来自 CC防护 2021-02-10 01:38 的文章

防御cc_防止_英雄联盟高防

防御cc_防止_英雄联盟高防

防止安全漏洞是每个安全领导的首要任务。阻止现代对手意味着对他们的战术、技术和行为有可见性和洞察力。这个由两部分组成的系列文章让读者了解一个网络环境中多个端点被恶意软件感染的场景。第1部分重点介绍恶意软件为建立持久性而采取的步骤,而第2部分将重点介绍为逃避防御而采取的步骤。在这次特别的交战中,红色金丝雀被部署来支持应对工作,而不是作为一个主动防御层。这意味着对手已经深深地扎根于环境中,使我们的网络事件响应团队(CIRT)能够观察到广泛的敌对行为。我们将展示许多映射到MITRE ATT&CK上的威胁™ 框架,引用以下格式的相关技术:Txxxx。由于违规行为的严重性,我们将观察结果分为以下几章:第1章:从Windows本地管理共享执行第2章:创建计划任务第三章:执行预定任务第四章:这是什么样的爆发?第5章:建立外部指挥控制网络连接第六章:明察秋毫接受指示第1章:从Windows管理共享执行红金丝雀探测工程队正在工作,一切都如预期的那样进行。突然间,一位客户的事件激增。它从涓涓细流开始,然后变成了一股洪流,仿佛恶意软件地狱的闸门已经打开。当第一次看到感染的迹象时,ddos防御软件S高防行吗,恶意文件最初是从本地文件共享中执行的,其中包括admin$、c$、d$和print$驱动器(T1077)。这些共享通常是隐藏的网络共享,仅对具有管理员级别权限的用户可用。多态性恶意软件具有快速改变的能力,以使其更难根除。请注意,虽然文件名不同,但哈希值是相同的。当查看一个可疑的进程时,redcanary的检测工程师将搜索任何可用的开源智能(OSINT),但背景数据有时可能很稀少。幸运的是,端点遥测允许基于行为过程分析来分析潜在的威胁,即使恶意文件签名或哈希还不存在。此二进制文件的行为指向恶意行为,因为它在环境中执行了大量操作。由于服务器的所有可执行文件的写入权限被放置在服务器的本地或可执行文件级别,因此允许用户对该可执行文件进行本地或写入访问。恶意二进制继续在所有用户的appdata目录中创建随机命名的文件,恶意软件经常利用这个位置。恶意软件还在Windows开始菜单启动文件夹中创建了一个链接。 "开始"菜单文件夹中的"启动"链接可确保恶意软件在用户登录到计算机(T1060)时自动启动,并在系统重新启动周期内保持在系统上。恶意软件通过将随机命名的文件写入用户目录,继续遍历端点上的所有用户,然后继续在所有用户中创建启动链接。接下来,来自本地管理共享的原始可执行文件生成了PowerShell并与恶意域建立了外部网络连接。以下截图中的特定域在此环境中一直被访问以下载其他恶意代码,这些代码在整个漏洞中修改了结果行为。IEX(Invoke Expression)命令允许运行PowerShell表达式,5gddos防御,该表达式接受要作为代码执行的字符串。当放入该命令的上下文中时,它指示PowerShell从外部域下载一个文本文件,并像命令一样运行该文件的内容。结果操作在temp目录中创建了一个随机文件,这导致另外两个文件被写入磁盘。恶意软件还将动态链接库(DLL)文件写入每个用户的目录。恶意软件允许用户使用T1129级别的权限进行访问。它还允许交付额外的"便携式"有效载荷,因为对手已经交付了执行有效载荷所需的一切,而不是完全依赖于受害者系统来满足先决条件。第2章:创建计划任务在妥协的过程中,一次又一次证明对手获得了管理员级别的权限,以便创建计划任务。恶意软件在各自用户的appdata\roaming\microsoft目录中写入恶意可执行文件后,便利用了任务调度器配置工具(schtasks.exe文件)创建计划任务(T1053)。并将其写入一个特定的用户运行日期目录。一些计划在周二每周运行一次,而另一些则设置为每七小时运行一次。这导致周二的事件高度集中。恶意软件感染的各个阶段各不相同。因为redcanary被放入了环境mid-break中,所以我们观察到调度的任务在不同的端点上执行。可以看到任务计划程序引擎正在生成rundll32.exe,它加载了一个恶意的.dll模块。在下面的第三个时间轴事件中,性价比高的全球高防cdn,哈希也用红色下划线,并标记为妥协指标(IOC)。关于.dll文件哈希的Intel生成了以下信息,表明与Corebot关联。第三章:执行预定任务我们观察到了不同类型的计划任务,这些任务开始执行,结果如下。创建了一个计划任务,并运行命令提示符来利用Windows脚本主机的命令行版本(cscript.exe)它在周二12:00使用JavaScript执行一个扩展名为.wpl的文件。正如所料,在周二下午,我们开始看到任务调度器触发的事件(系统程序)若要生成命令行,请调用cscript以运行.wpl文件。命令提示符(命令提示符)执行并建立了四个外部网络连接。从环境中的其他端点以相同的顺序和方式访问这四个外部网络连接。上面截图中使用的四个域中的三个以前曾在与PinkSlipBot和Qakbot(Qbot)特洛伊木马程序相关联的恶意软件中使用过。第四章:这是什么样的爆发?疫情正在客户的终端迅速蔓延。当在客户环境中观察到威胁时,CIRT的成员将搜索信息,以了解有关各自行为的更多信息,以便更好地理解和识别威胁。观察到服务控制管理器生成了一个名为8个随机数字的可执行文件。它立即将自己复制到另一个具有不同名称的可执行文件中。Sophos的研究人员发现Emotet蠕虫包含一个嵌入的用于文件名可执行文件的种子术语列表。它根据硬盘卷ID的某些条件组合了这两个种子项,并将它们用于生成的文件名。我们观察到类似的命名约定。在这个特定的例子中,这两个术语组合成系统购物车.exe. 在环境中看到的其他名字还有设备名称.exe, comcrypt.exe, secdns.exe文件, 存储环境.exe以及其他类似的模式。请注意,当文件名发生更改时,哈希(蓝框)表示它是同一个文件。公共系统名称的使用也是一种伪装技术(T1036),彩虹六号如何防御ddos攻击,有助于对手避免被发现并在环境中保持持久性。第5章:建立外部指挥控制网络连接除了行为指标以更好地了解爆发的性质外,还观察到与不同恶意软件家族相关的文件与许多不同的指挥与控制(C&C)服务器(T1104)建立外部网络连接。C&C服务器外部网络连接的威胁情报包括Emotet(如上所述)、Freodo变体、CoreBot和PinkSlip Bot(也称为Qakbot或Qbot)。在下面的示例中,我们从初始.exe文件的8位命名约定的类似模式开始,然后看到一个名为存储nv.exe使用相同的哈希,表示复制并重命名了同一个文件。在下面的屏幕截图中,在与Feodo特洛伊木马C&C服务器关联的IP建立出站连接后,将写入一个临时文件,然后存储nv.exe更改,如哈希所示。上面的/scomma命令指示将生成的文件保存为CSV格式的项目列表。这些是端点与外部IP上的C&C服务器通信并修改其行为的指示器。虽然恶意软件有多种建立持久性的方法,但还有另一种防御规避技术,使得修复更加困难。第六章:明察秋毫接受指示该恶意软件具有高度的适应性和多态性,并利用本机Windows二进制文件来掩盖其踪迹。在下面的屏幕截图中,q$共享中的二进制文件可以看作是一个随机命名的可执行文件。然而,当检查文件哈希时,它表明它是自动文件系统转换实用程序,一个原生的Windows二进制文件。由于恶意软件伪装成不同的核心Windows文件,因此修复和根除恶意软件变得更加困难。为了帮助打击这一点,红色金丝雀时间表提供了信息,以显示到底发生了什么。下面的屏幕截图显示恶意软件正被另一个本机Windows二进制文件覆盖。在建立出站网络连接后,windows防御cc,使用Windows命令行通过本地环回ping自身,然后重定向本机Windows二进制文件的内容计算.exe覆盖原始恶意软件文件。在检查了新的哈希之后,它是