Em segurança de computadores , um shellcode é um pequeno pedaço de código usado como a carga útil na exploração de um software vulnerabilidade . É chamado de "shellcode" porque normalmente inicia um shell de comando a partir do qual o atacante pode controlar a máquina comprometida, mas qualquer pedaço de código que executa uma tarefa semelhante pode ser chamado de shellcode. Dado que a função de uma carga útil não se limita a apenas uma concha desova, alguns sugeriram que o nome de código da shell é insuficiente. No entanto, as tentativas de substituição do termo não ganhou grande aceitação. Shellcode é comumente escrito em código de máquina .
Tipos:
Shellcode tanto podem ser locais ou remotos , dependendo se ele dá um controle atacante sobre a máquina ele roda em (local) ou sobre outra máquina através de uma rede (remoto).
Local shellcode é usado por um invasor que tem acesso limitado a uma máquina, mas pode explorar uma vulnerabilidade, por exemplo, um estouro de buffer , em um processo de maior privilegiado nessa máquina. Se for executado com sucesso, o shellcode irá fornecer o acesso atacante para a máquina com os mesmos privilégios mais altos como o processo alvejado.
Remoto shellcode é usado quando um atacante quer atingir um processo vulnerável executando em outra máquina em uma rede local ou intranet . Se for executado com sucesso, o shellcode pode proporcionar ao atacante o acesso à máquina de destino através da rede. Shellcodes remotos normalmente usa padrão TCP / IP soquete conexões para permitir que o invasor acesse o shell na máquina de destino. Tal shellcode podem ser categorizadas com base em como esta ligação é estabelecida: se o shellcode pode estabelecer esta conexão, ela é chamada de "shell reverso" ou um connect-back shellcode porque o shellcode liga de volta para a máquina do atacante. Por outro lado, se o intruso tem de criar a ligação, o código da shell é chamado um bindshell porque o código da shell se liga a uma determinada porta em que o atacante pode conectar para controlá-lo. Um terceiro tipo, muito menos comum, é socket-reutilização shellcode. Este tipo de shellcode às vezes é usado quando um exploit estabelece uma conexão com o processo vulnerável que não está fechada antes do shellcode é executado. O shellcode pode então voltar a usar esta conexão para se comunicar com o atacante. Tomada re-utilizando shellcode é mais elaborado, uma vez que o shellcode precisa descobrir qual a ligação para a reutilização e a máquina pode ter muitas conexões abertas.
Um firewall pode ser usado para detectar as conexões de saída feitas por shellcodes connect-back ea tentativa de aceitar conexões de entrada feitas por bindshells. Eles podem, portanto, oferecer alguma proteção contra um atacante, mesmo se o sistema é vulnerável, ao impedir o atacante de acesso ao shell criado pelo shellcode. Esta é uma razão pela qual soquete re-utilizando shellcode é usado às vezes: porque não criar novas conexões e, portanto, é mais difícil de detectar e bloquear.
Tipos:
Shellcode tanto podem ser locais ou remotos , dependendo se ele dá um controle atacante sobre a máquina ele roda em (local) ou sobre outra máquina através de uma rede (remoto).
Local shellcode é usado por um invasor que tem acesso limitado a uma máquina, mas pode explorar uma vulnerabilidade, por exemplo, um estouro de buffer , em um processo de maior privilegiado nessa máquina. Se for executado com sucesso, o shellcode irá fornecer o acesso atacante para a máquina com os mesmos privilégios mais altos como o processo alvejado.
Remoto shellcode é usado quando um atacante quer atingir um processo vulnerável executando em outra máquina em uma rede local ou intranet . Se for executado com sucesso, o shellcode pode proporcionar ao atacante o acesso à máquina de destino através da rede. Shellcodes remotos normalmente usa padrão TCP / IP soquete conexões para permitir que o invasor acesse o shell na máquina de destino. Tal shellcode podem ser categorizadas com base em como esta ligação é estabelecida: se o shellcode pode estabelecer esta conexão, ela é chamada de "shell reverso" ou um connect-back shellcode porque o shellcode liga de volta para a máquina do atacante. Por outro lado, se o intruso tem de criar a ligação, o código da shell é chamado um bindshell porque o código da shell se liga a uma determinada porta em que o atacante pode conectar para controlá-lo. Um terceiro tipo, muito menos comum, é socket-reutilização shellcode. Este tipo de shellcode às vezes é usado quando um exploit estabelece uma conexão com o processo vulnerável que não está fechada antes do shellcode é executado. O shellcode pode então voltar a usar esta conexão para se comunicar com o atacante. Tomada re-utilizando shellcode é mais elaborado, uma vez que o shellcode precisa descobrir qual a ligação para a reutilização e a máquina pode ter muitas conexões abertas.
Um firewall pode ser usado para detectar as conexões de saída feitas por shellcodes connect-back ea tentativa de aceitar conexões de entrada feitas por bindshells. Eles podem, portanto, oferecer alguma proteção contra um atacante, mesmo se o sistema é vulnerável, ao impedir o atacante de acesso ao shell criado pelo shellcode. Esta é uma razão pela qual soquete re-utilizando shellcode é usado às vezes: porque não criar novas conexões e, portanto, é mais difícil de detectar e bloquear.