10大常见的Windows网络攻击技术你了解多少?
Admin 2021-06-04 群英行业资讯
Red Canary近期公布了《2021 Threat Detection Report》,该报告涵盖了众多顶级网络攻击技术到MITER ATT&CK框架的映射。其中,就2020年黑客首选10大Windows网络攻击技术进行了调研。
1、24%:命令行解释器PowerShell
利用PowerShell和Windows Command Shell的攻击对受害者影响最大。由于这些工具是Windows固有的,也被称为离地攻击,也就是说攻击者不需要下载专用工具,而是使用已安装的现有PowerShell就能够将恶意活动隐藏在合法进程中。
企业需要使用工具确保捕获日志记录,从而监测这一攻击活动。此外,由于分析正常的PowerShell 和恶意PowerShell需要一定时间,最好对于经常使用的脚本和PowerShell进程建立一个基准,帮助过滤,从而发现可疑的cmd.exe和混淆命令。
2、19%:签名的二进制进程执行
排名第二的攻击使用2种技术:Rundll32和Mshta。两者都允许攻击者通过受信任的签名二进制文件创建恶意代码。同样,攻击者使用的是离地攻击。
对此,建议企业可以为恶意使用的Rundll32设置警报,并且同样建立一个基线。
3、16%:创建和修改系统流程
Blue Mockingbird,这是利用Windows服务的单一威胁。主要部署加密货币挖掘有效载荷。当试图创建新的服务和新的进程时,建议查看日志中的事件4697、7045和4688。
4、16%:计划任务
报告指出,攻击者使用计划任务来建立持久性。企业应该检查计划任务是否被设置为以系统身份运行,因为这是最典型的攻击配置。此外,还有核查事件ID 106和140记录何时创建或更新任务。
5、7%:凭证转储
在诸如ProcDump和Mimikatz之类的工具的帮助下,本地安全授权子系统服务(LSASS)经常被用来转储密码。因此,企业在建立查找异常攻击的基线后,建议使用Windows 10 Attack Surface Reduction设置来查找LSASS可疑访问。
6、7%:进程注入
攻击者往往使用多种注入方法来获得对系统的更多访问权限,目前进程注入的方式非常多样。
7、6%:文件或信息混淆
在攻击者希望隐藏其行动时,会使用诸如Base64编码之类的工具隐藏其攻击过程。企业需要监控PowerShell.exe或Cmd.exe是否被“不寻常方式”地使用,但因为恶意活动看起来与正常的管理任务非常相似,导致这种攻击可能很难审查。建议设置使用PowerShell的政策,并且只使用签名的脚本执行。
8、5%:工具转移
虽然大多数攻击是离地攻击,但有时候攻击者也会将工具转移到平台上,他们使用bitsadmin.exe转移攻击工具,而查看PowerShell命令行中的关键字和模式是找到攻击序列的关键方法。
9、4%:系统服务
攻击者使用Windows Service Manager运行命令或安装服务。
10、4%:重命名伪装
攻击者通过重命名系统工具程序来绕过控件和检测。为此,建议不是直接查找文件名而是查找进程,从而确定攻击者是否正试图使用此技术进行攻击。如果可以,请使用可以比较文件哈希值的系统,这样即使文件名更改,哈希值也不会偏离。
(来源:FreeBuf)
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:mmqy2019@163.com进行举报,并提供相关证据,查实之后,将立刻删除涉嫌侵权内容。
猜你喜欢
服务器的核心技术相对复杂,专业人员稀少,尤其在病毒技术快速更新迭代的前提下,安全问题更为突出。这里提供一些实际工作中总结出的安全防护经验,以供参考。
现在明着搞刷单刷好评已经被很多跨境电商所抛弃,然而现在跨境电商竞争激烈,刷单就死不刷等死的窘境,群英网络就来介绍一下为什么刷单要用到美国多ip站群服务器更为合适?
众所周知,当网站或APP使用CDN后,会隐藏源站IP地址,一定程度上增加了黑客攻击的难度。有时候,我们要做渗透测试,也会受到CDN虚假IP的干扰,怎么找到网站的真实IP呢?
PKI (Public Key Infrastructure)定义 PKI:利用公钥理论和技术建立的提供网络信息安全服务的基础设施。为用户提供所需的密钥和证书管理,用户可以利用PKI平台提供的安全服务进行安全通信。 PKI内容 1、认证机构 PKI的核心部分,认证中
本篇文章为服务器安全设置(中级篇),主要为大家讲解windows服务器中常用的一些安全加固设置,有需要的朋友可以参考下