关于我们

质量为本、客户为根、勇于拼搏、务实创新

< 返回新闻公共列表

Windows漏洞黑客最喜欢哪些?

发布时间:2021-05-11 17:32:10

  1,命令行解释程序PowerShell

  利用PowerShell和Windows  Command  Shell的攻击对受害者的影响最大。这些工具是Windows固有的,因此也称为异地攻击。也就是说,攻击者不需要下载专用工具。您可以使用已安装的现有PowerShell将恶意活动隐藏在合法流程中。

  企业应该使用能够捕获日志记录的工具来监视这些攻击活动。此外,由于分析正常的PowerShell和恶意PowerShell需要时间,因此最好为常用脚本和PowerShell进程创建基准,以发现可疑的cmd.exe和混淆命令。

  2,19%:运行签名的二进制进程

  第二名攻击使用两种技术:Rundll32和Mshta。两者都允许攻击者通过可信的签名二进制文件创建恶意代码。同样,攻击者使用场外攻击。

  在这方面,建议企业对恶意使用的Rundll32设置警告,并设置基线。

  3,16%:创建和修改系统进程

  Blue  Mockingbird是利用Windows服务的单一威胁。主要部署加密货币挖掘有效负载。尝试创建新服务和新流程时,建议查看日志中的事件4697、7045和4688。

  4,16%:工作计划

  报告显示,攻击者使用计划任务设置持久性。企业应确保计划工作设置为系统运行,因为这是最常见的攻击配置。此外,审计事件ID  106和140记录创建或更新作业的时间。

  5,7%:转储证书

  在ProcDump和Mimikatz等工具的帮助下,本地安全授权子系统服务(LSASS)经常用于转储密码。因此,企业建议在设置了查找异常攻击的标准后,使用windows  10 Attack  Surface  Reduction设置来查找LSASS可疑访问。6,7%:注入过程

  攻击者经常使用多种注入方法获得对系统的更多访问权限。目前,流程注入的方式有很大的不同。

  7,6%:文件或信息混乱

  攻击者试图隐藏行为时,使用Base64编码等工具隐藏攻击过程。企业需要监控PowerShell.exe或Cmd.exe是否以“异常”方式使用,但恶意活动看起来与一般管理任务非常相似,因此可能很难审查这些攻击。建议您设置PowerShell使用策略,并仅使用签名的脚本运行。

  8,5%:工具转移

  大部分攻击都是场外攻击,但也有攻击者将工具转移到平台上的情况。使用bitsadmin.exe发送攻击工具,在PowerShell命令行中查看关键字和模式是查找攻击序列的核心方法。

  9、4%:系统服务

  攻击者使用Windows  Service  Manager执行命令或安装服务。

  10,4%:重命名伪装

  攻击者更改系统工具程序的名称,绕过控制和检测。为此,最好通过查找过程确认攻击者是否在使用此技术尝试攻击,而不是直接查找文件名。如果可能,请使用能够比较文件哈希值的系统,即使文件名发生更改,也不要偏离哈希值。



/template/Home/Qiggg/PC/Static