长期以来,网络犯罪分子一直使用合法的程序和操作系统组件来攻击微软 Windows用户,这种策略被称为“离地攻击”(Living off the Land, 简称 LOtL)。在实际操作过程中,网络犯罪分子试图一“石”数鸟,减少开发恶意软件工具包的成本,最大程度减少他们的操作系统足迹,并将他们的活动伪装成合法的 IT活动。
换句话说,网络犯罪分子的主要目的是使增加恶意活动检测困难。出于这个原因,安全专家长期以来一直监测潜在的不安全可执行文件、脚本和库的活动,甚至包括维护GitHub的 LOLBAS项目中的某种注册表。
卡巴斯基管理检测和响应(Managed Detection and Response ,简称 MDR)的同事,为众多业务领域的公司保驾护航,该方法在实际的攻击中常有应用。在《管理检测和响应分析师报告》中,相关同事研究了最通常用于攻击现代企业的系统组件。以下是研究结果:
第一名是 Powershell
PowerShell是具有命令行界面的软件引擎和脚本语言,虽然微软努力使这个工具更加安全可控,但它仍然是迄今为止网络犯罪分子群体中最为常见的合法工具。在我们的管理检测和响应服务识别的事件中,有 3.3%涉及试图利用PowerShell。此外,如果将调查范围限制在关键事件上,我们发现 PowerShell参与了五分之一的事件(准确说,是 20.3%)。
第二名是 rundll32.exe
排在第二位的是 rundll32主机进程,它是用于运行动态链接库(dynamic-link libraries,简称 DLLs)的代码。rundll32参与了 2%全部事件,以及 5.1%的关键事件。
第三名是几种实用程序
我们发现有五种程序工具在所有安全事件中占 1.9%。
- te.exe:测试编写和执行框架的一部分内容。
- PsExec.exe:用于在远程系统上运行进程的工具。
- CertUtil.exe:处理来自认证机构信息的工具。
- Reg.exe:微软注册表控制台工具,用于从命令行改变和添加系统注册表中的项。
- Reg.exe:微软注册表控制台工具,用于从命令行改变和添加系统注册表中的项。
这五个可执行文件在 7.2%的关键事件中使用。
卡巴斯基管理检测和响应服务专家还观察到 msiexec.exe、remote.exe、atbrocker.exe、cscript.exe、netsh.exe、schtasks.exe、excel.exe、print.exe、mshta.exe、msbuild.exe、powerpnt.exe、dllhost.exe、regsvr32.exe、winword.exe和 shell32.exe等均有应用。
《管理检测和响应分析师报告》的更多结果,详见此处。???https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2021/07/20155845/MDR_Analyst_Report_Q4-2020.pdf
本文暂时没有评论,来添加一个吧(●'◡'●)