Red Canary近期公布了《 2021 Threat Detection Report》,該報告涵蓋了眾多頂級網(wǎng)絡攻擊技術到MITER ATT&CK框架的映射。其中�,就2020年黑客首選10大Windows網(wǎng)絡攻擊技術進行了調研�。
創(chuàng)新互聯(lián)建站自2013年創(chuàng)立以來,先為隴西等服務建站�,隴西等地企業(yè),進行企業(yè)商務咨詢服務����。為隴西企業(yè)網(wǎng)站制作PC+手機+微官網(wǎng)三網(wǎng)同步一站式服務解決您的所有建站問題��。
[[397876]]
1�����、24%:命令行解釋器PowerShell
利用PowerShell和Windows Command Shell的攻擊對受害者影響最大����。由于這些工具是Windows固有的,也被稱為離地攻擊�,也就是說攻擊者不需要下載專用工具,而是使用已安裝的現(xiàn)有PowerShell就能夠將惡意活動隱藏在合法進程中����。
企業(yè)需要使用工具確保捕獲日志記錄��,從而監(jiān)測這一攻擊活動���。此外,由于分析正常的PowerShell 和惡意PowerShell需要一定時間�,最好對于經(jīng)常使用的腳本和PowerShell進程建立一個基準,幫助過濾��,從而發(fā)現(xiàn)可疑的cmd.exe和混淆命令�。
2、19%:簽名的二進制進程執(zhí)行
排名第二的攻擊使用2種技術:Rundll32和Mshta�。兩者都允許攻擊者通過受信任的簽名二進制文件創(chuàng)建惡意代碼。同樣�,攻擊者使用的是離地攻擊。
對此�,建議企業(yè)可以為惡意使用的Rundll32設置警報,并且同樣建立一個基線�。
3、16%:創(chuàng)建和修改系統(tǒng)流程
Blue Mockingbird�����,這是利用Windows服務的單一威脅。主要部署加密貨幣挖掘有效載荷����。當試圖創(chuàng)建新的服務和新的進程時,建議查看日志中的事件4697�、7045和4688。
4���、16%:計劃任務
報告指出�,攻擊者使用計劃任務來建立持久性��。企業(yè)應該檢查計劃任務是否被設置為以系統(tǒng)身份運行�����,因為這是最典型的攻擊配置���。此外,還有核查事件ID 106和140記錄何時創(chuàng)建或更新任務���。
5���、7%:憑證轉儲
在諸如ProcDump和Mimikatz之類的工具的幫助下,本地安全授權子系統(tǒng)服務(LSASS)經(jīng)常被用來轉儲密碼。因此�����,企業(yè)在建立查找異常攻擊的基線后��,建議使用Windows 10 Attack Surface Reduction設置來查找LSASS可疑訪問�����。
6�、7%:進程注入
攻擊者往往使用多種注入方法來獲得對系統(tǒng)的更多訪問權限��,目前進程注入的方式非常多樣�。
7、6%:文件或信息混淆
在攻擊者希望隱藏其行動時��,會使用諸如Base64編碼之類的工具隱藏其攻擊過程����。企業(yè)需要監(jiān)控PowerShell.exe或Cmd.exe是否被“不尋常方式”地使用,但因為惡意活動看起來與正常的管理任務非常相似����,導致這種攻擊可能很難審查。建議設置使用PowerShell的政策,并且只使用簽名的腳本執(zhí)行��。
8���、5%:工具轉移
雖然大多數(shù)攻擊是離地攻擊�����,但有時候攻擊者也會將工具轉移到平臺上�,他們使用bitsadmin.exe轉移攻擊工具���,而查看PowerShell命令行中的關鍵字和模式是找到攻擊序列的關鍵方法�����。
9����、4%:系統(tǒng)服務
攻擊者使用Windows Service Manager運行命令或安裝服務��。
10�、4%:重命名偽裝
攻擊者通過重命名系統(tǒng)工具程序來繞過控件和檢測���。為此�����,建議不是直接查找文件名而是查找進程�����,從而確定攻擊者是否正試圖使用此技術進行攻擊����。如果可以�����,請使用可以比較文件哈希值的系統(tǒng)�����,這樣即使文件名更改���,哈希值也不會偏離���。
參考來源:csoonline
網(wǎng)頁名稱:2020年黑客首選10大Windows網(wǎng)絡攻擊技術
文章網(wǎng)址:
http://uogjgqi.cn/article/dhjogeh.html
