端点攻击的剖析

随着黑暗彩票网app(甚至是地面彩票网app)上的工具和服务使低技能威胁参与者能够创建高度躲避的威胁,彩票网app攻击变得越来越复杂。不幸的是,当今大多数现代恶意软件都回避了传统的基于签名的反恶意软件服务,可以轻松地到达端点。结果,缺乏分层安全性方法的组织经常发现自己处于不稳定状态。此外,由于广泛地重复使用密码,威胁参与者在诱骗用户凭据或仅通过暴力破解凭据方面也非常成功。

在过去的十年中,整个彩票网app安全威胁格局发生了许多变化,但有一件事情保持不变:端点处于被围困状态。改变的是攻击者如何破坏端点。威胁参与者已在系统中获得初步立足点后,学会了变得更有耐心(并且实质上是在扩大受害者的范围)。

拿大量 Norsk Hydro勒索软件攻击 例如:最初的感染发生在攻击者执行勒索软件并锁定许多制造商的计算机系统之前三个月。对于Norsk来说,这是足够的时间,可以在损坏造成损失之前就检测出漏洞,但是事实是,大多数组织根本就没有完善的分层安全策略。

实际上,最近的 IBM数据泄露成本报告 发现组织平均需要280天才能发现并遏制违规行为。攻击者可能需要9个月的时间坐在您的彩票网app上,以计划其政变。

那么,攻击者这段时间到底在做什么?它们如何不被发现进入端点?

它通常以彩票网app钓鱼开始。无论您选择引用哪种报告,大多数人都指出,大约90%的彩票网app攻击都是从彩票网app钓鱼开始的。成功的彩票网app钓鱼有几种不同的结果,范围从受到破坏的凭据到计算机上运行的远程访问木马。对于凭据攻击,威胁参与者最近一直在利用众所周知的云服务的可自定义子域来托管看起来合法的身份验证表单。

解剖学终点攻击

上面的屏幕截图来自最近遇到的彩票网app钓鱼WatchGuard威胁实验室。电子邮件中的链接是针对单个收件人定制的,攻击者可以利用此链接将受害者的电子邮件地址填充为伪造表格,以提高信誉。该彩票网app钓鱼甚至托管在Microsoft拥有的域中,尽管位于攻击者控制下的子域(servicemanager00)中,因此您可以看到未经训练的用户可能会喜欢上这种东西。

对于恶意软件攻击,攻击者(或至少是成功的攻击者)已基本上停止将恶意软件可执行文件附加到电子邮件。如今,大多数人认识到启动可执行的电子邮件附件是一个坏主意,并且大多数电子邮件服务和客户端都具有适当的技术保护以阻止仍然点击的少数用户。相反,攻击者可以利用 滴管文件,通常采用宏观格式的Office文档或JavaScript文件的形式。

如果收件人尚未更新其Microsoft Office安装或未经过培训避免使用启用宏的文档,则该文档方法最有效。 JavaScript方法是最近流行的一种方法,它利用Windows的内置脚本引擎来发起攻击。在这两种情况下,dropper文件的唯一工作都是识别操作系统,然后调用主目录并获取辅助负载。

辅助负载通常是某种形式的远程访问木马或僵尸彩票网app,其中包括一整套工具,如键盘记录器,shell脚本注入器以及下载其他模块的能力。此后很长时间内,感染通常不仅限于单个端点。攻击者可以利用自己的立足点来确定受害者彩票网app上的其他目标,并将它们绑在一起。

如果攻击者设法获得一组有效的凭据并且组织尚未部署多因素身份验证,则更加容易。它允许威胁参与者从数字前门直接进入。然后他们可以使用受害者自己的服务–例如内置的Windows脚本引擎和软件部署服务–在陆地上进行攻击以执行恶意行为。我们通常会看到威胁参与者利用PowerShell部署无文件恶意软件,以准备加密和/或泄露关键数据。

看守威胁实验室最近 确定持续感染 在招募新客户时。到我们到达时,由于威胁至少破坏了一个本地帐户和一个具有管理权限的域帐户,威胁参与者已经在受害者的彩票网app上存在了一段时间。我们的团队无法确定威胁行为者是如何获得证书的,或者它们在彩票网app中存在了多长时间,但是一旦我们的威胁搜寻服务打开,指示灯就会立即亮起,以识别漏洞。

在这次攻击中,威胁行动者使用了Visual Basic脚本和两个流行的PowerShell工具包(PowerSploit和Cobalt Strike)的组合,以绘制受害者的彩票网app并启动恶意软件。我们看到的一种行为来自Cobalt Strike的外壳代码解码器,它使威胁行为者能够下载恶意命令,将其加载到内存中,然后从那里直接执行它们,而代码不会触及受害者的硬盘。使用依靠扫描文件来识别威胁的传统端点反恶意软件引擎,这些无文件恶意软件攻击的范围从难以检测到无法检测。

解剖学终点攻击

在彩票网app的其他地方,我们的团队看到了威胁参与者 执行程序,这是Windows的内置工具,可通过受威胁的域管理员凭据来启动具有SYSTEM级权限的远程访问木马。该团队还确定了威胁参与者试图使用基于命令行的云存储管理工具将敏感数据泄露到DropBox帐户的尝试。

幸运的是,他们能够快速识别并清除恶意软件。但是,如果受害者没有更改被盗的凭据,则攻击者可能会随意重新发起攻击。如果受害者部署了高级端点检测和响应(EDR)引擎作为其分层安全策略的一部分,他们可能已经停止或减慢了那些被盗凭证所造成的损害。

攻击者不分青红皂白地瞄准企业,甚至是小型组织。仅仅依靠单层保护已无法再确保企业安全。无论组织规模大小,采用分层安全方法都可以检测并阻止现代端点攻击非常重要。这意味着从外围到端点的保护,包括中间的用户培训。而且,不要忘记多因素身份验证的作用(外交部)–可能是停止攻击与成为另一个违规统计之间的区别。

分享这个