看“Falcon”如何阻止脚本及无文件攻击

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 本文讲的是看“Falcon”如何阻止脚本及无文件攻击,基于文件和脚本的攻击正在增加,这种攻击增长归功于其躲避能力。在由pentestlab.blog撰写的文章中,作者说明了一个广泛使用的工具中的简单脚本可以绕过安全措施。在本文中,我们将使用多种检测功能来说明Falcon,以防止基于脚本的攻击。
本文讲的是 看“Falcon”如何阻止脚本及无文件攻击

介绍

基于文件和脚本的攻击正在增加,这种攻击增长归功于其躲避能力。在由pentestlab.blog撰写的文章中,作者说明了一个广泛使用的工具中的简单脚本可以绕过安全措施。在本文中,我们将使用多种检测功能来说明Falcon,以防止基于脚本的攻击。

视频

条件

对于本文,我们已经复制了博客中使用的脚本。然后我们将尝试在受Falcon保护的主机上运行该脚本。为此,我使用了更新版本的Kali linux和运行Windows 7的主机。

步骤1:生成证书

生成的脚本是一个编码的powershell命令,用于建立从目标返回到攻击者的加密连接。此加密防止HIPS系统检查数据包。

以下步骤直接来自pentestlab.blog发布的博客

要生成加密通道的证书,我使用了Metasploit模块,impersonate_ssl并选择一个常见的域来模拟。一旦完成,验证生成的文件是否在桌面上。

看“Falcon”如何阻止脚本及无文件攻击

步骤2:配置监听器

这个步骤与原始文章的顺序不一样,但是也完成了目标。一旦执行了Payload(我将在下一步创建有效载荷),将创建受害者和攻击者之间的加密会话。如此一来,便可以防止HIPS检查,以及它可能提供的任何保护。

看“Falcon”如何阻止脚本及无文件攻击

步骤3:生成Pload

Metasploit MsfVenom用于生成Payload。在这种情况下,Payload是加密的PowerShell脚本。该Payload利用在步骤1中生成的证书。

看“Falcon”如何阻止脚本及无文件攻击

How Falcon如何保护脚本攻击?

How Falcon平台是具有多种功能的单一代理。在这种情况下,我将使用Falcon Prevent功能来识别这个威胁正在实现什么。

在下面的警报中,我们看到一个流程树,以清楚地了解这个攻击的工作原理以及它正在尝试的内容。我们可以看到explorer.exe启动命令提示符,在该命令提示符下,我们看到命令行打开在Metasploit中创建的批处理脚本。

看“Falcon”如何阻止脚本及无文件攻击

看看接下来的两个步骤,我们看到新的命令提示符调用PowerShell,然后运行编码命令。随后的PowerShell进程是相同的编码进程运行。

看“Falcon”如何阻止脚本及无文件攻击

最后一个过程是尝试执行编码脚本。在这种情况下,有3种单独的行为是可疑的,虽然Falcon只需要一个可以防止的行为。绿色文本表示可疑过程已被识别并被阻止。下一步Falcon认识到在PowerShell中有一个编码命令,这是可疑的。最后,Metasploit的计量器的存在被识别并被加载到一个过程中。

在右侧,在详细信息窗格中,我们将获得有关脚本尝试完成的更多信息。网络操作部分标识攻击者服务器,并且该通信已通过端口443.在“磁盘操作”中,读取并写入磁盘的所有DLL和文件的列表可供进一步调查。

看“Falcon”如何阻止脚本及无文件攻击

结论

基于脚本和其他无文件攻击正在上升,因为它们可以避免新旧检测功能的检测。CrowdStrike利用许多类型的检测方法来识别和阻止当今使用的各种攻击向量。




原文发布时间为:2017年8月15日
本文作者:愣娃
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。

目录
相关文章
|
监控 数据库
open-falcon 安装以及配置
环境准备 请参考环境准备 同时,请再次检查当前的工作目录设置: export HOME=/home/work export WORKSPACE=$HOME/open-falcon mkdir -p $WORKSPACE 安装Transfer transfer默认监听在:8433端口上,agent会通过jsonrpc的方式来push数据上来。
2330 0
|
存储 监控 关系型数据库
|
安全 NoSQL API
【漏洞复现】YApi NoSQL注入导致远程命令执行漏洞
YApi是一个API管理工具。在其1.12.0版本之前,存在一处NoSQL注入漏洞,通过该漏洞攻击者可以窃取项目Token,并利用这个Token执行任意Mock脚本,获取服务器权限。
1570 1
|
6月前
|
供应链 JavaScript Shell
供应链投毒预警 | 恶意NPM包利用Windows反向shell后门攻击开发者
本周(2024年02月19号),悬镜供应链安全情报中心在NPM官方仓库(https://npmjs.com)中发现多起NPM组件包投毒事件。攻击者利用包名错误拼写方式 (typo-squatting)在NPM仓库中连续发布9个不同版本的恶意包,试图通过仿冒合法组件(ts-patch-mongoose)来攻击潜在的NodeJS开发者。
125 2
|
存储 Web App开发 JavaScript
【BP靶场portswigger-客户端11】跨站点脚本XSS-20个实验(上)
【BP靶场portswigger-客户端11】跨站点脚本XSS-20个实验(上)
1179 0
【BP靶场portswigger-客户端11】跨站点脚本XSS-20个实验(上)
|
安全 Linux Windows
WEB漏洞-RCE代码及命令执行漏洞
WEB漏洞-RCE代码及命令执行漏洞
|
存储 Web App开发 JSON
【BP靶场portswigger-客户端11】跨站点脚本XSS-10个实验(下)
【BP靶场portswigger-客户端11】跨站点脚本XSS-10个实验(下)
611 0
【BP靶场portswigger-客户端11】跨站点脚本XSS-10个实验(下)
|
XML 安全 Java
网站apache环境S2-057漏洞 利用POC 远程执行命令漏洞复现
S2-057漏洞,于2018年8月22日被曝出,该Struts2 057漏洞存在远程执行系统的命令,尤其使用linux系统,apache环境,影响范围较大,危害性较高,如果被攻击者利用直接提权到服务器管理员权限,网站数据被篡改,数据库被盗取都会发生。
156 0
网站apache环境S2-057漏洞 利用POC 远程执行命令漏洞复现