在目前的高階威脅中,攻擊者常常使用合法的管理工具來建立入侵系統的通道,並利用記憶體對映和快取來繞過常見的安全檢測工具。這些逃避技術正在迅速變化,攻擊者會精心選擇更有價值的企業系統並竊取最敏感的資料。
許多的APT攻擊會選擇在系統中潛伏,以探測整個系統,摸清竊取資訊的捷徑,獲得核心資料的儲存地點。傳統的安全解決方案難以在第一時間發現並阻斷這些威脅,而企業的安全管理者卻可以從一些細節的觀察上發現攻擊者入侵系統的真相。
攻擊者的入侵過程
攻擊者想要入侵企業網路一般要分為以下幾個過程
1、利用遠端訪問裝置或諸如Emotet、Tritbot這類殭屍網路入侵到某臺主機中。
2、將自己的訪問許可權提升到管理員級別。
3、使用特定的工具嘗試繞過或禁用系統中的安全檢測工具。
4、在企業網路中橫向傳播惡意程式碼或加密受害者的重要檔案。
發現攻擊者入侵的細節
企業可以透過對攻擊者入侵過程的觀察來發現攻擊者入侵企業網路的蛛絲馬跡。
1、 網路掃描器
攻擊者需要獲得計算機的訪問權,就需要查清企業計算機的系統型別、域名,計算機具有什麼樣的管理員許可權等,著名的Netwalker勒索軟體就會利用到網路掃描器。如果檢測到系統中存在網路掃描器,例如AngryIP或Advanced Port Scanner等,請詢問管理員是否存在企業內部人員正在利用這些工具進行合規操作,否則很有可能已經遭遇了攻擊者的入侵。
2、 禁用安全軟體的工具。
攻擊者擁有管理員許可權後,通常會嘗試使用強制刪除軟體的應用程式(例如Process Hacker,IOBit Uninstaller,GMER等)來禁用安全軟體。這些型別的商業工具是合法的,但是與網路掃描器一樣,不能排除它們被攻擊者利用的可能。
3、用於提升許可權的工具
如果管理團隊中沒有人使用提升許可權的工具,那麼這類工具的出現就是一個強有力的危險訊號,因為這是駭客最常用的憑據盜竊工具之一。比如Netimker勒索軟體就會使用Mimikatz和用於啟動它的相關PowerShell指令碼。另外,有些攻擊者還會使用Windows Sysinternals中包含的Microsoft Process Explorer,可以從記憶體中轉儲lsass.exe,lsass.exe是Windows系統中安全機制相關的程式,主要用於本地安全和登陸策略。但是攻擊者透過lsass.exe程式的記憶體直接獲取明文密碼或者透過dump將lsass.exe轉儲成lsass.dmp檔案,再配合其它工具就可以獲得Windows明文密碼。然後,他們可以將其帶到自己的環境中,並使用MimiKatz在自己的測試機上安全地提取使用者名稱和密碼。
參考連結:
[1]https://www.sophos.com/en-us/medialibrary/Gated%20Assets/white%20papers/sophosransomwareprotectionwpna.pdf
[2]https://www.darkreading.com/cloud/8-reasons-perimeter-security-alone-wont-protect-your-crown-jewels/a/d-id/1338878
[3] https://ieeexplore.ieee.org/document/7163058
[4]https://news.sophos.com/en-us/2020/08/04/the-realities-of-ransomware-five-signs-youre-about-to-be-attacked/
本文翻譯:小璠,轉載請註明來源。
安芯網盾(北京)科技有限公司(簡稱安芯網盾)是專注於記憶體安全的高新技術企業,致力於為政府、金融、運營商、軍工、教育、醫療、網際網路及大型企業等行業客戶提供面向未來的網路安全解決方案。安芯網盾擁有趕超國際的智慧記憶體保護技術,核心團隊成員自2005年就專注於資訊保安攻防對抗產品的研發並斬獲多項國際大獎,被評為具有發展潛力和行業價值的網路安全新創企業。
安芯網盾幫助企業構建基於硬體虛擬化技術的記憶體安全環境,防禦並終止在業務關鍵應用程式中的無檔案攻擊、0day漏洞攻擊等高階威脅,切實有效保障使用者的核心業務不被阻斷,保障使用者的核心資料不被竊取,已為華為、百度、工商銀行、瑞斯康達、Google、G42等眾多國際知名企事業單位持續提供服務。