Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "A Linux Binary Runtime Crypter - in BASH!" --> Erkennung ?!? - nur die ausführbare Datei wird verschlüsselt, nicht der Prozess ;) - file scanning mit YARA (bspw. via THOR liet [1]) - aufgrund der schlechten Kompression einer verschlüsselten Datei, kann einfach die Dateigröße mit gzip behandelten Version der Datei verglichen werden, Größe sollte nahezu gleich sein - ss/sar/lsof/netstat/.. sollten Infos dem laufenden Prozess liefern, z.B: lsof -p ${PID} ss -tulpen sar -n ${EDEV} - ls -l /proc/${PID} kann im Anschluß weitere Infos liefern file descriptors: ls -l /proc/${PID}/fd network: ls -l /proc/${PID}/stack - cp /proc/${PID}/exe /tmp/malicious.bin --> VirusTotal etc. - cd /proc/${PID}/fd && file -L ${NUMMBER_OF_DESCRIPTOR} - entropy-detection, bspw. mit [2] --> gut gegen Erkennung im Zustand der einfachen Speicherung, wenn aber einmal ausgeführt ... VG Bernd [0] https://github.com/hackerschoice/bincrypter [1] https://www.nextron-systems.com/thor-lite/ [2] https://github.com/sandflysecurity/sandfly-entropyscan -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 E-Mail: kohler@itc.rwth-aachen.de Web: https://www.itc.rwth-aachen.de Social-Media-Kanäle des IT Centers: https://blog.rwth-aachen.de/itc/ https://www.facebook.com/itcenterrwth https://www.instagram.com/itcenterrwthaachen/ https://www.linkedin.com/company/itcenterrwth https://www.youtube.com/c/ITCenterRWTHAachen