2. “脚本执行”不容忽视
攻击者可能会使用脚本来帮助进行操作并执行其他本来应该是手动进行的多项操作。脚本执行对于加快操作任务,减少访问关键资源所需的时间很有用。通过直接在API级别与操作系统交互,而无需调用其他程序,某些脚本语言可以用于绕过过程监视机制。Windows的常用脚本语言包括VBScript和PowerShell,但也可以采用命令行批处理脚本的形式。
安全工具和人工分析的快速发展让攻击者很难使用公开的攻击载荷或者直接从磁盘获取相关载荷。因此,攻击者需要找到替代方法来执行有效载荷并执行其他恶意活动,这是脚本相关技术日益流行的主要原因。此外,该技术利用的运行时环境、库和可执行文件是每个现代计算平台的核心组件,不能轻易禁用,并且没有始终对其进行密切监视。
在Windows上,Windows脚本宿主(WSH)最简单的检测用例是基于process ancestry的。这包括监视从shells命令(cmd.exe、powershell.exe)、Office应用程序、Web浏览器和Web服务处理程序中生成的wscript.exe或cscript.exe。还建议监视从非标准位置执行的脚本,例如用户可写路径,包括appdata\local\*、其他类似路径以及临时目录。
此外,监视进程元数据、进程命令行和文件修改都是非常重要的策略。检测与托管脚本相关的二进制文件的可疑模块加载(例如vbscript.dll)的检测系统也是值得采取的策略。
当然最彻底的办法就是禁用Windows脚本宿主,也可以强制对脚本进行签名,以确保仅执行批准的脚本。诸如AppLocker之类的工具还提供了与脚本执行相关的其他约束。这些是预防策略,但也可用于检测之用,因为尝试执行未经授权的脚本应产生更高质量的报警信号。
3. “命令行界面”也是黑客最爱
命令行界面提供了一种与计算机系统进行交互的方式,并且是许多类型的操作系统平台的共同功能。Windows系统上的令行界面是cmd,可用于执行许多任务,包括执行其他软件。命令行界面可以通过远程桌面应用程序、反弹Shell会话等在本地或远程进行交互。执行的命令以命令行界面进程的当前权限级别运行,除非该命令进行进程调用,更改执行权限(例如计划任务)。
命令行界面发展至今,已经有大量的成熟工具可以使用。此外,命令行界面是一个非常轻便的应用程序,打开时不会给硬件带来负担,因此打开起来更快。而且在基于GUI的应用程序上完成的所有任务,能够通过命令行界面更快地打开。
针对这类攻击,可以通过使用命令行参数正确记录进行执行情况来捕获命令行界面活动。通过深入了解攻击者时如何使用本地进程或自定义工具的,可以进一步了解攻击者的行为。这就需要做到以下两方面:(1)了解组织机构中应用程序的常见来源;(2)收集命令行和相关的检测数据.
4. “注册表run key/启动文件夹”是实现持久化的关键动作
在注册表的“run keys”或启动文件夹中添加一个条目,将会导致用户登录时,该程序会运行该条目。这些程序将在用户的上下文中执行,并具有与账户相同的权限级别。
注册表run key和启动文件夹历来都是各类攻击者实现持久化的重要目标。根据Microsoft文档,对注册表run key的支持至少可以追溯到Windows95。有可靠记录表明,作为一种持久化机制,加之易于实施,该技术在一定程度上解释了其为何在攻击者中使用非常普遍。攻击者仅需要用户级别的权限,并具有写入注册表或将有效负载拖放到启动文件夹的功能。
虽然实现起来相对简单,但非常有效。随着时间的推移,该技术已经从引用可执行有效负载发展为加载动态库,并利用了其他技术(例如regsvr32和脚本执行)。针对该攻击技术,可以在持久化机制生命周期的三个不同点上有效地实现检测:安装时、休眠时以及触发时。
