GTFOBins / GitHub
ほとんどのコメンテーターは、Linuxとより優れたUnixエコシステムは、他のテクノロジープラットフォームよりも全体としてはるかに安全であると考えていますが、GitHubの1つのリストは異なるように求めています。 GTFOBinsという名前のプロジェクトは、攻撃者が悪用して制限されたシェルに侵入したり、特権を昇格させたりする可能性のある、正当なUnixバイナリの名前を収集しています。名前が示すように、これらのバイナリはすべて、通常の操作から抜け出し、攻撃者が侵入先のマシンに悪意のあることを実行できるようにするために使用できます。
オープンソース開発の真の精神において、GTFOBinsは共有プロジェクトであり、誰でもリストに追加のバイナリを提供できるほか、リストに既にあるものを新しい方法で悪用するために使用できる新しい手法を提供できます。攻撃者がそれらを使用しようとする前にこれらのエクスプロイトを捕まえることができるときはいつでも、システム管理者は誰かがそうする場合に何を探すべきかを知っているので、このアイデアは確実に普及します。
最新のGTFOBinsコミットにリストされているコマンドのほとんどは、経験豊富なLinuxユーザーが日常的に目にする可能性が高いコマンドです。プロジェクトに携わっている人々は、awk、bash、tarなどの一般的に安全なバイナリの潜在的に安全でない使用法を報告しています。
これらのエクスプロイトのいくつかは、人気のあるテキストエディタviやemacsを含むもののように、ファイルを読み書きする特定のソフトウェアの自然な能力を利用しています。他の人は、pythonとrubyがインタラクティブなプログラミングシェルを提供でき、sftpのようなネットワークアプリケーションがリモートの場所からローカルファイルシステムにファイルをダウンロードするために悪用される可能性があるという事実を利用しています。
リストされているエクスプロイトはいずれも、Linuxセキュリティの世界に衝撃波を送ることは期待されておらず、wgetを使用して他のバイナリをダウンロードする機能のようなものは何年もの間よく理解されています。リポジトリに触発されたLOLBinsプロジェクトには、Windowsのエクスプロイトが無数にリストされています。これは、設計上、エクスプロイトが確実に少ないことを示しているようです。
それでも、GTFOBinsプロジェクトは5月21日までさかのぼることを覚えておくことが重要です。一部のエクスプロイトの言い換えと明確化は、この記事の執筆時点で数時間前のものです。このリポジトリが警告する方法を使用して、攻撃者がセキュリティ制限を回避するのを防ぐために、人気のあるスクリプトが更新を受け取るかどうかを確認することは興味深いはずです。
タグ Linuxのセキュリティ
