来自 CC防护 2021-02-20 10:10 的文章

网站防护_怎么解决_网站防御cc攻击

网站防护_怎么解决_网站防御cc攻击

很久以前,在一个遥远的地方,住着一个垫片探测器。shim检测器监视来自端点检测和响应(EDR)平台的数据,监视对某些注册表路径的修改。它的工作做得很好,但不幸的是,它制造了太多的噪音,以至于分析师们不想听它说什么。那么,ddos防御vps,一个嘈杂的小探测器能做什么呢?为了给我们的故事铺垫,了解一下红金丝雀探测器的工作原理是很重要的。我们从广泛的检测覆盖范围开始,并在我们前进的过程中缩小焦点;我们希望确保我们的探测器足够宽,能够清楚地捕捉到我们还不知道的东西,同时保持足够的焦点以降低噪音水平(因为我们不希望"警惕疲劳"逐渐蔓延到我们的分析师身上)。在某些情况下,我们从一个前提开始,把一个探测器分成几个,这样我们就可以从许多不同的角度来识别活动。这不仅增加了调优的粒度,还增加了抑制或白名单;所有这些都不会降低可见性。以我们的小填充程序检测器为例,正在修改的注册表路径都与Microsoft应用程序兼容性基础设施(ACI)相关联,ACI是一个修补("填充")过程,可用于帮助遗留应用程序在"当前"版本的Windows上运行。这已经存在了几代Windows操作系统,从应用程序寿命的角度来看绝对是非常出色的;它基本上只是一个索引二进制数据库,存储有关兼容性问题的信息,以及"修复"或填充这些问题的相关代码。维护者和事件响应者面临的挑战是,这些垫片可以动态地应用于非遗留应用程序,甚至是核心(特权)Windows进程。在记忆里。几乎没有痕迹。给你一个词:卡巴纳克。这就是噪音小填充检测器的原因:查找与应用程序填充相关的恶意活动。MITRE在他们的ATT&CK框架中,在technology T1138–Application Shimming下有一些关于该技术的好信息。为了方便起见,下面是通过他们的API摘录的内容:从这一描述来看,很明显,这一主题具有实质性的深度。当我第一次从以前的检测器中遇到一个事件时,高防服务器与cdn,我的主要问题是:"注册表修改如何表示恶意应用程序填充攻击?"这里的挑战是,为了使注册表修改有价值,您必须能够解析注册表并看到所做的实际更改。这在EDR遥测中并不常见,后者更多的是与执行相关的活动。因此,当我们的小探测器工作时(工作效率很高),它识别出注册表修改一直在发生。但这并不能使我们有效地确定是否有邪恶活动发生,而且很难通过白名单排除某些非威胁活动。现在是时候了解更多关于应用程序填充和攻击的时候了,利用这种技术来帮助我们的小探测器变得更有效。火上浇油经过一些研究和内部讨论,我们更新了检测器以监视SDB文件的创建。这有助于在一定程度上减少噪音,但不能解释在正常安装过程中合法应用程序写入SDB文件的原因。我们得抓起铲子,往火炉里放些煤!我们有一个即将到来的"非现场团队"来处理各种项目和挑战,所以我开始做一个内部演示,介绍我们通过ACI检测恶意填充的能力。我发现的大多数研究都指向了Carbanak,并且是沿着折衷后的DFIR活动的路线进行的,包括内存分析、二进制逆向工程和其他详细的"死箱"分析。那里有很好的信息,但它确实需要被处理,以便与EDR数据一起使用,并作为早期检测策略的一部分使用。我们最终得到了一个检测器,它关注的是sdbinst.exe,主要ACI过程。是sdbinst.exe以正常方式发射?它是否产生可疑进程或采取其他可疑行动?它创建了什么SDB文件?这些方法将结合其他探测器的功能,所有这些都是为了标记其他可疑的二进制文件或活动。我们需要一个整体的观点,考虑到行为的组合,而不是静态的或计算出来的指标;这将提高可信度,阿里云高防ip不用cdn,并帮助分析师将注意力集中在真正的恶意活动上。但它会有效吗?内部测试显示会的,ddos防御效果分析,我们点燃了引擎的火焰!将探测器映射到斜接ATT&CK当我们开始将探测器映射到MITRE ATT&CK矩阵时,出现了一个很好的机会。如果您阅读了我们最近的一篇关于将探测器映射到MITRE ATT&CK技术的文章,那么您对这个过程有一些了解。(如果你还没读过,你应该读!)这个过程的一部分包括构建和发布方法来测试攻击是如何实际发生的—与我们的探测器覆盖范围无关。这将带我们进入原子红队,这是一套我们在博客和社交媒体上广泛报道的测试。当我们的研究人员对应用程序填隙进行测试时,分析团队得到了第一手资料。以下是我们观察到的活动:测试人员创建了一个自定义的填充程序数据库并将其保存到磁盘上。如果您还记得前面的ATT&CK屏幕截图,SDB文件的路径是相当标准的(尽管其中包含的代码说明可能不是!)。为了让攻击者以这种方式利用ACI,他们必须利用SDB文件,所以这是检测的一个方面。还要注意,命令处理器(命令提示符)是的父母sdbinst.exe.下一步是启动一个二进制文件,并将代码填充到内存中,从而采取相应的措施。确切的方法和最终结果可能会有所不同,但整个过程通常应该是相同的。我们的研究人员创建了一个定制的二进制文件来利用;在Carbanak的例子中,攻击者利用PowerShell来启动sdbinst.exe并创建自定义的SDB文件。这使得他们能够将代码填充到服务控制管理器中(服务管理程序,一个特权进程)来执行后门。这与跨进程注入不同,因为从攻击者的角度来看,您不会与正在运行的代码交互,也不会获取远程线程,也不会以自己的方式进入进程内存。相反,通过存储在shim数据库中的指令,指定的进程在执行时在内存中进行修补。因此,在流程重新启动之前不会发生任何事情;这可以自然发生,也可以通过其他机制(例如,计划任务)触发。只要SDB指令仍然存在,每次进程启动时都会进行填隙。你没有跨进程注入的痕迹。如果您正在填充一个特权进程,那么这个二进制文件不会在磁盘上更改,所以哈希和签名将保持完整和可信。总之,安逸cc攻击防御,这是另一种隐秘的攻击向量,并且尽可能早地检测到链。这不仅需要检测方法,还需要了解如何应对攻击的分析师。检测应用程序填充攻击一般来说,以下是应用程序填充攻击的不同方面或步骤:编译要修补到应用程序内存中的代码;这通常是一个DLL文件,但实际上可以是任何东西。这段代码被写入目标系统,但在这一点上不"做"任何事情。在目标主机上创建和注册shim数据库(SDB文件),利用ACI框架(sdbinst.exe).重新启动系统或单个进程,以便将引用的代码插入进程内存。获胜!这实际上也与管理员修补遗留应用程序的方法相同,或者许多安装程序在默认情况下都会这样做,以避免完全重写旧代码。那么你怎么知道什么是恶与善?一旦行为被检查出来,其中一些会很突出,但在某些情况下可能会更模糊一些。以下是不同类型的活动,这些活动有助于提高行为以供进一步审查:注册表修改:查找注册表修改,以指示SDB文件已通过在系统中注册sdbinst.exe. EDR平台可以收集这种遥测数据,但是没有能力解析这些变化的细节,是相当高的噪音,低保真度。在主机上创建SDB文件:这些数据很容易被EDR收集,但也有高噪声和低保真度。更有趣的是在用户配置文件或其他非标准位置下创建的文件,或由可疑进程(不是安装程序,msiexec.exe文件等等)。执行sdbinst.exe在可疑情况下:通常在孩子的安装过程中观察到msiexec.exe文件,这也可以合法地以其他方式发生。注意命令行实用程序会启动它。这往往是低噪音,高保真。事件日志:如果您能够解析事件日志并将其与遥测的其他部分结合起来,那么在microsoftwindows应用程序体验程序中应该包含有趣的数据-遥测.evtx日志。当引发的活动可能与可疑的PowerShell或WMIC等其他行为结合在一起时,这些行为不再被视为孤立的ioc,因为保真度显著提高。这让我们走上了正确的道路。由于我们的小填充检测器的辛勤工作,我们能够验证是的,它确实可以引发与恶意应用程序填充相关的事件数据。分析师们知道他们在看什么。我真的很喜欢有计划的时候!为了配合我们的MITRE ATT&CK地图,我们可以看到以不同方式识别的观察战术。下面每个标有"1"的条目都链接到MITRE对攻击技术的描述;这一点在本文的开头就有展示。标记为"2"的项目向我们的分析员提供了探测器引发的活动类型的描述;如下图所示:金融机构