2020年黑客首選10大Windows網絡攻擊技術
責編:gltian |2021-05-11 13:51:53Red Canary近期公布了《?2021 Threat Detection Report》,該報告涵蓋了眾多頂級網絡攻擊技術到MITER ATT&CK框架的映射。其中,就2020年黑客首選10大Windows網絡攻擊技術進行了調研。
1、24%:命令行解釋器PowerShell
利用PowerShell和Windows Command Shell的攻擊對受害者影響最大。由于這些工具是Windows固有的,也被稱為離地攻擊,也就是說攻擊者不需要下載專用工具,而是使用已安裝的現有PowerShell就能夠將惡意活動隱藏在合法進程中。
企業需要使用工具確保捕獲日志記錄,從而監測這一攻擊活動。此外,由于分析正常的PowerShell 和惡意PowerShell需要一定時間,最好對于經常使用的腳本和PowerShell進程建立一個基準,幫助過濾,從而發現可疑的cmd.exe和混淆命令。
2、19%:簽名的二進制進程執行
排名第二的攻擊使用2種技術:Rundll32和Mshta。兩者都允許攻擊者通過受信任的簽名二進制文件創建惡意代碼。同樣,攻擊者使用的是離地攻擊。
對此,建議企業可以為惡意使用的Rundll32設置警報,并且同樣建立一個基線。
3、16%:創建和修改系統流程
Blue Mockingbird,這是利用Windows服務的單一威脅。主要部署加密貨幣挖掘有效載荷。當試圖創建新的服務和新的進程時,建議查看日志中的事件4697、7045和4688。
4、16%:計劃任務
報告指出,攻擊者使用計劃任務來建立持久性。企業應該檢查計劃任務是否被設置為以系統身份運行,因為這是最典型的攻擊配置。此外,還有核查事件ID 106和140記錄何時創建或更新任務。
5、7%:憑證轉儲
在諸如ProcDump和Mimikatz之類的工具的幫助下,本地安全授權子系統服務(LSASS)經常被用來轉儲密碼。因此,企業在建立查找異常攻擊的基線后,建議使用Windows 10 Attack Surface Reduction設置來查找LSASS可疑訪問。
6、7%:進程注入
攻擊者往往使用多種注入方法來獲得對系統的更多訪問權限,目前進程注入的方式非常多樣。
7、6%:文件或信息混淆
在攻擊者希望隱藏其行動時,會使用諸如Base64編碼之類的工具隱藏其攻擊過程。企業需要監控PowerShell.exe或Cmd.exe是否被“不尋常方式”地使用,但因為惡意活動看起來與正常的管理任務非常相似,導致這種攻擊可能很難審查。建議設置使用PowerShell的政策,并且只使用簽名的腳本執行。
8、5%:工具轉移
雖然大多數攻擊是離地攻擊,但有時候攻擊者也會將工具轉移到平臺上,他們使用bitsadmin.exe轉移攻擊工具,而查看PowerShell命令行中的關鍵字和模式是找到攻擊序列的關鍵方法。
9、4%:系統服務
攻擊者使用Windows Service Manager運行命令或安裝服務。
10、4%:重命名偽裝
攻擊者通過重命名系統工具程序來繞過控件和檢測。為此,建議不是直接查找文件名而是查找進程,從而確定攻擊者是否正試圖使用此技術進行攻擊。如果可以,請使用可以比較文件哈希值的系統,這樣即使文件名更改,哈希值也不會偏離。
參考來源csoonline