来自 CC防护 2021-02-20 08:08 的文章

T级高防_能不能防止_网站被大量ip攻击

随着加密货币价值的波动,加密挖掘仍然是一个热门话题,而对手将挖掘作为一种简单的赚钱方式,而无需升级特权。在我上一篇检测文章中,我将挖掘作为针对Oracle WebLogic系统的攻击目标。在本次探测中,我们将研究一个对手如何通过一点挖掘补充操作,同时准备在组织的网络中横向移动。使用PowerShell扫描和挖掘在活动开始时,我们注意到许多Windows命令shell从本地安全机构子系统进程中生成(lsass.exe文件). 由于以下几个原因,这类事件非常可疑。第一,lsass.exe文件在本地系统帐户的安全上下文中执行,因此,从该帐户派生的子进程将继承此上下文,从而使子进程可以不受限制地访问本地系统。接下来,lsass.exe文件处理系统的用户身份验证,很少有子进程。随时lsass.exe文件生成命令shell、PowerShell实例或脚本执行,应该仔细检查。在本例中,命令提示符执行了一组命令,以在受影响的系统上建立持久性。首先,对手设置一个Windows注册表自动运行键来利用Windows安装程序进程(msiexec.exe文件)下载并执行可疑的二进制文件。使用msiexec执行远程安装程序是不寻常的,特别是在这种情况下。接下来,对手设置了第二个autorun键,以逃避使用regsvr32.exe的应用程序白名单控制,这种技术通常称为"Squiblydoo"攻击。我们经常看到这种技术,因为许多对手使用它在PowerShell或更高安全性环境中的命令提示符外轻松下载和执行可疑代码。作为最后一种方法,DDOS防御技术发展现状,对手创建了一个Windows调度任务,该任务编写到恶意域的文件传输协议(FTP)连接脚本,下载一个二进制文件并执行它。他们安排任务在系统引导时以系统上最高级别的权限运行。我们开始在妥协中更频繁地观察这种技术,也许是因为对手已经意识到蓝队正在明智地监视自动运行注册表项的创建。为什么要使用多个持久性机制?多个持久性机制的使用看起来像是一个"分散的靶子",看什么是有效的,但它是对对手有利的,因为它通过多种方式实现了持久性和进一步的执行。防御者将很难消除所有妥协的痕迹,国内高防cdn列表,而在没有完全清除计算机的情况下进行有针对性的补救措施很可能会错过其中一个机制。为了彻底修复这一漏洞,defender要么停止工作站或服务器的服务,进行彻底的擦除和重新安装,要么必须对每种持久性方法进行编目。这两种方法都会占用其他工作时间。深入调查我们的下一个恶意活动指示器来自PowerShell的可疑实例,该实例读取base64编码的代码,该代码作为Windows启动应用程序初始化过程的子进程生成(wininit.exe文件).这很奇怪因为wininit.exe文件以本地系统帐户运行,通常生成Windows启动所需的敏感进程;它不应生成脚本或命令shell。随着我们的进一步研究,我们发现PowerShell调用了Windows C#编译器(编译器)并将代码编译成可以加载到进程中的动态链接库文件。分析行为当处理安全事件并表现出奇怪的行为时,分析人员经常会问一些问题,例如:为什么对手会在受害者的系统上本地编译代码?答案是,这种策略允许对手在一次下载中携带多个有效负载,这些负载可以根据需要进行编译和执行。此外,以源代码形式传输并在以后编译的有效负载可以避开基于网络的控件,这些控件寻找Windows二进制文件下载的信号。随着执行链的继续,产生了更多编码的PowerShell代码——这一次展示了来自漏洞利用工具的共享代码,这些工具允许PowerShell导入和执行外壳代码。这个例子的网络活动被证明是迷人的,因为我们开始观察到内部网络连接到各种系统,以顺序的方式,所有这些都在端口445上。提出假设此活动与用于网络上服务器消息块(SMB)服务扫描的PowerShell一致。这就是横向移动发挥作用的地方,因为这种类型的扫描也在去年WannaCry勒索软件爆发时成为头条新闻。我们在这一点上的假设是基于这样一个想法,即该代码将尝试使用一个永恒的蓝色漏洞进一步横向移动。毕竟,使用EternalBlue进行的攻击与我们已经看到的一些活动相匹配:lsass.exe文件产生可疑进程。在扫描过程中,我们还观察到PowerShell访问了与Monero加密货币关联的加密挖掘池网络地址。最后,在端口9001上建立了到Tor出口节点的网络连接,这表明匿名网络流量也与此PowerShell实例有关。我们很快向我们的客户报告了这一事件,他们调查了检测结果,几分钟后就做出了反应!用威胁情报关闭环路在发布检测后,我们希望了解更多使用这些策略的对手,以便我们能够在其他客户环境中发现他们,并为补救提供更多上下文。通过一些研究,我们发现在持久性机制中使用的网络域也被用于传播远程访问特洛伊木马(RAT)的活动中,这些特洛伊木马可以挖掘Monero并通过EternalBlue SMB攻击感染其对等方。感谢Symantec和Juniper Networks记录了这一点!有什么大不了的?我们以前说过:在与更大的威胁联系起来之前,加密挖掘通常是一个"小土豆"问题。在这种情况下,敌人看到了一个机会,可以开采一点额外的钱,同时散布一只老鼠,以后可以获得更多的命令。在这种情况下,挖掘是一个更大问题的征兆:系统易受攻击。正如我们在其他案例中看到的,挖掘是一种低摩擦的方法,让对手利用受害者的计算资源牟利。这与之前勒索软件的趋势形成鲜明对比,勒索软件对系统的破坏性很强。如果没有足够的时间,那么防守队员就不能继续了。另一个关键的教训是在检测开始时观察到的持久性机制的"散点"。这个策略(你的ATT&CK极客有多余的访问权限!)它的目的是保持对手的接近,同时使防御者更难补救。多年来,在不同的圈子里,我听到过支持和反对简单地清除计算机以删除恶意软件而不是执行有针对性的恶意软件删除的争论。这样的方法会增加防御者执行目标修复所需的时间,并且防御者有可能错过持久性难题中的一个重要部分。在使用多个持久性机制的情况下,您的组织需要有一个策略来解决擦除与目标之间的困境。如何发现这种邪恶值得庆幸的是,ddos如何免费防御,组织可以使用一些策略来检测与此类似的活动。针对以下4个关键行为:1号文件:Lsass.exe文件生成子进程应该有一些检测lsass.exe文件生成子进程。在大多数Windows网络配置中,此进程不应产生子进程。有少数例外,即专业的活动目录或凭证管理工具。然而,这是非常罕见的,高防御ddos服务,cc攻击的端口怎么防御,我们几乎看不到他们在我们的客户群。在您记录了组织中的任何异常之后,此策略将帮助您找到以本地系统权限运行的可疑进程,这些进程可以在没有任何障碍的情况下进行管理更改。这个策略是本文中建议的策略中噪音最小的,应该是您实施的第一个策略。2: 持久性机制的创建接下来,使用您选择的技术来监视持久性机制的创建。这项工作将比前一项涉及更多的噪音,主要是因为许多软件经常为自己安排自动更新,或者在用户登录时自动启动。您可以根据需要进行深入研究,创建认可的软件列表,您知道这些列表应该创建Windows注册表自动运行密钥和启动文件夹条目。首先,通过识别未签名的进程、命令shell或编写持久性机制的脚本来寻找捷径。请记住,这些类型的过程通常由合法软件执行,但也经常被对手用于邪恶。3: 到加密挖掘池的网络连接利用一点威胁情报寻找采矿活动。识别未经授权的密码挖掘活动的两个主要策略是监视资源使用和网络活动。在没有初始性能基线的情况下,监控资源使用情况可能会很困难,甚至可能不可靠,因为加密挖掘资源的使用会受到限制,如特斯拉密码劫持事件所示。一种更可靠的方法是监视与公共密码挖掘池域通信的主机的网络活动。加密矿工最终需要与外部网络通信,以便有人赚钱,这样你就可以监视那些信标。如果您不确定从何处开始,请从Monero加密货币的池地址开始。这种货币本身并不坏,但我们经常看到对手使用它,因为它基本上是一种私人的、无法追踪的加密货币。4: 意外进程导致的Tor网络连接考虑通过监视Tor出口节点的访问,将匿名网络连接的检测与威胁情报相结合。可以使用Tor