ShadowHS fileless framework
A Cyble a ShadowHS nevű, Linux rendszerek ellen használt, fileless keretrendszert mutatja be. Az eszköz célja nem a kezdeti behatolás, hanem a már kompromittált rendszeren belüli további műveletek támogatása, úgy, hogy közben nem hoz létre hagyományos fájlokat a lemezen. A ShadowHS működése teljes egészében memóriában zajlik, ami megnehezíti az észlelését a klasszikus, fájlalapú biztonsági megoldások számára.
A keretrendszer moduláris felépítésű, egy betöltő komponens indítja el a memóriában futó fő folyamatot, amely kapcsolatot tart a parancs- és vezérlőszerverrel, majd a kapott utasítások alapján további funkciókat tölt be. Ezek a modulok képesek rendszerinformációk gyűjtésére, parancsok végrehajtására, adatok kinyerésére és hálózati felderítésre is, mindezt úgy, hogy nem hagynak tartós nyomot a fájlrendszeren. A kommunikáció jellemzően titkosított csatornán történik, és a funkcionalitás futás közben bővíthető.
Az ilyen típusú eszközök különösen relevánsak Linux alapú szerver- és ipari környezetekben, ahol a kompromittálódás hosszabb ideig észrevétlen maradhat. A ShadowHS esetében a hangsúly egyre inkább a memóriaszintű működésen és a dinamikusan betöltött komponenseken van, ami új kihívásokat jelent a védekezés és az észlelés szempontjából.
