Назад | Перейти на главную страницу

Что такое переменная среды EGG?

Пользователь в нашей (openSuSE) Linux-системе попытался запустить sudo и вызвал предупреждение. У него установлена ​​переменная окружения EGG -

EGG=UH211åH1ÒH»ÿ/bin/shHÁSH211çH1ÀPWH211æ°;^O^Ej^A_j<X^O^EÉÃÿ

Это выглядит как минимум необычно.

Является ли EGG допустимой переменной среды? (Я нашел несколько ссылок на PYTHON_EGG_CACHE - могут быть связаны? Но эта переменная среды не установлена ​​для этого пользователя). Если это законно, то я полагаю, что у этой группы больше шансов распознать это.

Или, учитывая встроенный /bin/sh в строке выше, распознает ли кто-нибудь это как отпечаток пальца эксплойта? Это будет не первый раз, когда у нас будет взломанный аккаунт (вздох).

В некоторых случаях эксплойтов полезная нагрузка, которая вызывает выполнение эксплойта, может быть очень маленькой. В этих случаях общий метод состоит в том, чтобы иметь небольшую полезную нагрузку начальной загрузки, которая может загружать полезную нагрузку, доставляемую по-другому (эта большая полезная нагрузка не должна запускать эксплойт).

В случае sudo и т. Д. Пользователь может контролировать среду. Таким образом, пользователь может потенциально доставлять большую полезную нагрузку с помощью среды и иметь достаточно небольшую полезную нагрузку, которая затем может искать / загружать фактические.

Некоторые типичные полезные данные начальной загрузки ищут конкретную переменную среды (например, пасхальную EGG HUNT) для загрузки и поэтому будут называться EGGS.

См. Например: http://www.hick.org/code/skape/papers/egghunt-shellcode.pdf

В этом случае, похоже, вы нашли себе сценариста.