来自 安全 2022-03-24 01:30 的文章

海外高防_服务器防护ddos_免费试用

海外高防_服务器防护ddos_免费试用

18年3月14日

由端点威胁检测和响应负责人Paul Bottomley撰写,以及Wietze Beukema,端点威胁检测和响应分析师。

简介

在普华永道,我们的端点威胁检测和响应(EDR)团队正在不断发展和完善我们的威胁搜索能力。从历史上看,我们的重点是两个方面:

在过去九个月里,我们一直在探索MITRE ATT&CK™ matrix("ATT&CK matrix")并非常高兴地看到它在EDR社区获得的牵引力。普华永道已与Tanium密切合作近四年,利用接近实时的端点可视性来检测、遏制和纠正我们全球客户群的目标入侵。通过这一合作关系,我们建立了针对Tanium的服务产品,帮助我们的客户提供从威胁情报到事件响应的一切服务,积极主动的威胁搜寻评估以及网络威胁检测领域内的一系列咨询和集成服务。

随着Tanium最近引入"信号"——一种被其"检测"模块消耗的情报类型,允许针对端点上的关键系统事件对情报进行连续和实时评估——我们已经能够创建一套全面的基于行为的IOC,这些IOC实时匹配,并与ATT&CK矩阵中记录的战术和技术保持一致。在这样做的过程中,我们还找到了MITRE's CALDERA,这是一个设计用于模拟敌方行为的系统,我们使用它来自动测试我们的检测能力。

本文是关于端点威胁检测过程的两部分系列文章的第一部分。第一部分探讨了我们的Tanium信号开发和测试,为了使这一过程成为现实,我们讨论了一个特殊的威胁群体,ddos防御如何过滤假ip,APT32(也称为Ocean Lotus),其技术记录在MITRE中。第二部分将深入探讨安全协调和如何成熟响应过程。

创建我们的Tanium信号

在本节中,我们将讨论APT32(以及各种其他威胁参与者)使用的三种技术-调度任务、Regsvr32和Web Shell,以及使用Tanium信号检测这些技术的几种方法。值得注意的是,这些技术中的每一种都可能有合法的用途,因此我们始终建议理解它们的使用上下文,这可能涉及分析作为参数传递的二进制文件,或对磁盘上创建的文件的引用,或其他内容。我们还意识到,有许多方法可以有效地检测攻击者技术-本文的目的不是提供任何技术的完整介绍,而是分享我们的信号创建和测试过程。

计划任务用于计划在指定日期和时间执行脚本或应用程序,但也可以配置为在事件时触发,例如用户登录。Windows实用程序schtasks.exe和at.exe可用于创建本地和远程计划任务,dns高防和cdn区别,本节的重点是远程计划任务创建,以演示其在"横向移动"中的使用。解释这些实用程序的各种参数超出了本文的范围,但此处和此处分别提供了schtasks.exe和at.exe的Microsoft文档。

第一个示例演示如何使用schtasks.exe在远程计算机"remote_server"上创建命名任务"myTask"。在"user1"上下文下运行的此任务的执行,设置为每天运行并调用"c:\windows\temp\payload.exe"。

schtasks.exe/s remote_server/u user1/p/create/tn myTask/tr c:\windows\temp\payload.exe/sc daily

第二个示例演示如何使用at.exe在远程计算机"remote_server"上创建未命名的任务。此任务的执行设置为在22:00运行一次,ddos防御服务,并调用"c:\windows\temp\payload.exe"。

在\\remote_server 22:00 cmd/c:\windows\temp\payload.exe

根据我们对远程计划任务创建的研究,我们创建了以下两个信号来检测:

{

"名称":"[横向移动]-远程调度任务创建任务使用任务","内容":"process.path以'schtasks.exe'结尾,process.command_行包含'/create',cc防御源代码,process.command_行包含'/s'"

}

{

"name":"[横向移动]-远程_计划的_任务_创建使用_at","内容":"process.path以'\\\\at.exe'结尾,process.command\u行包含'\\\\\\\'"

Regsvr32可被对手通过在注册表中注册或注销DLL文件和ActiveX控件来代理恶意代码的执行。换句话说,regsvr32可以用来绕过应用程序白名单软件。

我们对regsrv32的研究不可避免地让我们找到了Casey Smith的工作,发现regsrv32将从URL获取远程Windows scriptlet文件。scriptlet文件实际上是一个XML文件,虚拟主机怎么防御ddos,注册组件对象模型(COM)对象并运行VBScript或JScript代码以执行恶意负载。

以下示例演示如何使用regsvr32下载远程Windows scriptlet文件'http://remote_server/payload.sct"。有关此示例中使用的参数的完整说明,请参见此处为Microsoft文档。

regsvr32.exe/u/n/s/i: scrobj.dll

根据我们对regsvr32和Windows scriptlet文件的研究,检测恶意regsvr32执行的几种方法是:

{

"名称":"[execution]-regsvr32_制造_可疑_出站_连接","内容":"process.path以'regsvr32.exe'结尾,network.address包含'。"

}

{

"名称":"[evasion]-regsvr32_调用_scrobj.dll_-_白名单_旁路","内容":"process.path以'regsvr32.exe'结尾,process.command_行包含'scrobj.dll'"

}

{

"名称":"[evasion]-regsvr32_与_sct_文件交互(可能的_Squiblydoo_攻击)","内容":"process.path以"regsvr32.exe"结尾,file.path以".sct"结尾,"

}