恶意行为者越来越多地利用合法工具来实现其目标,其中包括禁用安全措施、横向移动和传输文件。使用常用工具可以让攻击者逃避检测。
虽然端点产品可以将定制工具或恶意软件标记为恶意软件,但商业上可用的工具通常被组织标记为干净或列入允许列表。
这让攻击者可以全权执行他们的活动而不被注意,因为他们的攻击可能被误认为是任何日常操作的一部分,比如 IT 管理员工作。
攻击者可以相对轻松地将组织自己的软件武器化的原因在于 IT 和安全人员通常在标准环境中授权这些工具。
第三方工具、它们的组件和内置的 Windows 工具是公平的游戏
GMER、PC Hunter、ProcessHacker 和Defender Control 等本质上并非恶意的工具已被用于多次攻击以禁用或卸载安全产品。
此外,我们已经在实际攻击中看到了这些工具,尤其是那些导致勒索软件部署的工具。
团队分析了最近的一个案例,当时攻击者使用 GMER 和 PC Hunter 进行防御规避,在组织的系统中部署 Play 勒索软件。
最近还报告了多个案例,其中攻击者仅使用这些工具的一个组件,例如 Process Explorer 的可滥用驱动程序文件来禁用 EDR 代理。
还有用于审计、AD 枚举和密码恢复的合法工具,攻击者可以方便地使用这些工具来执行侦察或凭证转储。
网络扫描的实践对于维护网络安全至关重要。它涉及识别和发现网络中的潜在弱点和安全漏洞,以防止未经授权的访问或监视。
虽然Angry IP Scanner、Advanced Port Scanner和Nmap 等工具使组织能够检测和解决这些漏洞,但攻击者也利用它们来寻找和利用弱点。
最近,参与者一直在使用远程监控和管理 (RMM) 软件来访问系统或在系统中保持持久性。根据团队的遥测,这包括常用的 RMM 软件,例如 ConnectWise Control(以前称为 ScreenConnect)、AnyDesk、Atera 和 Syncro。
攻击者充分意识到防御者会监控这些已知的 RMM,并不断寻找替代方案。
最近发生了一起利用 Action1 和 SimpleHelp RMM 部署勒索软件的案例。
被滥用的不仅仅是第三方工具。攻击者还尝试使用内置 Windows 进程(例如taskkill或 net stop 命令)来终止或停止进程,以停止与备份相关的进程,这可能会潜在地阻止勒索软件操作。
攻击者可以使用作为操作系统一部分的合法二进制文件或工具来执行恶意活动。
这些二进制文件通常被称为 LOLBins(“Living off the Land Binaries”)。
一些常用的 LOLBins 是WMIC、PowerShell、Microsoft HTA 引擎(mshta.exe) 和certutil。
LOLBins可用于执行多种操作,例如运行恶意代码、执行下载、上传和复制文件等文件操作以及窃取密码。
保持警惕并充分了解自己拥有的东西
随着时间的推移,我们无疑会看到攻击者在滥用合法工具方面变得越来越有创意,人工智能无疑将在帮助防御者检测和遏制这些攻击方面发挥巨大作用。
但是您和您的组织现在可以采取哪些补救措施?
-
根据业务和运营要求创建并保持最新的组织软件清单列表,并确保它们受到持续监控。应对任何认为不必要的现有工具进行评估,以将其移除。
-
限制可以帮助攻击者利用系统的工具的使用。如果员工想要使用这些工具,则应在有限的时间内批准他们的使用(通过应用程序控制策略)
-
发现并记录工作站上的基线(通常)活动;应标记此类工具的异常使用。例如,多个管理工具的突然出现和使用应该引起怀疑。
-
使用定期修补和更新的工具来防止这些软件应用程序中的潜在漏洞被恶意利用。
