来自 应用 2021-06-11 21:17 的文章

云防护_网站CC攻击防御_指南

云防护_网站CC攻击防御_指南

这是一个系列的第二个博客,防御CC服务器,关注的是"以土地为生"工具。本系列的每一期都将重点放在网络杀戮链框架的特定阶段。这篇博文的主题是武器化阶段的工具使用。本系列的第一部分侦察阶段可以在这里找到。1管理员利用预装在系统上的工具来执行恶意代码,同时避免怀疑。一个健壮的检测计划对于防止对手成功使用武器化文档至关重要。武器化一词用于描述业务工具或文档何时安装了恶意负载。根据产品的不同,该工具可以在内部或外部武器化。武器化文件是敌方获取网络访问权的最常见的感染媒介之一。在过去的六个月里,eSentire发现了各种各样的武器化文件,这些文件是由敌方使用本地工具传送的。一些最流行的武器化工具包括PowerShell、BITSAdmin、Shell命令和Ceritutil。识别恶意使用陆上工具是很困难的;但是,phpddos防御,可以采取多种措施来监测这一情况activity.background恶意文档是一种众所周知的工具,被对手用来进入公司环境。具体来说,Microsoft文档可以通过恶意宏或通过使用动态数据交换(DDE)进行武器化。幸运一击,BITSAdmin和PowerShell将成为焦点博客。幸运Strike是一个生成恶意文档(宏和DDE)的工具,完全由PowerShell命令2构建。它是由jasonlang开发的,用于在渗透测试期间快速将文档武器化。Palo Alto的研究人员最近发表了一篇文章,详细介绍了高级持续威胁(APT)软件,利用Lucky Strike将发送给政府机构的excel文档武器化3。BITSAdmin是一个命令行工具,可用于创建下载或上传工作并监控进度4。它目前已被弃用,可能不会包含在将来的Windows版本中,但是它仍然安装在Windows 10上。该工具面向管理和修补多个端点的管理员。该工具可用于远程下载和执行软件PowerShell的多功能性允许命令语言被合法和恶意地使用,加强检测和预防困难。幸运罢工式袭击既有低技能行为者的简单攻击,企业安全防护,也有高级持续威胁(apt)实施的复杂攻击。通过使用幸运打击,攻击者将PowerShell融入到他们的攻击中。这减少了被防御者发现的机会,因为它是一种人们期望在机器上看到活跃的工具。由于Lucky Strike完全由PowerShell生成,因此它允许个人在受损网络上直接执行脚本。这使得文档可以直接在文件服务器上进行武器化,而不必首先对文件。文件下面的屏幕截图展示了如何使用幸运打击。[image src="/assets/d7100b60dc/figure-1-lucky-strike-菜单.png"id="2041"width="621"height="297"class="center ss htmleditorfield file image"title="图1:幸运一击菜单"alt="图1:幸运一击菜单"]Lucky Strike主菜单提供了笔测试工具选项,可以从现有有效载荷或新有效载荷武器化文档。[image src="/assets/e385d9c1bf/figure-2-adding-new-有效载荷.png"id="2042"width="797"height="201"class="center ss htmleditorfield file image"title="图2:添加新有效载荷。"alt="图2:添加新有效载荷。"]图2:添加新的有效载荷。对于这个演示,我们添加了一个新的shell命令来显示一个弹出警告。如图2所示,Lucky Strike还支持PowerShell脚本、可执行文件和Com脚本-选择.png"id="2043"width="797"height="92"class="center ss htmleditorfield file image"title="图3:文件类型选择"alt="图3:文件类型选择"]图3:文件类型选择选择有效载荷后,用户可以选择将其嵌入Excel或Word文档中。[image src="/assets/44673ddd04/figure-4-malicious-文件.png"id="2044"width="982"height="770"class="center ss htmleditorfield file image"title="Figure 4:恶意文件已执行"alt="图4:恶意文件已执行"]图4:执行的恶意文件然后将武器化文档发送给用户。当它被打开时,将执行类似于图4的有效负载。请注意,用户必须允许宏.At编写时,Windows Defender检测到默认的Lucky Strike脚本,但可以通过更改脚本.BITSAdminBITSAdmin具有各种对合法和恶意参与者都有用的命令。这种工具由于用途广泛,武器化相对简单。图5显示了一个BITSAdmin命令的示例,该命令被合并到一个武器化的文件中。启动文件时,它将启动BITSAdmin命令行参数。此命令从internet检索文件并将其保存到名为ms的临时目录中_tmp.exe文件. 然后将文件配置为计划任务并执行。[image src="/assets/d820360f15/figure-5-file-download-and-schedule-task-btsadmin.png"id="2045"width="500"height="70"class="center ss htmleditorfield file image"title="图5:BITSAdmin文件下载和计划任务;"alt="图5:BITSAdmin文件下载和计划任务amp;amp;amp;nbsp;"]图5:BITSAdmin文件下载和计划任务PowerShellPowerShell是这种攻击中最常见的脚本语言,100m宽带防御多少ddos,但应注意的是,其他脚本方法(如VBS或批处理)也可用于拉取文件。在图6中,武器化的word文档启动一个恶意word文档,该文档被严重混淆以从URL中检索Emotet滴管。Emotet是一种高级银行特洛伊木马程序,首次出现在2014年夏季,自5日起一直活跃。[image src="/assets/deca6eac0/figure-6-powershell-script-downloading-表情图.png"id="2046"width="500"height="162"class="center ss htmleditorfield file image"title="图6:Powershell脚本下载Emotet"alt="图6:Powershell脚本下载Emotet"]图6:Powershell脚本下载Emotet缓解策略在武器化阶段的攻势是一个困难的命题,因为它可能完全发生在攻击端。即便如此,你也可以采取一些措施来降低武器化文件的效力,并帮助应对总体威胁预防.封锁宏:一般用户不需要打开收件箱中收到的宏。阻止宏会降低整体攻击面。用户教育:DDE依赖于用户交互。因此,网站如何防御cc,员工教育是防止成功攻击的重要步骤。限制权限:某些脚本需要管理权限才能运行。基于用户需求的限制性用户权限将减少潜在的危害。批处理文件不能被阻止,因此用户限制非常重要。块可执行文件:阻止一个可执行文件打开将阻止各种各样的威胁,在它们有机会被实现之前。此步骤可能会对业务造成影响,应在实施前进行全面评估。使防病毒软件保持最新:不应完全依赖反病毒;对武器化文档进行编码可能会使对手逃避检测。端点监控:使用端点检测可以全面了解公司资产,并有助于在问题扩散或变得严重之前识别问题。结论这些工具在对手中很流行。因此,了解敌方将文件武器化和利用陆上生物技术的步骤是防止成功攻击的重要步骤。依靠陆地工具生存给防御者带来了独特的困难,要求防御者了解限制敌方活动的所有可能的选择。上述缓解策略提供了多种选择,有助于限制威胁环境,识别潜在的入侵并在攻击发生之前阻止它成功了。留下来为本系列博客的下一期聚焦于网络杀戮的交付阶段链。来源[1]https://www.esentire.com/blog/living-off-the-land-the-surveillance-phase/[2]https://github.com/curi0usJack/luckySteike[3]https://researchcenter.paloaltonents.com/2018/02/unit42-sofacy-attacks-multiple-government-entities/[4]https://msdn.microsoft.com/en-us/library/windows/desktop/aa362813(v=vs.85).aspx[5]https://securelist.com/the-banking-trojan-emotet-detailed-analysis/69560/