日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
PowerShell無(wú)文件持久化技術(shù)與常用的防御繞過(guò)技術(shù)

目前為止,PowerShell仍然是網(wǎng)絡(luò)安全專家進(jìn)行防御和黑客進(jìn)行攻擊的首選工具。原因很簡(jiǎn)單,PowerShell具有很好的可擴(kuò)展性,支持能力以及適應(yīng)各種編程語(yǔ)言。如PowerShell Empire,PowerSploit等,都被安全研究人員以及黑客所使用。

創(chuàng)新互聯(lián)公司長(zhǎng)期為近1000家客戶提供的網(wǎng)站建設(shè)服務(wù),團(tuán)隊(duì)從業(yè)經(jīng)驗(yàn)10年,關(guān)注不同地域、不同群體,并針對(duì)不同對(duì)象提供差異化的產(chǎn)品和服務(wù);打造開(kāi)放共贏平臺(tái),與合作伙伴共同營(yíng)造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為城廂企業(yè)提供專業(yè)的網(wǎng)站制作、網(wǎng)站設(shè)計(jì),城廂網(wǎng)站改版等技術(shù)服務(wù)。擁有10多年豐富建站經(jīng)驗(yàn)和眾多成功案例,為您定制開(kāi)發(fā)。

這兩天,就有安全平臺(tái)檢測(cè)出了有惡意軟件利用PowerShell所進(jìn)行的攻擊,該攻擊可以進(jìn)行持久性攻擊并繞過(guò)傳統(tǒng)安全防護(hù)的檢測(cè)。惡意軟件會(huì)誘騙用戶對(duì)網(wǎng)站上的Adobe Flash瀏覽器插件進(jìn)行更新,然后使用一個(gè)稱為mshta.exe的HTA攻擊方法。 MSHTA.exe是一個(gè)合法的Microsoft二進(jìn)制文件,可以在任何瀏覽器中被調(diào)用,用于執(zhí)行.HTA文件。不過(guò)在大多數(shù)情況下,對(duì)MSHTA.exe的擴(kuò)展都屬于惡意擴(kuò)展,所以我們建議開(kāi)啟防火墻里所有阻止HTA擴(kuò)展的功能。

目前利用MSHTA.exe進(jìn)行攻擊的方法已經(jīng)被列入社會(huì)工程學(xué)攻擊包(SET)多年了:

如果被MSHTA.exe攻擊了,就會(huì)發(fā)生上圖所列的那些情況。黑客可能是利用了VBS下載器,PowerShell,一個(gè)被下載和執(zhí)行的二進(jìn)制文件等等來(lái)執(zhí)行的MSHTA.exe攻擊。

目前,在大多數(shù)情況下,這種釣魚(yú)網(wǎng)絡(luò)攻擊都能夠被檢測(cè)到,如下圖所示, 一旦網(wǎng)頁(yè)啟動(dòng)了惡意HTA ,就能被立即檢測(cè)到。

一旦發(fā)生這種情況,PowerShell命令就會(huì)被執(zhí)行,因?yàn)檫@個(gè)HTA會(huì)觸發(fā)了多個(gè)危險(xiǎn)提示。通常,惡意HTA會(huì)觸發(fā)SYSWOW64降級(jí)攻擊,將進(jìn)程降級(jí)為32位進(jìn)程,從而給目標(biāo)設(shè)備注入shellcode。

在我們對(duì)攻擊日志進(jìn)行分析時(shí),我們發(fā)現(xiàn)Invoke-Expression(IEX)是一種常用的攻擊技術(shù),利用這種技術(shù)可以提取特定的注冊(cè)表項(xiàng),并實(shí)現(xiàn)持久化的掛鉤( hook)。PowerShell攻擊是通過(guò)Invoke-Expression(IEX)調(diào)用.Net Web Client下載功能來(lái)下載瀏覽器上的PowerShell代碼并執(zhí)行。不過(guò),提取的注冊(cè)表項(xiàng)的名稱和持久性掛鉤都會(huì)在初始PowerShell調(diào)用中經(jīng)過(guò)混淆處理。

在這個(gè)由Invoke-Expression引起的攻擊中,攻擊者會(huì)在CurrentVersion Run下的用戶配置文件下創(chuàng)建了一個(gè)注冊(cè)表項(xiàng),以作為持久性掛鉤的起始位置。

通過(guò)研究持久性掛鉤的日志,我們發(fā)現(xiàn)混淆后的持久性注冊(cè)表掛鉤如下:

 
 
 
 
    
  
  
  
  
  1. HKEY_USERS:SANITIZED\Software\Microsoft\Windows\CurrentVersion\Run 
    2.   
  
  
  
  2. "C:\Windows\system32\mshta.exe" "about:" 
    3.

反混淆后的持久化注冊(cè)表掛鉤如下:

 
 
 
 
    
  
  
  
  
  1.  
    2.

這一系列過(guò)程,就是我們本文所說(shuō)的無(wú)文件攻擊技術(shù),也稱為有效載荷傳遞攻擊技術(shù),因?yàn)樵摴艏夹g(shù)不是直接將特定的有效載荷寫(xiě)入文件的,而是通過(guò)運(yùn)行注冊(cè)表項(xiàng)來(lái)在目標(biāo)設(shè)備中實(shí)現(xiàn)持久化注入。

在文件攻擊技術(shù)中,mshta.exe會(huì)使用WScript.shell來(lái)調(diào)用嵌入了PowerShell命令的注冊(cè)表項(xiàng)。目前,這種無(wú)文件攻擊至今還無(wú)法被檢測(cè)到。不過(guò),“無(wú)文件”并不是真的沒(méi)有文件的意思,而是指的有效載荷,關(guān)于什么是無(wú)文件惡意軟件,請(qǐng)點(diǎn)擊這里進(jìn)行詳細(xì)了解。

使用目標(biāo)設(shè)備的PowerShell和mshta,攻擊者可以使用傳統(tǒng)的攻擊技術(shù)來(lái)對(duì)目標(biāo)設(shè)備進(jìn)行惡意文件的下載及后門的安裝。通常黑客會(huì)使用Invoke-Expression(IEX)來(lái)進(jìn)行繞過(guò)并使用PowerShell的“EncodedCommand”參數(shù)以躲避安全軟件的檢測(cè)。

最近,安全研究員Vincent Yiu就展示了一種通過(guò)PowerShell來(lái)繞過(guò)傳統(tǒng)檢測(cè)的方法,該方法沒(méi)有調(diào)用任何IEX和EncodedCommand。目前這種方法已開(kāi)始被廣泛使用了,比如下圖這個(gè)例子,就是利用了“.”來(lái)調(diào)用calc.exe的。在這個(gè)例子中,由于沒(méi)有調(diào)用其他代碼,所以無(wú)需使用該代碼來(lái)分配變量。

那么,在這種情況下,網(wǎng)站的TXT將記錄下載PowerShell的命令,并通過(guò)nslookup在系統(tǒng)上執(zhí)行該命令。這意味著我們可以把命令代碼注入到DNS中的TXT記錄中,并啟動(dòng)PowerShell命令。

開(kāi)頭我們所提到的那家安全平臺(tái)就可以就可以通過(guò)這種PowerShell的運(yùn)行,來(lái)檢測(cè)出惡意運(yùn)行。

如果檢測(cè)到nslookup以及通過(guò)nslookup提取代碼的行為,則該平臺(tái)就能立馬檢測(cè)到這種惡意行為,因?yàn)镻owerShell內(nèi)部使用的nslookup以及在txt記錄中的代碼都是惡意的。另外,上面例子中的“.”只能執(zhí)行文件,而不是執(zhí)行代碼本身。因此,我們還需要另一個(gè)命令,來(lái)執(zhí)行從nslookup txt記錄中提取的代碼。

安全研究專家Daniel Bohannon給出了一種實(shí)現(xiàn)辦法,不過(guò)仍然需要用到IEX:

 
 
 
 
    
  
  
  
  
  1. $nslookupResult1 = 'iex' 
    2.   
  
  
  
  2. $nslookupResult2 = 'Write-Host THIS IS MY ACTUAL PAYLOAD -f green' 
    3.   
  
  
  
  3. . $nslookupResult1 $nslookupResult2 
    4.   
  
  
  
  4. or even better: 
    5.   
  
  
  
  5. $nslookupAllInOne = @('iex','Write-Host ALL IN ONE -f green') 
    6.   
  
  
  
  6. . $nslookupAllInOne[0] $nslookupAllInOne[1] 
    7.

以下是在該平臺(tái)所識(shí)別出的一種特定攻擊模式:

預(yù)防措施

對(duì)于那些還沒(méi)有使用該平臺(tái)進(jìn)行防護(hù)的組織來(lái)說(shuō),我們可以推薦一些方法來(lái)檢測(cè)PowerShell的這種無(wú)文件持久化行為,其實(shí)這種惡意行為并不僅限于某種特定的模式,例如IEX。下面我們就為你列出一些預(yù)防措施,讓你做到心中有數(shù):

  • 注意PowerShell命令的字符長(zhǎng)度必要過(guò)大;
  • 注意將PowerShell置于約束語(yǔ)言模式下的行為;
  • 啟用增強(qiáng)的PowerShell日志記錄,例如腳本塊日志記錄;
  • 經(jīng)常對(duì)設(shè)備進(jìn)行安全檢測(cè);
  • 注意minesweeper.exe的出現(xiàn);
  • 監(jiān)控諸如IEX,EncodedCommand等的使用;
  • 利用Sysmon等工具提高記錄功能,并檢測(cè)可能由可疑進(jìn)程(PowerShell)引發(fā)的流程注入,
  • 審查DNS日志并尋找可疑的控制命令和DNS請(qǐng)求;
  • 查找不是源自powershell.exe和powershell_ise.exe的System.Management.Automation.dll和System.Management.Automation.ni.dll;
  • 在正常情況下禁止普通用戶執(zhí)行PowerShell命令(AppLocker +Device Guard可以防止普通用戶使用PowerShell)。

當(dāng)前名稱:PowerShell無(wú)文件持久化技術(shù)與常用的防御繞過(guò)技術(shù)
瀏覽路徑:http://www.5511xx.com/article/dpgcccg.html