日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
深入了解離地攻擊策略

前言

無文件攻擊通常包括對 Microsoft Windows 眾多內(nèi)建工具的濫用。這些工具使得攻擊者輕松地從一個(gè)階段“跳轉(zhuǎn)”到另一個(gè)階段,無需執(zhí)行任何編譯的二進(jìn)制可執(zhí)行文件,這種攻擊方式被稱為“離地攻擊”。

什么是離地攻擊?

“離地攻擊”是網(wǎng)絡(luò)犯罪分子用來進(jìn)行網(wǎng)絡(luò)攻擊的策略之一,一旦攻擊者的惡意代碼能與本地程序進(jìn)行交互,那么攻擊者就有可能利用系統(tǒng)的原生工具進(jìn)行下一步攻擊,包括下載附帶的其他惡意代碼,啟動(dòng)程序,執(zhí)行腳本,竊取數(shù)據(jù),橫向擴(kuò)展,維持訪問等等。

攻擊者為達(dá)到這些目的而調(diào)用的工具包括 regsvr32.exe、rundll32.exe、certutil.exe和schtasks.exe。Windows 管理規(guī)范(WMI),是 Windows 系統(tǒng)內(nèi)建工具,為攻擊者提供了“平地起飛”的絕好機(jī)會。WMI 借助運(yùn)行 wmic.exe 程序和執(zhí)行腳本(如,PowerShell ),使得攻擊者可以操作設(shè)備的絕大部分配置。

這些工具都是系統(tǒng)自帶的、受信任的,所以反惡意軟件技術(shù)也難以偵測和限制。

“離地攻擊”策略利用以下方面:

  • 使用兩用工具
  • 無文件持久性
  • 僅使用內(nèi)存威脅

為什么使用離地攻擊?

攻擊者利用常用工具對目標(biāo)進(jìn)行攻擊,這就是離地攻擊。使用預(yù)先安裝在目標(biāo)計(jì)算機(jī)上的工具的攻擊者越來越多。使用無文件威脅、第三方工具或簡單腳本可幫助攻擊者逃避防病毒程序的檢測。

使用什么工具?

離地攻擊廣泛使用的工具包括:

  • Mimikatz
  • 微軟的PS Exec工具
  • Windows Management Instrumentation (WMI)
  • Windows Secure Copy
  • PowerShell腳本
  • VB腳本

攻擊模式

攻擊者直接在內(nèi)存中使用運(yùn)行簡單腳本和shellcode工具,如PowerShell腳本或VB腳本。

攻擊者利用Mimikatz工具獲得的密碼,并將其與PS Exec一起使用,以橫向移動(dòng)到另一個(gè)系統(tǒng)。

攻擊者使用包含帶有嵌入式惡意宏的Microsoft Office文檔附件的網(wǎng)絡(luò)釣魚電子郵件,誘騙用戶在打開Office文檔附件時(shí)啟用宏。

使用系統(tǒng)工具作為后門來繞過身份驗(yàn)證。

使用列入白名單的合法工具來逃避檢測。

攻擊示例

1.Petya/NotPetya勒索軟件

2018年6月,Ransom.Pety襲擊烏克蘭和其他國家的組織,這種正是利用了離地攻擊的策略。

Petya/ NotPetya勒索軟件使用軟件供應(yīng)鏈攻擊作為其初始感染載體,以破壞軟件計(jì)算程序的更新過程。

Petya還在感染過程中使用了系統(tǒng)命令。一旦執(zhí)行,它就會從Mimikatz工具中刪除重新編譯的LSADump版本,該工具用于竊取Windows內(nèi)存中的帳戶憑據(jù)。然后使用被盜憑證將威脅復(fù)制到網(wǎng)絡(luò)的任何計(jì)算機(jī)。最后使用已刪除的PsExec.exe實(shí)例和Windows Management Instrumentation(WMI)命令行工具遠(yuǎn)程啟動(dòng)。

2.Thrip威脅

2018年,研究人員通過利用離地攻擊的策略,觀察了針對電信提供商、衛(wèi)星和國防公司的網(wǎng)絡(luò)間諜活動(dòng)----Thrip。在此攻擊活動(dòng)中,網(wǎng)絡(luò)犯罪分子使用Windows實(shí)用程序PsExec來安裝Catchamas信息竊取程序惡意軟件。

3.Separ惡意軟件會通過離地攻擊策略感染公司

最近,研究人員觀察到一起網(wǎng)絡(luò)釣魚活動(dòng),該活動(dòng)用Separ惡意軟件感染了東南亞、中東和北美的組織。惡意軟件使用非常短的腳本或批處理文件與合法可執(zhí)行文件的組合來逃避檢測。

網(wǎng)絡(luò)釣魚電子郵件包含一個(gè)惡意PDF附件,據(jù)稱是一個(gè)自解壓可執(zhí)行文件。PDF文件偽裝成虛假報(bào)價(jià)單、運(yùn)貨單和設(shè)備規(guī)格詳情。

打開惡意PDF附件后,自解壓程序調(diào)用wscript.exe來運(yùn)行名為adobel.vbs的Visual Basic腳本(VB腳本)。一旦VB腳本開始運(yùn)行,它就會執(zhí)行一系列具有各種惡意功能的短批處理腳本。

如何保護(hù)自己?

  • 為避免此類攻擊,最好監(jiān)控網(wǎng)絡(luò)內(nèi)部兩用工具的使用情況。
  • 最好及時(shí)更新所有系統(tǒng)、應(yīng)用程序、軟件和操作系統(tǒng)。
  • 最好安裝一個(gè)強(qiáng)大的防病毒程序。
  • 建議使用強(qiáng)密碼并定期輪換密碼。
  • 建議在登錄時(shí)使用雙因素身份驗(yàn)證,并在會話完成后注銷。
  • 始終建議謹(jǐn)慎使用提示用戶啟用宏的Microsoft Office附件。
  • 建議永遠(yuǎn)不要打開來自匿名發(fā)件人的任何附件。
  • 最好創(chuàng)建列入白名單的應(yīng)用程序列表并監(jiān)視日志文件。

本文標(biāo)題:深入了解離地攻擊策略
標(biāo)題鏈接:http://www.dlmjj.cn/article/codijij.html