今年早些时候,一群网络犯罪分子开始使用大杂烩技术攻击公司,留下电影“黑客帝国”的参考资料,并使用勒索软件加密关键企业系统。
这一被反病毒软件供应商Sophos称为“MegaCortex”的攻击似乎来自受攻击的域控制器,攻击者可能使用窃取的管理员凭据访问了这些域控制器。一旦进入内部,攻击者就会使用常用技术来使用已经受到攻击的系统上的工具 - 称为“在陆地上生活” - 以避免被发现。
例如,该组使用PowerShell中的命令行界面,可在所有Microsoft Windows系统上使用。使用PowerShell,他们解码并运行一个模糊的脚本,在系统中设置后门,然后使用Windows Management Instrumentation(WMI)软件自动感染网络上的其他计算机。
Sophos高级安全顾问John Shier表示,这些技术正变得越来越普遍,并且不乏可以为攻击者目的而增加的工具。
“有超过100种不同的工具可供攻击者自动攻击使用。他们正在使用Windows系统自己的工具来对抗它。”
-John Shier
以下是攻击者针对您的企业系统的主要工具。
1. PowerShell
当Windows系统成为攻击的目标时,PowerShell通常是攻击者的常驻工具。与Linux系统上的Bash shell一样,PowerShell允许攻击者创建可以自动执行危害系统任务的脚本。
2010年,两位安全专业人士--Dave Kennedy和Josh Kelly在DEFCON 18的演讲中强调了PowerShell作为后期开发技术的实用性。2011年,另一位安全专业人士Matt Graeber写了一篇关于他自己涉足帖子的描述-exploitation PowerShell编码,在他博客的帖子中有一个例子。
Palo Alto Networks威胁情报副总裁Ryan Olson表示,Graeber开发的脚本已经进入许多公共工具,用于将代码加载到内存中以避免将代码写入磁盘。
“自Windows 7以来,PowerShell内置于所有Windows系统中,这意味着总有一个强大的脚本引擎可以访问他们可以访问的任何Windows主机上的资源。”
-Ryan Olson
2. Docker
对于许多开发人员和运营专业人员而言,Docker是一种工具,可以让容器快速旋转,以便在自定义应用程序环境中工作。它还可以在软件转移到生产之前测试正在开发的应用程序。
但是,如果开发人员不关心他们使用哪些图像作为其容器的基础,则攻击者可以使用恶意Docker容器在公司网络内运行代码。虽然Docker容器的安全功能是他们无法在没有明确许可的情况下访问本地软件,但他们可以扫描网络以寻找其他系统来感染或执行其他任务,Crowdstrike威胁情报副总裁Adam Meyers表示,安全服务公司。
“这是一个很棒的工具,但是如果镜像不安全或者镜像上的东西不必存在,或者它们有漏洞,那么攻击者可能会利用它。”
-Adam Meyers
3. WMI
这种基于Windows的应用程序界面允许访问管理信息,并且作为攻击者获取有关网络上系统的其他信息并自动进一步攻击的管道非常有用。
Meyers说,WMI已被犯罪分子和民族国家的对手使用。
“对手可以访问的任何东西,以及可以发出命令并让它执行动作的东西,对他们来说都具有潜在的价值。”
-Adam Meyers
4. VBScript
Microsoft系统管理员使用Visual Basic Scripting(VBScript)语言使用类似Visual Basic的语言自动管理计算机。但是VBScript也是攻击者自动感染系统的常用方法,特别是如果它们将其作为Office文档的一部分包含在内。
Palo Alto Networks的Olson表示,使用VBScript和其他工具防范攻击需要安全管理员权衡工具的好处和风险。
“对于很多像PowerShell和VBScript这样的工具,限制它们的使用和实用性非常重要。为这些工具创建白名单和黑名单。你可以将它们仅限于某些系统或某些功能。”
-Ryan Olson
5.压缩工具
任何攻击者的一个关键步骤是从目标系统中获取数据,因此他们通常会在系统上使用压缩工具,这不仅可以缩小数据的大小,还可以对信息进行模糊处理。他们可以共同选择各种常用工具来帮助他们。
“对于数据泄露,攻击者通常需要在将文件发送到另一个位置之前对其进行归档,”Olson说。 “他们可以使用Windows中的内置压缩功能实现这一目标,或者寻找其他已安装的工具,如7-Zip或WinRAR。”
这些常用工具并不是攻击者从受感染系统扩展妥协的唯一方法。开发人员必须提防知识渊博的攻击者,他们将代码插入到他们的开发路径中,例如最近针对游戏公司的攻击。
Sophos的Shier表示,在这些情况下,攻击者采取编译器和陷阱陷阱,以便当开发人员编写代码时,它会在那里放一些特殊的酱 - 一个后门。
“仅仅因为它不是PowerShell或WMI并不意味着具有足够技能的攻击者无法进入您的环境并在您的路径中添加DLL,最终会为您的代码添加后门。”
-John Shier
关闭你的系统
虽然适用于网络安全的“生活在陆地上”这一术语有点新,但技术却并非如此。 1986年,正如“咕咕蛋”中记载的那样,来自西德的攻击者闯入劳伦斯利弗莫尔国家实验室的计算机,攻击了其他各种政府和军用计算机,主要使用系统上已有的工具。
然而,当前技术使用的增加标志着十年前趋势的逆转,当时攻击者使用自定义恶意软件。 Crowdstrike的Meyers表示,随着越来越多的公司使用可以检测恶意定制软件的防御系统,攻击者会专注于以恶意方式使用现有工具。
“从威胁演员的角度来看,他们希望在检测之前增加时间,以便他们可以离开那个系统。通过在陆地上生活并使用已经在系统上的工具,他们可以避免大量的传统的防病毒类解决方案。“
-Adam Meyers
原文:https://techbeacon.com/security/when-your-own-tools-attack-top-5-offenders
本文:
讨论:请加入知识星球或者小红圈【首席架构师圈】