在目前的高级威胁中,攻击者常常使用合法的管理工具来建立入侵系统的通道,并利用内存映射和缓存来绕过常见的安全检测工具。这些逃避技术正在迅速变化,攻击者会精心选择更有价值的企业系统并窃取最敏感的数据。
许多的APT攻击会选择在系统中潜伏,以探测整个系统,摸清窃取信息的捷径,获得核心数据的存储地点。传统的安全解决方案难以在第一时间发现并阻断这些威胁,而企业的安全管理者却可以从一些细节的观察上发现攻击者入侵系统的真相。
攻击者的入侵过程
攻击者想要入侵企业网络一般要分为以下几个过程:
- 利用远程访问设备或诸如Emotet、Tritbot这类僵尸网络入侵到某台主机中。
- 将自己的访问权限提升到管理员级别。
- 使用特定的工具尝试绕过或禁用系统中的安全检测工具。
- 在企业网络中横向传播恶意代码或加密受害者的重要文件。
发现攻击者入侵的细节
企业可以通过对攻击者入侵过程的观察来发现攻击者入侵企业网络的蛛丝马迹。
1、 网络扫描仪
攻击者需要获得计算机的访问权,就需要查清企业计算机的系统类型、域名,计算机具有什么样的管理员权限等,著名的Netwalker勒索软件就会利用到网络扫描仪。如果检测到系统中存在网络扫描仪,例如AngryIP或Advanced Port Scanner等,请询问管理员是否存在企业内部人员正在利用这些工具进行合规操作,否则很有可能已经遭遇了攻击者的入侵。
2、 禁用安全软件的工具。
攻击者拥有管理员权限后,通常会尝试使用强制删除软件的应用程序(例如Process Hacker,IOBit Uninstaller,GMER等)来禁用安全软件。这些类型的商业工具是合法的,但是与网络扫描仪一样,不能排除它们被攻击者利用的可能。
3、用于提升权限的工具
如果管理团队中没有人使用提升权限的工具,那么这类工具的出现就是一个强有力的危险信号,因为这是黑客最常用的凭据盗窃工具之一。比如Netimker勒索软件就会使用Mimikatz和用于启动它的相关PowerShell脚本。另外,有些攻击者还会使用Windows Sysinternals中包含的Microsoft Process Explorer,可以从内存中转储lsass.exe,lsass.exe是Windows系统中安全机制相关的进程,主要用于本地安全和登陆策略。但是攻击者通过lsass.exe进程的内存直接获取明文密码或者通过dump将lsass.exe转储成lsass.dmp文件,再配合其它工具就可以获得Windows明文密码。然后,他们可以将其带到自己的环境中,并使用MimiKatz在自己的测试机上安全地提取用户名和密码。
