Cybersec NewsНашите експертиПолезни съвети

FEE – Инструмент за създаване и изпълнение на ELF файлове без да бъдат записвани върху диска

Николай Пасков Send an email 05/07/2024, 9:53
270 чете се за 1 минута

Тези от вас, който се занимават активно с пенетрейшън тестинг или ред тийминг задачи, знаят че понякога е от ключово значение да можеш да изпълниш байнъри код, без да го записваш върху диска и без да оставя следи (почти) Инструментът „fee“ (File-less ELF Execution) предлага елегантно решение на този проблем, използвайки техника за изпълнение на ELF (Executable and Linkable Format) файлове директно от паметта.

Как работи FEE?

FEE е Python скрипт, който генерира python код за зареждане на подадения ELF като файл в паметта и го изпълнява, без да използва временна файлова система (tmpfs). Това позволява изпълнението на байнъри файлове без да оставя никакви следи на диска.

Ключът към функционирането на FEE е извикване на системната функция `memfd_create`. След като бъде извикана, се създава анонимен файл в паметта, за който се връща файлов дескриптор, който се отнася към него. Съотведния дескриптор е видим във файловата система само като символна връзка в `/proc/<PID>/fd/` (например `/proc/10766/fd/3`).

Интересното е, че `execve` (системната функция за изпълнение на файлове) може да използва този файлов дескриптор за изпълнение на ELF бинарен файл, все едно е обикновен файл, който е записан върху диска.

Какви са предимствата на FEE

  1. Не оставя следи на диска: Изпълнението на бинарни файлове чрез FEE не записва нищо на диска, което може да бъде потвърдено с инструменти като `strace`.
  2. Заобикаля `noexec` флагове: FEE игнорира и заобикаля `noexec` флаговете на монтираните файлови системи, дори ако са зададени по този начин в `/proc`.
  3. Гъвкавост при именуването: Въпреки че името на анонимния файл не влияе на поведението му, FEE позволява задаването на име за целите на дебъгване или форенсик анализ.

Къде може да намери приложение този инструмент

FEE може да бъде полезен в различни сценарии, включително:

  • Тестване на сигурността и пентестинг
  • Форенсик анализ
  • Системна администрация в специфични случаи
  • Разработка и дебъгване на софтуер

FEE предлага мощен и елегантен начин за изпълнение на ELF файлове без да оставя следи на диска. Въпреки че този инструмент може да бъде изключително полезен в определени ситуации, важно е да се използва отговорно и етично, спазвайки всички приложими закони и разпоредби.

Инструмента може да бъде свален от следния линк: https://github.com/nnsee/fileless-elf-exec

Тагове
Николай Пасков Send an email 05/07/2024, 9:53
270 чете се за 1 минута
Покажи още
Back to top button