深入了解离地攻击策略
媒介 无文件进攻凡是包罗对 Microsoft Windows 浩瀚内建器材的滥用。这些器材使得进攻者轻松地从一个阶段“跳转”到另一个阶段,无需执行任何编译的二进制可执行文件,,这种进攻方法被称为“离地进攻”。 什么是离地进攻? “离地进攻”是收集犯法分子用来举办收集进攻的计策之一,一旦进攻者的恶意代码能与当地措施举办交互,那么进攻者就有也许操作体系的原生器材举办下一步进攻,包罗下载附带的其他恶意代码,启动措施,执行剧本,窃取数据,横向扩展,维持会见等等。 进攻者为到达这些目标而挪用的器材包罗 regsvr32.exe、rundll32.exe、certutil.exe和schtasks.exe。Windows 打点类型(WMI),是 Windows 体系内建器材,为进攻者提供了“平地腾飞”的绝好机遇。WMI 借助运行 wmic.exe 措施和执行剧本(如,PowerShell ),使得进攻者可以操纵装备的绝大部门设置。 这些器材都是体系自带的、受信赖的,以是反恶意软件技能也难以侦测和限定。 “离地进攻”计策操作以下方面:
为什么行使离地进攻? 进攻者操作常用器材对方针举办进攻,这就是离地进攻。行使预先安装在方针计较机上的器材的进攻者越来越多。行使无文件威胁、第三方器材或简朴剧本可辅佐进攻者躲避防病毒措施的检测。 行使什么器材? 离地进攻普及行使的器材包罗:
进攻模式 进攻者直接在内存中行使运行简朴剧本和shellcode器材,如PowerShell剧本或VB剧本。 进攻者操作Mimikatz器材得到的暗码,并将其与PS Exec一路行使,以横向移动到另一个体系。 进攻者行使包括带有嵌入式恶意宏的Microsoft Office文档附件的收集垂纶电子邮件,拐骗用户在打开Office文档附件时启用宏。 行使体系器材作为后门来绕过身份验证。 行使列入白名单的正当器材来躲避检测。 进攻示例 1Petya/NotPetya打单软件 2018年6月,Ransom.Pety打击乌克兰和其他国度的组织,这种正是操作了离地进攻的计策。 Petya/ NotPetya打单软件行使软件供给链进攻作为其初始传染载体,以粉碎软件计较措施的更新进程。 Petya还在传染进程中行使了体系呼吁。一旦执行,它就会从Mimikatz器材中删除从头编译的LSADump版本,该器材用于窃取Windows内存中的帐户根据。然后行使被盗凭据将威胁复制到收集的任何计较机。最后行使已删除的PsExec.exe实例和Windows Management Instrumentation(WMI)呼吁行器材长途启动。 2Thrip威胁 2018年,研究职员通过操作离地进攻的计策,调查了针对电信提供商、卫星和国防公司的收集特工勾当----Thrip。在此进攻勾当中,收集犯法分子行使Windows适用措施PsExec来安装Catchamas信息窃取措施恶意软件。 3Separ恶意软件会通过离地进攻计策传染公司 最近,研究职员调查到一路收集垂纶勾当,该勾当用Separ恶意软件传染了东南亚、中东和北美的组织。恶意软件行使很是短的剧本或批处理赏罚文件与正当可执行文件的组合来躲避检测。 收集垂纶电子邮件包括一个恶意PDF附件,据称是一个自解压可执行文件。PDF文件伪装成卖弄报价单、运货单和装备规格详情。 打开恶意PDF附件后,自解压措施挪用wscript.exe来运行名为adobel.vbs的Visual Basic剧本(VB剧本)。一旦VB剧本开始运行,它就会执行一系列具有各类恶意成果的短批处理赏罚剧本。 怎样掩护本身?
【编辑保举】
点赞 0 (编辑:河北网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |