防止攻击者对您使用合法工具

news2024/12/28 19:14:37

恶意行为者越来越多地利用合法工具来实现其目标,其中包括禁用安全措施、横向移动和传输文件。使用常用工具可以让攻击者逃避检测。

虽然端点产品可以将定制工具或恶意软件标记为恶意软件,但商业上可用的工具通常被组织标记为干净或列入允许列表。

这让攻击者可以全权执行他们的活动而不被注意,因为他们的攻击可能被误认为是任何日常操作的一部分,比如 IT 管理员工作。

攻击者可以相对轻松地将组织自己的软件武器化的原因在于 IT 和安全人员通常在标准环境中授权这些工具。

第三方工具、它们的组件和内置的 Windows 工具是公平的游戏

GMER、PC Hunter、ProcessHacker 和Defender Control 等本质上并非恶意的工具已被用于多次攻击以禁用或卸载安全产品。

此外,我们已经在实际攻击中看到了这些工具,尤其是那些导致勒索软件部署的工具。

团队分析了最近的一个案例,当时攻击者使用 GMER 和 PC Hunter 进行防御规避,在组织的系统中部署 Play 勒索软件。

最近还报告了多个案例,其中攻击者仅使用这些工具的一个组件,例如 Process Explorer 的可滥用驱动程序文件来禁用 EDR 代理。

还有用于审计、AD 枚举和密码恢复的合法工具,攻击者可以方便地使用这些工具来执行侦察或凭证转储。

网络扫描的实践对于维护网络安全至关重要。它涉及识别和发现网络中的潜在弱点和安全漏洞,以防止未经授权的访问或监视。

虽然Angry IP Scanner、Advanced Port Scanner和Nmap 等工具使组织能够检测和解决这些漏洞,但攻击者也利用它们来寻找和利用弱点。

最近,参与者一直在使用远程监控和管理 (RMM) 软件来访问系统或在系统中保持持久性。根据团队的遥测,这包括常用的 RMM 软件,例如 ConnectWise Control(以前称为 ScreenConnect)、AnyDesk、Atera 和 Syncro。

攻击者充分意识到防御者会监控这些已知的 RMM,并不断寻找替代方案。

最近发生了一起利用 Action1 和 SimpleHelp RMM 部署勒索软件的案例。

被滥用的不仅仅是第三方工具。攻击者还尝试使用内置 Windows 进程(例如taskkill或 net stop 命令)来终止或停止进程,以停止与备份相关的进程,这可能会潜在地阻止勒索软件操作。

攻击者可以使用作为操作系统一部分的合法二进制文件或工具来执行恶意活动。

这些二进制文件通常被称为 LOLBins(“Living off the Land Binaries”)。

一些常用的 LOLBins 是WMIC、PowerShell、Microsoft HTA 引擎(mshta.exe) 和certutil。

LOLBins可用于执行多种操作,例如运行恶意代码、执行下载、上传和复制文件等文件操作以及窃取密码。

保持警惕并充分了解自己拥有的东西

随着时间的推移,我们无疑会看到攻击者在滥用合法工具方面变得越来越有创意,人工智能无疑将在帮助防御者检测和遏制这些攻击方面发挥巨大作用。

但是您和您的组织现在可以采取哪些补救措施?

  • 根据业务和运营要求创建并保持最新的组织软件清单列表,并确保它们受到持续监控。应对任何认为不必要的现有工具进行评估,以将其移除。

  • 限制可以帮助攻击者利用系统的工具的使用。如果员工想要使用这些工具,则应在有限的时间内批准他们的使用(通过应用程序控制策略)

  • 发现并记录工作站上的基线(通常)活动;应标记此类工具的异常使用。例如,多个管理工具的突然出现和使用应该引起怀疑。

  • 使用定期修补和更新的工具来防止这些软件应用程序中的潜在漏洞被恶意利用。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/526561.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

MacBook Pro合上盖子不休眠的问题简单分析

15年款的MacBook Pro每次不用的时候都是直接合上盖子(开着一堆程序)系统会自动休眠,但是升级了新系统Sierra之后就发现合上盖子竟然没有休眠(第二次打开盖子后发现掉了50%多的电,而且温度比较高)&#xff0…

软考A计划-真题-分类精讲汇总-第十一章(多媒体基础)

点击跳转专栏>Unity3D特效百例点击跳转专栏>案例项目实战源码点击跳转专栏>游戏脚本-辅助自动化点击跳转专栏>Android控件全解手册点击跳转专栏>Scratch编程案例 👉关于作者 专注于Android/Unity和各种游戏开发技巧,以及各种资源分享&am…

MySQL只有information_schema一个数据库

背景:centos新安装的mysql数据库。使用DbEaver连接mysql库时,发现左边不显示表。使用命令框mysql -uroot回车登录时,发现只能看到information_schema一个数据库了。 原因:   因为mysql数据库的user表里,存在用户名为…

Julia入门-1、使用C++调用Julia脚本语言

文章目录 0、开发环境1、测试Julia环境2、调用Julia脚本语言准备3、使用C++调用Julia脚本语言(1)使用C++调用简单的Julia脚本语言(2)使用C++调用复杂的Julia脚本语言0、开发环境 操作系统: ①Windows 10 开发编译器: ①VS 2015 Professional ②VS Code + julia-vscode插件(…

《计算机网络—自顶向下方法》 第六章Wireshark实验:IP 协议分析

IP 协议(Internet Protocol),又译为网际协议或互联网协议,是用在 TCP/IP 协议簇中的网络层协议。主要功能是无连接数据报传送、数据报路由选择和差错控制。IP 协议是 TCP/IP 协议族的核心协议,其主要包含两个方面&…

Spring Boot 配置文件总结

前言 Spring Boot 中提供一个全局的配置文件:application.properties,这个配置文件的作用就是,允许我们通过这个配置文件去修改 Spring Boot 自动配置的默认值。 Spring Boot 支持两种格式的配置文件:application.properties 和…

C/C++每日一练(20230515) 区间和的个数、BST最近公共祖先、最接近元素

目录 1. 区间和的个数 🌟🌟🌟 2. 二叉搜索树的最近公共祖先 🌟 3. 找最接近元素 🌟🌟 🌟 每日一练刷题专栏 🌟 Golang每日一练 专栏 Python每日一练 专栏 C/C每日一练 专栏…

前端路由、vue-router常见用法、路由重定向、动态路由匹配、声明式导航 编程式导航 、导航守卫

前端路由、vue-router常见用法、路由重定向、动态路由匹配、声明式导航 & 编程式导航 、导航守卫 前端路由的概念与原理前端路由 vue-router 的基本使用vue-router 的常见用法路由重定向动态路由匹配声明式导航 & 编程式导航导航守卫 后台管理案例 前端路由的概念与原理…

mysqld之mha高可用

1.MHA的相关知识 1.1 什么是 MHA MHA(MasterHigh Availability)是一套优秀的MySQL高可用环境下故障切换和主从复制的软件。 MHA 的出现就是解决MySQL 单点故障的问题。 MySQL故障切换过程中,MHA能做到0-30秒内自动完成故障切换操作。 MHA能在…

C语言设计三子棋

引入 谈到三子棋,大家应该都不陌生,学生时代我们大多人都爱拿作文本有事没事就跟同桌下两把,只要任意一方三点连成一线,就可以胜利。今天我作为一个计算机方面的博主,将会用C语言实现这个简单的小游戏(人机…

sort命令 uniq命令 tr命令 cut命令

sort命令 ——以行为单位对文件内容进行排序,也可以根据不同的数据类型来排序 比较原则是从首字符向后,依次按ASCII码值进行比较,最后将他们按升序输出 语法格式: sort [选项] 参数 cat file | sort 选项 -n按照数字进行排序…

MySQL高可用之MHA集群

一、MHA概述 1.1 什么是 MHA MHA(MasterHigh Availability)是一套优秀的MySQL高可用环境下故障切换和主从复制的软件。 MHA 的出现就是解决MySQL 单点故障的问题。 MySQL故障切换过程中,MHA能做到0-30秒内自动完成故障切换操作。 MHA能在…

【模式识别9】python计算目标检测IoU、TP、FP、FN、Precision、Recall指标

python计算目标检测IoU、TP、FP、FN、Precision、Recall指标 1. 基础概念1.1 TP、TN、FP、FN1.2 IoU1.3 Precision(P)、Recall(R)、F1-score 2. python代码3. 总结 代码资源:IoU_P_R.py 1. 基础概念 1.1 TP、TN、FP、…

2023/5/14总结

哈夫曼树 哈夫曼树:给定n个权值作为n个叶子结点,构造一棵二叉树,若该树的带权路径长度(WPL)达到最小,则称该二叉树为哈夫曼树,也被称为最优二叉树。 怎样才能使带权路径长度最短:根据…

CTF-PHP反序列化漏洞5-反序列化字符逃逸

作者:Eason_LYC 悲观者预言失败,十言九中。 乐观者创造奇迹,一次即可。 一个人的价值,在于他所拥有的。可以不学无术,但不能一无所有! 技术领域:WEB安全、网络攻防 关注WEB安全、网络攻防。我的…

简单聊聊微前端

简单聊聊微前端 介绍微前端的优点应用间相互独立,互不依赖可以同时使用不同的技术栈可拓展性高可维护性更强,减少代码量提高开发和部署的效率团队的高度自主权错误隔离 微前端的缺点依赖项冗余CSS样式冲突和重叠性能比较差应用间的通信不够便捷 实现微前…

CSS的基础知识讲解

文章目录 一.什么是CSS二. 选择器2.1 标签选择器2.2 类名选择器2.3 ID选择器2.4 属性选择器2.5 子选择器2.6 后代选择器2.7 伪类选择器 三.盒子模型3.1 什么是盒子模型3.2 盒子的组成部分边框内边距外边距 四.弹性盒子布局4.1 什么是块级元素和行内元素块级元素行内元素行内元素…

◆ 前端工程化 ◆ webpack 的基本使用 ◆ webpack 中的插件 ◆ webpack 中的 loader ◆ 打包发布 ◆ Source Map

◆ 前端工程化 ◆ webpack 的基本使用 ◆ webpack 中的插件 ◆ webpack 中的 loader ◆ 打包发布 ◆ Source Map ◆ 前端工程化◆ webpack 的基本使用◆ webpack 中的插件◆ webpack 中的 loader1. loader 概述打包处理css文件打包处理less文件打包处理样式表中与url路径相关的…

Python——2

一、循环 1.range() 函数 用于生成一个整数序列,返回的是一个迭代对象,可用 in / not in查看。 (1)range(stop) 创建一个 [0,stop) 的整数序列,步长为1。 (2)range(start, stop) 创建一个 [s…

面试谎报了职级,本来是6,谎报成7,已经到HR这一步了,怎么了?

面试时谎报职级,公司能查出来吗? 一位网友说,自己在业务面时谎报了职级,把6报成7,现在已经到hr这一步了,该怎么办?是继续编吗? 有人不明白,为什么要谎报职级?…