DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

DDOS高防服务_TCP高防_无缝切换

01-12 DDOS防御

DDOS高防服务_TCP高防_无缝切换

生活在陆地上的二进制文件-又名LOLBins-代表了一个更具创造性和更阴险的恶意软件威胁今天。攻击者通过操纵合法的系统和进程以达到恶意目的,从而使用LOLBins来逃避检测。在这篇文章中,SANS分析师Jake Williams和VMRay Sr.Research analysis Tamas Boczan简要介绍了恶意软件作者为什么使用LOLBins,他们如何成功地逃避检测,并详细说明了二进制文件被滥用的多种方式。LOLBins 101 Jake在网络研讨会开始时简要解释了LOLBins是什么,攻击者为什么使用它们,以及攻击者最常用的是哪种。虽然这些工具已经存在了一段时间,他解释说,它们已经变得特别相关,最近他说,"我们现在看到的是一个大的推动,把棒棒糖纳入恶意软件本身。"通过类比,杰克把洛宾比作伊拉克战争中寻找化学武器的过程,说明可以用来制造合法化学品的技术也可以用来制造武器级材料——本质上,两者都是"两用技术"。以类似的方式,我们用来管理Windows系统的相同工具也可以用于恶意目的。至于为什么越来越多的攻击者使用棒棒糖,杰克指出了他们的主要动机:避免和误导检测工具。由于Endpoint Detection&Response和Endpoint Protection平台会根据定义的任意数量的参数动态修改其启发式阈值,因此使用LOLBins的攻击者将其功能分成多个不同的部分,从而使通过启发式进行检测变得更加困难。杰克说:"这就是为什么恶意软件逆转和恶意软件分析在我们整个防御生态系统中如此重要——它不仅仅是找出恶意软件的作用,还涉及告知我们的防御策略。"。LOLBins的流行可执行目标所有的LOLBins基本上都是以相同的方式运行的:通过定位和操纵基本的管理二进制文件,攻击者可以秘密地修改或禁用服务和设置、建立持久性和更改安全配置。在本节中,Jake概述了四种常见的可执行文件,它们通常由LOLBins来选择。其中包括:注册.EXE:注册表编辑器是Windows的基础组件,因此它一直是恶意软件作者的长期目标,因为它允许他们向注册表添加持久性、禁用或安装新服务以及修改防火墙设置。VSSADMIN.EXE文件:一种默认的Windows二进制文件,用于控制给定PC上文档的卷影副本。这是勒索软件常用的技术VSSADMIN.EXE文件删除用户数据的现有卷影副本。BITSADMIN.EXE文件:一种Microsoft签名的可执行文件,负责管理在后台传输文件的服务,攻击者也可以将其作为下载文件、实现持久性或在文件传输后执行代码的工具。NETSH.EXE文件:NetShell可执行文件是攻击者可用于更改防火墙和网络配置的另一个非常常见的进程。类似VSSADMIN.EXE文件,NetShell是一个进程,通常不经常被合法使用的系统调用。Tamas提供了更多关于这些攻击的隐蔽性的详细信息:"通过编辑注册表,攻击者不仅可以添加持久性,还可以添加对诸如Windows Defender这样的防病毒软件的排除,这可能比完全关闭防病毒软件更有效,因为它允许攻击者以较少的噪音控制机器。"在恶意软件LOLBins中使用LOLBins来猎杀攻击者是一个特别的挑战,因为根据攻击者的本性,很难将单个LOLBin的异常归类为恶意。相反,他建议有必要仔细研究这些文件是如何执行的,这很可能会暴露恶意的LOLBin使用。杰克进一步解释说,"如果注册.EXE是用Explorer的祖先进程调用的,或者如果调用了bitsadmin的执行链,后面跟着一个随机的EXE名称,然后VSSADMIN,听起来像是一个滴管放在一台机器上,然后调用BITSADMIN来下载一个文件……然后我们看到一个随机的可执行文件名,叫做VSSADMIN,那么这个文件听起来像勒索软件。因此,我在这里遵循这些模式,静态能防御cc吗,局域网ddos攻击防御,以便在发生灾难性破坏之前迅速采取应对措施。"杰克最后说,多级ddos防御策略,这是分析恶意软件的另一个原因:"通过分析,我们从这个恶意软件是如何执行的,并推断出恶意软件在未来的表现,这样我们就可以创建更好的EDR和更好的搜索方法。"在网络研讨会的后半部分,VMRay的高级威胁研究员塔马斯博赞(Tamas Boczan)对威胁参与者为什么使用棒棒糖以及他们在野外如何使用棒棒糖进行了更深入的技术研究。为什么恶意软件作者生活在陆地上Tamas总结了恶意软件作者利用LOLBins的三个主要原因:更容易开发:方便的命令行工具既提供了Reg或Netshell等专用工具,也提供了Powershell等通用高级接口,比windowsapi更容易让恶意软件作者使用。绕过应用程序白名单:此安全机制支持为进程创建定义规则。与我们如何定义防火墙规则类似,管理员可以在特定条件下允许或拒绝进程的执行,企业安全防护,例如二进制文件的签名者、其路径或命令行。正确配置应用程序白名单是一项挑战。如果规则过于严格,组织的员工在正常使用过程中会遇到问题。如果配置过于宽松,ddos防御免备案,攻击者可以使用离地生存技术来绕过安全限制。如果启动的应用程序的完整性(甚至是用户权限较低)会绕过Vista的用户权限(即使是中等级别)。应用程序可以向系统发出信号,要求它在更高的完整性级别上运行,此时将弹出"访问控制强制"对话框。为了使警报数量保持在较低水平,自Windows 7以来的默认安全设置在某些情况下会取消此对话框,并自动升级应用程序的权限。这些条件可由某些LOLbins触发,允许攻击者升级权限而不给用户中断执行的机会。塔马斯指出,"与程序员使用它的原因相同,恶意软件开发人员也使用它——主要区别在于程序员必须遵守一些质量标准,但恶意软件当然没有质量保证部门,因此他们可以而且会偷工减料。"其他误用的二进制文件Tamas接着研究了各种二进制类型,并详细说明了它们是如何被LOLBins滥用的。除了前面讨论的Reg、VssAdmin、NetSh和Bitsadmin之外,被恶意软件误用最多的两用二进制文件还包括:CertUtil公司CMSTP公司施塔克斯安装工具WMIC公司PowershellCscript命令Microsoft Office二进制文件其中每一个都有一个合法的目的,同样,有可能被恶意软件滥用。Tamas介绍了预期的用例以及如何滥用它。例如,CertUtil二进制文件是一个用于管理系统上证书的程序。公司的一个典型用例是在安装期间导入公司的签名证书,或者用于列出或验证证书。CertUtil可能会被误用,因为它还可以验证联机的证书并下载证书。"当然,在下载之前,工具无法知道远程系统上的文件可能不是合法的证书,但它必须下载这个远程文件才能使用它PowerShell和其他脚本解释器Tamas查看的最后一组二进制文件是脚本解释器,例如:执行批处理文件的命令执行Powershell脚本的PowershellCscript可以执行VBScript和JavaScript如果启用宏,它将成为脚本解释器塔马斯指出,"这些都是功能强大的自动化工具,被广泛使用,因此可能有必要将其列入白名单。在恶意软件中,它们通常被用作下载者或下载者。尽管它们非常强大,但恶意软件领域的攻击者通常更喜欢用C或.NET或其他编程语言实现代码,而不是脚本语言。该脚本被用作执行该代码的一个步骤。恶意软件作者喜欢使用它的另一个原因除了它是内置的和易于使用的,是这些脚本非常容易混淆,而不需要编译任何东西。因此,静态检测这些脚本中的恶意软件非常困难。"要想了解更多关于棒棒糖的信息,请观看完整的网络直播:披着羊皮的狼:从陆地上解剖生活二进制文件。关于Dave GretenDave Greten是VMRay的产品营销经理。作为雅虎的早期员工,Dave拥有20年的技术营销经验,包括在第一次创业时与Y Combinator的Paul Graham合作,并在全球网络安全公司卡巴斯基实验室(Kaspersky Lab)担任高级网络制作人。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos1/61150.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8152573访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X