量子位|如何发现威胁的蛛丝马迹?,网络空间危机四伏( 二 )
文章图片
针对入侵分析 , 程度提出了三点 。
绕过本地权限执行 , 即上传xxx.ps1到目标服务器 , 在cmd的环境下 , 在目标服务器本地执行该脚本 。
本地隐藏绕过权限执行脚本 。
用IEX下载远程PS1脚本绕过权限执行 。
文章图片
针对检测分析 , 程度提出 , 如果攻击者获得管理员或系统访问权限 , 可能会通过注册表或命令行来定义自己的执行策略 。 可从以下几种方式进行检测:
监控与PowerShell特定程序集相关的artifacts的加载和执行 , 例如System.Management.Automation.dll(特别是异常的进程名称/位置) 。
记录PowerShell日志 , 以更好的获知执行期间发生了什么(适用于.NET调用) 。
在数据分析平台中收集PowerShell执行细节 , 以补充其他数据 。
数据源为PowerShell日志 , 加载的DLL , DLL监控 , Windows注册表 , 文件监控 , 进程监控 , 进程命令行参数 。
3、Masquerading攻击
为了逃避防御和监控 , 攻击者会利?伪装 , 来操纵或滥?合法或恶意的可执??件的名称或位置 。
文章图片
针对入侵分析 , 程度提出 , 会将windows伪装成svchost:把恶意exe?件重命名成svchost , 放到其他系统?录中运? 。
文章图片
针对检测分析 , 程度提出 , 以下几点:
收集文件哈希 , 文件名与其预期的哈希值不匹配是可疑的 。 执行文件监控 , 具有已知名称但位于不寻常位置的文件是可疑的 。 同样 , 在更新或修补程序之外修改的文件也是可疑的 。
磁盘文件名与二进制文件的PE元数据的文件名不匹配 , 则可能表示二进制文件在编译后已重命名 。 通过查看InternalName , OriginalFilename和ProductName是否与预期匹配来收集和比较二进制文件的磁盘和资源文件名可以提供有用的线索 , 但可能并不总是指示恶意活动 。
对于RTLO , 检测方法应包括在文件名中查找RTLO字符的常见格式 , 例如“u202E” , “[U+202E]”和“%E2%80%AE” 。 防御者还应检查他们的分析工具 , 以确保他们不解释RTLO字符 , 而是打印包含它的文件的真实名称 。
数据源为文件监控 , 进程监控 , 二进制文件元数据 。
4、CredentialDumping攻击
程度提出 , 攻击者可以使?凭证执?横向移动并访问需要较?权限才能访问的信息 , 且攻击者和专业安全测试?员都可以使?此技术中提到的?种?具 。 也可能存在其他?定义?具 。 可以使?Mimikatz、Cain、creddump7在本地处理SAM数据库 , 以检索哈希值 。
文章图片
针对入侵分析 , 程度提出 , lsass.exe的内存经常会被转储 , 以进?离线凭证窃取攻击 。 可以使?Windows任务管理器和管理权限 , 系统?具ProcDump , 或者mimikatz来实现 。
文章图片
针对检测分析 , 程度提出以下几点:
攻击者?般都通过powershell执?恶意命令 , ?且在执?powershell时 , 必然需要使?参数-execbypass来绕过执?安全策略 , 这是?个很强的检测点 。
监控命令?和进程创建事件 , mimikatz , regsaveHKLMsamsam , regsaveHKLMsystemsystem , regsaveHKLMsecuritysecurity , 这些都是很好的特征 。
推荐阅读
- 山魈|是谁把我们囚禁在地球上?科学家发现“宇宙墙”,真相让人恐惧!
- 芯片|我国开始技术封锁!除量子密码以外,还有一项让美国憋屈十几年
- 爱因斯坦|生命没有终点?爱因斯坦可能发现了真相,但连他自己都不敢相信
- 丈量全天下|这些症状越早发现越好,肝癌不等于“死亡”
- 数码鲜蜂|三星大秀肌肉!这个透明手机如何?
- 山西省|考古大事记:2019全国十大考古新发现(中)
- 银河系|外星生命并不存在?研究发现:银河系70%的恒星系是生命禁区
- 马云|当年在美国为马云“挡子弹”的保镖,失去百万年薪后,现状如何?
- 趣味社会学|结果被发现核超标10倍,伊朗又被坑!满心欢喜请国际原子能查看
- 阿狸先森|现今如何了?,被联想198亿元收购的巨头摩托罗拉