이 기사 시리즈는 보안 도구의 탐지를 피하기 위해 Syscall Evasion 기술에 중점을두고 있으며이를 대응하는 방법. 특히, 우리는 그것이 Linux 운영 체제에 어떻게 적용되는지 설명 할 것이지만, 우리는 후자의 부분에 대해 Windows에도 적용 할 수 있다는 것을 설명 할 것입니다.

첫 번째 기사는 Bash Shell 내장 기능을 사용하여 Syscall을 피하는 방법을 설명합니다. SYSCALL은 사용자 공간 애플리케이션과 커널 간의 인터페이스이며 보안 도구는 일반적으로 이러한 시스템 호출의 트렌드를 모니터링하여 악성 활동을 모니터링합니다. 그러나 다양한 유형의 시스템 통화와 일부 중첩 된 기능이 있으므로 보안 도구가 특정 시스템 호출을 모니터링하는 경우에도 공격자는 다른 시스템 호출을 사용하여 피할 수 있습니다.

예를 들어, Bash의 내장 기능을 사용하여 CAT 명령의 동작을 재현 할 수 있으며, 이는 execve () 시스템 호출을 피하고 파일의 내용을 읽지 않습니다. 이러한 해결 방법을 사용하면 프로세스 실행 만 모니터링하는 보안 도구의 레이더 아래에서 데이터를 완전히 읽을 수 있습니다.

이 기사에서는 시스템 호출 회피 방법과 보안 도구가이를 대응 해야하는보다 미묘하고 포괄적 인 접근법에 대해 설명합니다.