来自 DDOS 2021-02-20 11:01 的文章

抵御cc攻击_怎么办_马来西亚抗ddos

抵御cc攻击_怎么办_马来西亚抗ddos

随着macOS和Linux系统在企业中变得越来越普遍,因此有了一些工具来破坏它们并促进后利用hijinks。对于那些负责维护macOS和Linux系统的人来说,知道如何检测和防御这种行为是至关重要的。即使是不成熟的攻击者也可以使用这些工具来渗透系统、执行侦察、提升权限并在整个网络中横向移动。在redcanary,我们经常看到后开发框架的使用。它们有各种形状和大小,适用于各种平台(帝国和元软件非常流行),并且装载了大量适合威胁参与者目标的工具。EggShell就是这样一个专注于监视macOS和iOS设备的框架。在这个博客中,我们将提供一些实用的方法来检测和预防蛋壳最吸引人的功能。蛋壳功能一旦您关闭了该工具,您将注意到EggShell附带了各种各样的功能,阿里最大防御ddos,其中包括:全方位摄像头和麦克风控制截图桌面和收集剪贴板数据文件操作(下载、上传、删除等)发送iMessages和操纵iTunes曲目通过用户提示进行本地网络钓鱼Facebook会话cookie被盗更多虽然有些特性使蛋壳非常适合于跟踪同事,但对关键端点具有这种控制级别的威胁参与者可能会对您的组织造成严重损害。想象一下,一个攻击者在一个重大公告之前录制了一次董事会会议,或者捕捉到了你的首席信息官有外遇的证据。勒索一个C级主管比在网络上搜寻有趣的文件要有效得多。让我们更深入地了解蛋壳的工作原理,看看防御者可以用来检测和预防这种行为的可操作技术。有效载荷创建从攻击者的角度来看,入门非常简单,只需快速完成几个步骤即可设置侦听服务器并创建回调负载。一旦构建完成,攻击者将需要找到一些传送机制,以便在目标系统上执行它。有无数可利用的漏洞允许攻击者在未修补的系统上运行任意代码。我们今天感兴趣的不是对手如何利用系统,而是他们一旦登陆你的网络会做什么。建立一个简单的命令行如下:这就建立了与参与者系统的连接,允许使用框架内的工具。检测与预防在bash的某些编译版本中,当运行这样的命令时,操作系统供应商可以选择在/dev/tcp/和/dev/udp/中创建"伪文件"。苹果的bash实现并没有做到这一点,因此,对这些文件创建的监控也不会检测到这种特定的威胁。相反,我们希望监视引用"/dev/tcp/"的命令行:另外,为所有产生子进程(如shell(sh、bash等)和脚本进程(python、powershell、osascript等)的主要Office和PDF应用程序构建检测功能,可以帮助您找到这一点以及其他许多邪恶的东西。我们在恶意软件和网络钓鱼活动中经常使用这种技术。至于预防,标准的安全卫生适用。通过禁用Office宏,ddos100g防御多少钱,保持系统和应用程序的修补,以及在用户、他们的电子邮件和整个互联网之间进行任何预防性控制,来限制攻击面。不幸的是,你不能在外围阻止一切,但是通过设置一些基本的控制措施,你可以避免成为"低挂水果"的受害者,除了最坚定的对手以外,其他人都会从你身边经过。在这种情况下,防火墙可能是您对此类威胁的最佳保护。使用诸如LittleSnitch或内置Mac防火墙这样的防火墙工具,购买ddos防御,并明确允许所需的流量,就可以阻止回调。下面是LittleSnitch在您的配置中未明确批准的连接尝试时的一个示例提示。一旦您在端点上锁定了所需的防火墙配置,默认的"拒绝任何"规则将阻止用户在提示时允许这种类型的连接。建立持久性一旦威胁参与者与受害者的系统建立了远程连接,他们就可以使用蛋壳中的"持久性"功能建立持久性。此函数使用内置的cron功能向用户的crontab添加重复任务,允许攻击者在重新启动或其他中断连接后恢复对Mac的控制。检测与预防注意创建新的crontab条目。在Linux生产服务器上,这可能会很嘈杂,企业安全防护,但会导致最终用户端点的高保真检测。在Carbon Black Response中,用于检测此活动的查询可能如下所示:可以通过禁用为所有非root用户创建crontab条目来防止持久性,这实际上禁用了用户创建计划任务的能力。在计划和实现控件时,您经常在安全性和可用性之间取得平衡。从长远来看,了解组织的风险偏好并进行彻底的测试将为您省去痛苦。要将cron限制为root用户,请执行以下操作:`chmod 700/usr/bin/crontab目录`尽管EggShell使用cron作业来实现持久性,但有许多其他持久性机制可供确定的威胁参与者利用,以在您的系统上站稳脚跟。为什么要提起这个?蛋壳给你的另一个有趣的特性是能够将你的击键传递给受害者机器。当攻击者可以访问您的系统时,他们可能会选择直接在主机上运行其他命令来保护自己的立足点。熟悉MITRE在这里策划的各种macOS特定持久性机制:https://attack.mitre.org/wiki/Mac_技术_矩阵视听监视一旦威胁参与者访问了系统并建立了持久性,真正的乐趣就开始了。在这个阶段,他们可以在桌面上拍摄大量的屏幕截图,激活摄像头,并用麦克风记录用户的对话。检测与预防虽然在技术上可以跟踪访问与相机使用相关联的库文件的应用程序,但这在实践中会非常麻烦。打电话给每个用户确认他们参加了一个网络会议并不理想,所以值得庆幸的是,维权者还有其他选择。MicroSnitch是一个轻量级的"监视防火墙"实用程序,当Mac上的摄像机或麦克风被激活时,它会通知用户。部署这样一个实用程序并指导用户可以作为一个可靠的指示,表明出现了问题。有很多价格实惠的网络摄像头/笔记本电脑摄像头盖,允许用户在授权的网络会议期间揭开摄像头。许多安全厂商在会议上提供这些保护套,它们可以批量购买以保护您的笔记本电脑。除了物理上禁用系统的麦克风,建立良好的检测能力,如上所述,将是最好的办法,以音频监视威胁。侦察和特权提升进入系统的一个常见的对抗策略是执行侦察和提升权限。EggShell提供了一种非常有说服力的升级方法,ddos防御怎么能,它使用AppleScript简单地提示用户输入密码:因为AppleScript可以生成与系统提示相同的用户提示,所以非偏执的最终用户很可能会在提示时提供他们的凭据。一旦EggShell收到用户的密码,它将提示攻击者将权限升级到root:一旦参与者拥有根权限,他们就可以有效地控制整个系统,并且可以访问用户控制之外的其他受保护的进程和文件(例如禁用安全设置和代理)。另外,通过使用具有root权限的"persistence"函数,该条目被添加到根crontab中,使得普通用户和不在该位置查看的维护者看不到它。检测与预防因为无法优雅地阻止用户执行AppleScript,所以良好的检测是关键。使用包含"系统首选项"和"密码"的命令行查找AppleScript的执行情况(无论是从osascript还是由shell进程调用)。您可能会发现一些第三方应用程序会这样做,但频率不会太高,以至于无法管理。在这里,我在Cb Response中创建了一个示例查询来查找这种类型的提示:以下是Cb中的相关流程:文件操作和过滤在您的系统中站稳脚跟的参与者还具有基本的文件系统功能,包括捕获文件、删除文件以及放置自己的文件和二进制文件。这不仅是攻击者部署其他工具的一种方式,而且也是一种将敏感数据从网络中过滤出去的简单方法。检测与预防一旦参与者对您的系统拥有这种级别的控制,就很难将参与者的操作与您的最终用户的操作区分开来。定义一个将敏感数据保持在端点之外的策略是防止攻击者访问您的关键数据的可靠最佳实践,但这可能很难实施。对关键文件的文件完整性监视是另一个很好的工具,可以确保您的关键文件和文件夹保持完整性,并且可以指示何时有人试图收集或销毁这些资产。结论后漏洞攻击框架的威胁不会很快消失,而且随着交付机制列表的不断增加,它可能会开始感觉像是对防御者的"猛击鼹鼠"游戏。与大多数安全策略一样,结合多层次检测和预防功能的纵深防御方法将产生最佳效果。一旦你觉得你能很好地处理这个威胁,测试你的过程!有像蛋壳这样的工具