顯著降低攻擊者成功入侵的概率，還能在攻擊發(fā)生時(shí)收集并分析攻擊者的行為數(shù)據(jù)，為后續(xù)的威脅情報(bào)分析和防御策略優(yōu)化提供寶貴信息。蜜罐作為一種經(jīng)典的欺騙防御手段，通過模擬真實(shí)系統(tǒng)的漏洞和弱點(diǎn)，吸引攻擊者進(jìn)行試探和攻擊，同時(shí)記錄下攻擊者的行為模式、工具和技術(shù)，幫助防御者了解最新的攻擊趨勢(shì)和手法。而蜜網(wǎng)則進(jìn)一步擴(kuò)展了這一概念，通過構(gòu)建包含多個(gè)蜜罐的復(fù)雜網(wǎng)絡(luò)環(huán)境，模擬真實(shí)世界的網(wǎng)絡(luò)拓?fù)浜蛻?yīng)用場(chǎng)景，實(shí)現(xiàn)對(duì)更廣泛、更復(fù)雜的攻擊行為的誘捕和分析。

5、盡管現(xiàn)有欺騙防御技術(shù)已經(jīng)在實(shí)際應(yīng)用中發(fā)揮了重要作用，但仍然存在一些共同的問題。首先，現(xiàn)有欺騙防御技術(shù)無法在防御方真實(shí)業(yè)務(wù)服務(wù)器內(nèi)部進(jìn)行欺騙誘捕，蜜罐與密網(wǎng)一般占用網(wǎng)絡(luò)中的空閑資源如空閑ip與空閑端口。其次，現(xiàn)有欺騙技術(shù)主要依賴攻擊者主動(dòng)發(fā)現(xiàn)密網(wǎng)攻擊蜜罐，缺乏主動(dòng)對(duì)攻擊過程實(shí)施欺騙防御的能力，對(duì)攻擊的誘捕比較被動(dòng)。此外，現(xiàn)有的欺騙防御技術(shù)無法與攻擊者已經(jīng)創(chuàng)建的木馬后門、反彈shell進(jìn)程等攻擊資源進(jìn)行交互欺騙。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明的目的在于提供一種反彈shell防御方法、裝置、存儲(chǔ)介質(zhì)及系統(tǒng)，解決現(xiàn)有技術(shù)中存在的無法在防御方內(nèi)部進(jìn)行防御、缺乏主動(dòng)防御能力、無法和攻擊者已創(chuàng)建的攻擊資源進(jìn)行交互欺騙的問題。

2、為實(shí)現(xiàn)以上目的，本發(fā)明是采用下述技術(shù)方案實(shí)現(xiàn)的：

3、第一方面，本發(fā)明提供了一種反彈shell防御方法，包括：

4、通過監(jiān)控防御方真實(shí)業(yè)務(wù)服務(wù)器的主機(jī)進(jìn)程與網(wǎng)絡(luò)會(huì)話，檢測(cè)出攻擊者發(fā)起的反彈shell進(jìn)程；

5、發(fā)送啟動(dòng)指令給和防御方真實(shí)業(yè)務(wù)服務(wù)器連接的bash正向代理蜜罐；

6、獲取進(jìn)程欺騙劫持模塊代碼，將所述進(jìn)程欺騙劫持模塊代碼注入到所述反彈shell進(jìn)程中；

7、通過所述進(jìn)程欺騙劫持模塊代碼，將攻擊者針對(duì)所述反彈shell進(jìn)程發(fā)出的命令進(jìn)行截獲并發(fā)送給所述bash正向代理蜜罐，然后接收所述bash正向代理蜜罐根據(jù)接收到的命令生成的虛假應(yīng)答，將所述虛假應(yīng)答發(fā)送給所述反彈shell進(jìn)程；

8、通過所述反彈shell進(jìn)程將所述虛假應(yīng)答發(fā)送給攻擊者。

9、進(jìn)一步的，所述bash正向代理蜜罐設(shè)有正向代理端口，所述命令發(fā)送給所述正向代理端口，接收的所述虛假應(yīng)答也從正向代理端口發(fā)出。

10、進(jìn)一步的，所述將所述進(jìn)程欺騙劫持模塊代碼注入到所述反彈shell進(jìn)程中，通過進(jìn)程注入技術(shù)完成。

11、進(jìn)一步的，在將所述進(jìn)程欺騙劫持模塊代碼注入到所述反彈shell進(jìn)程中之后，還包括：根據(jù)所述進(jìn)程欺騙劫持模塊代碼構(gòu)建進(jìn)程欺騙劫持模塊，所述進(jìn)程欺騙劫持模塊是一個(gè).so文件。

12、進(jìn)一步的，所述根據(jù)所述進(jìn)程欺騙劫持模塊代碼構(gòu)建進(jìn)程欺騙劫持模塊，通過以下命令實(shí)現(xiàn)：g++?-fpic?-shared?-o?libdefense.so?defense.cpp?-ldl。

13、進(jìn)一步的，所述將攻擊者針對(duì)所述反彈shell進(jìn)程發(fā)出的命令進(jìn)行截獲并發(fā)送給所述bash正向代理蜜罐，包括：所述進(jìn)程欺騙劫持模塊代碼更改所述反彈shell進(jìn)程接收到命令后的執(zhí)行流程，釋放所述反彈shell進(jìn)程對(duì)所述命令的執(zhí)行函數(shù)，將所述命令轉(zhuǎn)發(fā)給所述bash正向代理蜜罐。

14、第二方面，本發(fā)明提供了一種反彈shell防御裝置，包括：

15、進(jìn)程檢測(cè)模塊，被配置為：通過監(jiān)控防御方真實(shí)業(yè)務(wù)服務(wù)器的主機(jī)進(jìn)程與網(wǎng)絡(luò)會(huì)話，檢測(cè)出攻擊者發(fā)起的反彈shell進(jìn)程；

16、蜜罐啟動(dòng)模塊，被配置為：發(fā)送啟動(dòng)指令給和防御方真實(shí)業(yè)務(wù)服務(wù)器連接的bash正向代理蜜罐；

17、代碼注入模塊，被配置為：獲取進(jìn)程欺騙劫持模塊代碼，將所述進(jìn)程欺騙劫持模塊代碼注入到所述反彈shell進(jìn)程中；

18、虛假應(yīng)答生成轉(zhuǎn)發(fā)模塊，被配置為：通過所述進(jìn)程欺騙劫持模塊代碼，將攻擊者針對(duì)所述反彈shell進(jìn)程發(fā)出的命令進(jìn)行截獲并發(fā)送給所述bash正向代理蜜罐，然后接收所述bash正向代理蜜罐根據(jù)接收到的命令生成的虛假應(yīng)答，將所述虛假應(yīng)答發(fā)送給所述反彈shell進(jìn)程；

19、虛假應(yīng)答發(fā)送模塊，被配置為：通過所述反彈shell進(jìn)程將所述虛假應(yīng)答發(fā)送給攻擊者。

20、進(jìn)一步的，所述虛假應(yīng)答生成轉(zhuǎn)發(fā)模塊將攻擊者針對(duì)所述反彈shell進(jìn)程發(fā)出的命令進(jìn)行截獲并發(fā)送給所述bash正向代理蜜罐，包括：所述進(jìn)程欺騙劫持模塊代碼更改所述反彈shell進(jìn)程接收到命令后的執(zhí)行流程，釋放所述反彈shell進(jìn)程對(duì)所述命令的執(zhí)行函數(shù)，將所述命令轉(zhuǎn)發(fā)給所述bash正向代理蜜罐。

21、第三方面，本發(fā)明提供了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，其上存儲(chǔ)有計(jì)算機(jī)程序/指令，該計(jì)算機(jī)程序/指令被處理器執(zhí)行時(shí)，實(shí)現(xiàn)第一方面中任一項(xiàng)所述的反彈shell防御方法的步驟。

22、第四方面，本發(fā)明提供了一種反彈shell防御系統(tǒng)，包括防御方和bash正向代理蜜罐；

23、所述防御方用于執(zhí)行第一方面中任一項(xiàng)所述的反彈shell防御方法的步驟；

24、所述bash正向代理蜜罐中設(shè)有正向代理端口，所述bash正向代理蜜罐執(zhí)行以下操作：通過所述正向代理端口接收防御方中的進(jìn)程欺騙劫持模塊代碼發(fā)來的攻擊者針對(duì)所述反彈shell進(jìn)程發(fā)出的命令，在bash正向代理蜜罐中執(zhí)行所述命令，得到虛假應(yīng)答，將所述虛假應(yīng)答發(fā)送給防御方中的反彈shell進(jìn)程。

25、與現(xiàn)有技術(shù)相比，本發(fā)明所達(dá)到的有益效果是：

26、本發(fā)明提供的一種反彈shell防御方法、裝置、存儲(chǔ)介質(zhì)及系統(tǒng)，通過監(jiān)控發(fā)現(xiàn)攻擊者發(fā)起的反彈shell進(jìn)程，然后將進(jìn)程欺騙劫持模塊代碼注入到反彈shell進(jìn)程中，修改其運(yùn)行邏輯，截獲攻擊者下發(fā)的命令（惡意命令）并發(fā)送到bash正向代理蜜罐中，通過以上手段可在攻擊者與反彈shell進(jìn)程正常交互過程中，將攻擊者對(duì)真實(shí)業(yè)務(wù)服務(wù)器中反彈shell進(jìn)程的惡意命令，轉(zhuǎn)移到虛擬蜜罐模塊中，攻擊者實(shí)際與虛擬蜜罐中的bash正向代理蜜罐進(jìn)行交互，大大提升了欺騙防御技術(shù)與真實(shí)業(yè)務(wù)的融合性，改善了密網(wǎng)對(duì)攻擊者動(dòng)作進(jìn)行主動(dòng)誘捕的能力，使得欺騙防御技術(shù)具備主動(dòng)對(duì)攻擊過程實(shí)施欺騙的能力；其中與反彈shell進(jìn)程的交互過程，也解決了現(xiàn)有技術(shù)中無法和攻擊者已創(chuàng)建的攻擊資源進(jìn)行交互欺騙的問題；本方法全程在防御方真實(shí)業(yè)務(wù)服務(wù)器內(nèi)部進(jìn)行，同時(shí)解決了現(xiàn)有技術(shù)中無法在防御方內(nèi)部進(jìn)行防御的問題。

27、本發(fā)明的附加優(yōu)點(diǎn)、目的，以及特征將在下面的描述中將部分地加以闡述，且將對(duì)于本領(lǐng)域普通技術(shù)人員在研究下文后部分地變得明顯，或者可以根據(jù)本發(fā)明的實(shí)踐而獲知。本發(fā)明的目的和其它優(yōu)點(diǎn)可以通過在說明書以及附圖中具體指出的結(jié)構(gòu)實(shí)現(xiàn)到并獲得。

28、本領(lǐng)域技術(shù)人員將會(huì)理解的是，能夠用本發(fā)明實(shí)現(xiàn)的目的和優(yōu)點(diǎn)不限于以上具體所述，并且根據(jù)以下詳細(xì)說明將更清楚地理解本發(fā)明能夠?qū)崿F(xiàn)的上述和其他目的。