Пользователь в нашей (openSuSE) Linux-системе попытался запустить sudo и вызвал предупреждение. У него установлена переменная окружения EGG -
EGG=UH211åH1ÒH»ÿ/bin/shHÁSH211çH1ÀPWH211æ°;^O^Ej^A_j<X^O^EÉÃÿ
Это выглядит как минимум необычно.
Является ли EGG допустимой переменной среды? (Я нашел несколько ссылок на PYTHON_EGG_CACHE - могут быть связаны? Но эта переменная среды не установлена для этого пользователя). Если это законно, то я полагаю, что у этой группы больше шансов распознать это.
Или, учитывая встроенный /bin/sh
в строке выше, распознает ли кто-нибудь это как отпечаток пальца эксплойта? Это будет не первый раз, когда у нас будет взломанный аккаунт (вздох).
В некоторых случаях эксплойтов полезная нагрузка, которая вызывает выполнение эксплойта, может быть очень маленькой. В этих случаях общий метод состоит в том, чтобы иметь небольшую полезную нагрузку начальной загрузки, которая может загружать полезную нагрузку, доставляемую по-другому (эта большая полезная нагрузка не должна запускать эксплойт).
В случае sudo и т. Д. Пользователь может контролировать среду. Таким образом, пользователь может потенциально доставлять большую полезную нагрузку с помощью среды и иметь достаточно небольшую полезную нагрузку, которая затем может искать / загружать фактические.
Некоторые типичные полезные данные начальной загрузки ищут конкретную переменную среды (например, пасхальную EGG HUNT) для загрузки и поэтому будут называться EGGS.
См. Например: http://www.hick.org/code/skape/papers/egghunt-shellcode.pdf
В этом случае, похоже, вы нашли себе сценариста.