RedCanary最近发布了《 2021 Threat Detection Report》,涵盖了众多顶级网络攻击技术到MITREATT&CK框架的映射。其中,对2020年黑客首选的10大Windows网络攻击技术进行了调查。1.24%:命令行解释器PowerShell使用PowerShell和WindowsCommandShell的攻击对受害者的影响最大。由于这些工具是Windows原生的,它们也被称为离地攻击,这意味着攻击者无需下载专门的工具,而是可以使用现有的PowerShell安装将恶意活动隐藏在合法进程中。组织需要工具来确保捕获日志记录以监控此攻击活动。此外,由于分析正常PowerShell和恶意PowerShell需要时间,因此最好为经常使用的脚本和PowerShell进程建立一个基线,以帮助过滤和发现可疑的cmd.exe和混淆命令。2.19%:签名二进制进程使用2种技术执行排名第二的攻击:Rundll32和Mshta。两者都允许攻击者从受信任的签名二进制文件创建恶意代码。同样,攻击者正在使用离地攻击。对此,建议企业可以对恶意使用Rundll32设置告警,同时也建立一个基线。3.16%:创建和修改系统进程BlueMockingbird,这是一种利用Windows服务的单一威胁。主要部署加密货币挖掘有效载荷。尝试创建新服务和新进程时,建议查看日志中的事件4697、7045和4688。4、16%:计划任务报告表明攻击者使用计划任务建立持久性。组织应检查计划任务是否设置为作为系统运行,因为这是最典型的攻击配置。此外,还有审计事件ID106和140,用于记录创建或更新任务的时间。5.7%:凭证转储借助ProcDump和Mimikatz等工具,本地安全授权子系统服务(LSASS)经常被用来转储密码。因此,在企业建立了发现异常攻击的基线后,建议使用Windows10AttackSurfaceReduction设置来发现对LSASS的可疑访问。6.7%:进程注入攻击者经常使用多种注入方式来获取更多的系统访问权限。目前,进程注入的方式有很多种。7.6%:文件或信息混淆当攻击者想要隐藏他们的行为时,他们会使用Base64编码等工具来隐藏他们的攻击过程。组织需要监控PowerShell.exe或Cmd.exe是否以“异常方式”使用,但由于恶意活动看起来与正常管理任务非常相似,因此此类攻击可能难以审查。建议设置策略以使用PowerShell并仅使用签名脚本执行。8.5%:工具转移虽然大多数攻击都是地外攻击,但有时攻击者也会将工具转移到平台上。他们使用bitsadmin.exe传输攻击工具,查看PowerShell命令行中的关键字和模式是找到攻击序列的关键方法。9.4%:系统服务攻击者使用Windows服务管理器运行命令或安装服务。10.4%:重命名伪装攻击者通过重命名系统实用程序来绕过控制和检测。因此,建议直接查找进程而不是文件名来确定攻击者是否试图使用此技术进行攻击。如果可以,请使用比较文件哈希值的系统,这样即使文件名发生变化,哈希值也不会发生变化。参考来源:csoonline
