跳转至

忽略进程中断

对手可能通过执行隐藏在进程中断信号中的命令来规避防御机制。许多操作系统使用信号传递消息以控制进程行为。命令解释器通常包括特定的命令/标志,忽略错误和其他挂起,例如当活动会话的用户注销时。(引用: Linux Signal Man) 这些中断信号也可能被防御工具和/或分析师用来暂停或终止指定的运行进程。 对手可能会调用使用 nohupPowerShell -ErrorAction SilentlyContinue 或类似命令的进程,这些命令可能对挂起免疫。(引用: nohup Linux Man)(引用: Microsoft PowerShell SilentlyContinue) 这可能使恶意命令和恶意软件在系统事件(例如用户注销或其 C2 网络连接终止)中继续执行。 隐藏在进程中断信号中可能允许恶意软件继续执行,但与陷阱不同,这不会建立持久性,因为一旦实际终止,进程将不会重新调用。