日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
深入了解離地攻擊策略

前言

無文件攻擊通常包括對 Microsoft Windows 眾多內(nèi)建工具的濫用。這些工具使得攻擊者輕松地從一個階段“跳轉(zhuǎn)”到另一個階段,無需執(zhí)行任何編譯的二進制可執(zhí)行文件,這種攻擊方式被稱為“離地攻擊”。

什么是離地攻擊?

“離地攻擊”是網(wǎng)絡(luò)犯罪分子用來進行網(wǎng)絡(luò)攻擊的策略之一,一旦攻擊者的惡意代碼能與本地程序進行交互,那么攻擊者就有可能利用系統(tǒng)的原生工具進行下一步攻擊,包括下載附帶的其他惡意代碼,啟動程序,執(zhí)行腳本,竊取數(shù)據(jù),橫向擴展,維持訪問等等。

攻擊者為達到這些目的而調(diào)用的工具包括 regsvr32.exe、rundll32.exe、certutil.exe和schtasks.exe。Windows 管理規(guī)范(WMI),是 Windows 系統(tǒng)內(nèi)建工具,為攻擊者提供了“平地起飛”的絕好機會。WMI 借助運行 wmic.exe 程序和執(zhí)行腳本(如,PowerShell ),使得攻擊者可以操作設(shè)備的絕大部分配置。

這些工具都是系統(tǒng)自帶的、受信任的,所以反惡意軟件技術(shù)也難以偵測和限制。

“離地攻擊”策略利用以下方面:

  • 使用兩用工具
  • 無文件持久性
  • 僅使用內(nèi)存威脅

為什么使用離地攻擊?

攻擊者利用常用工具對目標進行攻擊,這就是離地攻擊。使用預(yù)先安裝在目標計算機上的工具的攻擊者越來越多。使用無文件威脅、第三方工具或簡單腳本可幫助攻擊者逃避防病毒程序的檢測。

使用什么工具?

離地攻擊廣泛使用的工具包括:

  • Mimikatz
  • 微軟的PS Exec工具
  • Windows Management Instrumentation (WMI)
  • Windows Secure Copy
  • PowerShell腳本
  • VB腳本

攻擊模式

攻擊者直接在內(nèi)存中使用運行簡單腳本和shellcode工具,如PowerShell腳本或VB腳本。

攻擊者利用Mimikatz工具獲得的密碼,并將其與PS Exec一起使用,以橫向移動到另一個系統(tǒng)。

攻擊者使用包含帶有嵌入式惡意宏的Microsoft Office文檔附件的網(wǎng)絡(luò)釣魚電子郵件,誘騙用戶在打開Office文檔附件時啟用宏。

使用系統(tǒng)工具作為后門來繞過身份驗證。

使用列入白名單的合法工具來逃避檢測。

攻擊示例

1.Petya/NotPetya勒索軟件

2018年6月,Ransom.Pety襲擊烏克蘭和其他國家的組織,這種正是利用了離地攻擊的策略。

Petya/ NotPetya勒索軟件使用軟件供應(yīng)鏈攻擊作為其初始感染載體,以破壞軟件計算程序的更新過程。

Petya還在感染過程中使用了系統(tǒng)命令。一旦執(zhí)行,它就會從Mimikatz工具中刪除重新編譯的LSADump版本,該工具用于竊取Windows內(nèi)存中的帳戶憑據(jù)。然后使用被盜憑證將威脅復(fù)制到網(wǎng)絡(luò)的任何計算機。最后使用已刪除的PsExec.exe實例和Windows Management Instrumentation(WMI)命令行工具遠程啟動。

2.Thrip威脅

2018年,研究人員通過利用離地攻擊的策略,觀察了針對電信提供商、衛(wèi)星和國防公司的網(wǎng)絡(luò)間諜活動----Thrip。在此攻擊活動中,網(wǎng)絡(luò)犯罪分子使用Windows實用程序PsExec來安裝Catchamas信息竊取程序惡意軟件。

3.Separ惡意軟件會通過離地攻擊策略感染公司

最近,研究人員觀察到一起網(wǎng)絡(luò)釣魚活動,該活動用Separ惡意軟件感染了東南亞、中東和北美的組織。惡意軟件使用非常短的腳本或批處理文件與合法可執(zhí)行文件的組合來逃避檢測。

網(wǎng)絡(luò)釣魚電子郵件包含一個惡意PDF附件,據(jù)稱是一個自解壓可執(zhí)行文件。PDF文件偽裝成虛假報價單、運貨單和設(shè)備規(guī)格詳情。

打開惡意PDF附件后,自解壓程序調(diào)用wscript.exe來運行名為adobel.vbs的Visual Basic腳本(VB腳本)。一旦VB腳本開始運行,它就會執(zhí)行一系列具有各種惡意功能的短批處理腳本。

如何保護自己?

  • 為避免此類攻擊,最好監(jiān)控網(wǎng)絡(luò)內(nèi)部兩用工具的使用情況。
  • 最好及時更新所有系統(tǒng)、應(yīng)用程序、軟件和操作系統(tǒng)。
  • 最好安裝一個強大的防病毒程序。
  • 建議使用強密碼并定期輪換密碼。
  • 建議在登錄時使用雙因素身份驗證,并在會話完成后注銷。
  • 始終建議謹慎使用提示用戶啟用宏的Microsoft Office附件。
  • 建議永遠不要打開來自匿名發(fā)件人的任何附件。
  • 最好創(chuàng)建列入白名單的應(yīng)用程序列表并監(jiān)視日志文件。

分享題目:深入了解離地攻擊策略
分享鏈接:http://www.5511xx.com/article/codijij.html