江苏龙网

  1. 首页 > 资讯 > 科技 > >

isc|网络空间危机四伏,如何发现威胁的蛛丝马迹?( 二 )


isc|网络空间危机四伏,如何发现威胁的蛛丝马迹?
本文插图

针对入侵分析 , 程度提出了三点 。
绕过本地权限执行 , 即上传xxx.ps1到目标服务器 , 在cmd的环境下 , 在目标服务器本地执行该脚本 。
本地隐藏绕过权限执行脚本 。
用IEX下载远程PS1脚本绕过权限执行 。
isc|网络空间危机四伏,如何发现威胁的蛛丝马迹?
本文插图

针对检测分析 , 程度提出 , 如果攻击者获得管理员或系统访问权限 , 可能会通过注册表或命令行来定义自己的执行策略 。 可从以下几种方式进行检测:
监控与PowerShell特定程序集相关的artifacts的加载和执行 , 例如System.Management.Automation.dll(特别是异常的进程名称/位置) 。
记录PowerShell日志 , 以更好的获知执行期间发生了什么(适用于.NET调用) 。
在数据分析平台中收集PowerShell执行细节 , 以补充其他数据 。
数据源为PowerShell日志 , 加载的DLL , DLL监控 , Windows注册表 , 文件监控 , 进程监控 , 进程命令行参数 。
3、Masquerading攻击
为了逃避防御和监控 , 攻击者会利?伪装 , 来操纵或滥?合法或恶意的可执??件的名称或位置 。
isc|网络空间危机四伏,如何发现威胁的蛛丝马迹?
本文插图

针对入侵分析 , 程度提出 , 会将windows伪装成svchost:把恶意exe?件重命名成svchost , 放到其他系统?录中运? 。
isc|网络空间危机四伏,如何发现威胁的蛛丝马迹?
本文插图

针对检测分析 , 程度提出 , 以下几点:
收集文件哈希 , 文件名与其预期的哈希值不匹配是可疑的 。 执行文件监控 , 具有已知名称但位于不寻常位置的文件是可疑的 。 同样 , 在更新或修补程序之外修改的文件也是可疑的 。
磁盘文件名与二进制文件的PE元数据的文件名不匹配 , 则可能表示二进制文件在编译后已重命名 。 通过查看InternalName , OriginalFilename和ProductName是否与预期匹配来收集和比较二进制文件的磁盘和资源文件名可以提供有用的线索 , 但可能并不总是指示恶意活动 。
对于RTLO , 检测方法应包括在文件名中查找RTLO字符的常见格式 , 例如“\ u202E” , “[U + 202E]”和“%E2%80%AE” 。 防御者还应检查他们的分析工具 , 以确保他们不解释RTLO字符 , 而是打印包含它的文件的真实名称 。
数据源为文件监控 , 进程监控 , 二进制文件元数据 。
4、Credential Dumping攻击
程度提出 , 攻击者可以使?凭证执?横向移动并访问需要较?权限才能访问的信息 , 且攻击者和专业安全测试?员都可以使?此技术中提到的?种?具 。 也可能存在其他?定义?具 。 可以使?Mimikatz、Cain、creddump7在本地处理SAM数据库 , 以检索哈希值 。
isc|网络空间危机四伏,如何发现威胁的蛛丝马迹?
本文插图

针对入侵分析 , 程度提出 , lsass.exe的内存经常会被转储 , 以进?离线凭证窃取攻击 。 可以使?Windows任务管理器和管理权限 , 系统?具ProcDump , 或者mimikatz来实现 。
isc|网络空间危机四伏,如何发现威胁的蛛丝马迹?
本文插图

针对检测分析 , 程度提出以下几点:
攻击者?般都通过powershell执?恶意命令 , ?且在执?powershell时 , 必然需要使?参数 -execbypass来绕过执?安全策略 , 这是?个很强的检测点 。
监控命令?和进程创建事件 , mimikatz , reg save HKLM\sam sam , reg save HKLM\system system , reg save HKLM\security security , 这些都是很好的特征 。


推荐阅读


上一篇:科学|科学探秘,我们和古人看到的星空,真的是同一片星空吗?

下一篇:|华为8月19日发布MateBook X:主打轻薄设计