反弹Shell是攻击者用于控制受害服务器的一种手段，将需要受害服务器执行的命令重定向到攻击者指定服务端。受害服务器主动连接攻击者的服务端程序，攻击者的服务端通过监听来自受害服务器的请求，对目标服务器下发指令并获取执行结果，以控制受害服务器。反弹Shell攻击常用于受害服务器位于内网/无法直接连接/IP动态改变、受限于防火墙策略/只能发送请求等无法使用正向连接入侵的场景。云安全中心采用多维度交叉的纵深检测方案检测反弹Shell。对于直接重定向Shell的输入输出到Socket，通过检测Shell的标准输入/输出被重定向到Socket和主机网络日志特征实现。对于通过管道、伪终端等中转，再重定向Shell的输入输出到中转，通过跟踪文件描述符FD，结合进程、网络等多种日志信息，综合分析检测该数据通道。对于编程语言实现标准输入中转，重定向命令执行的输入到中转，通过分析命令序列与攻击者获取Shell后行为相似度，结合多维度特征以及机器行为检测该类反弹Shell。此外，云安全中心通过对落盘脚本文件检测，检测脚本类型的反弹Shell，包括针对无文件类反弹Shell检测。通过函数特征、代码特征、二进制在沙箱中的动态行为特征等，检测二进制反弹Shell。

云熙科技是阿里云精英级代理商，具备专业的企业IT解决方案。为客户提供上云咨询到产品配置、云上解决方案、应用迁移、安全防护、技术支持等全套服务支持。折扣优惠请咨询客服：132 4670 0747（云小二）