看“Falcon”如何阻止脚本及无文件攻击

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 本文讲的是看“Falcon”如何阻止脚本及无文件攻击,基于文件和脚本的攻击正在增加,这种攻击增长归功于其躲避能力。在由pentestlab.blog撰写的文章中,作者说明了一个广泛使用的工具中的简单脚本可以绕过安全措施。在本文中,我们将使用多种检测功能来说明Falcon,以防止基于脚本的攻击。
本文讲的是 看“Falcon”如何阻止脚本及无文件攻击

介绍

基于文件和脚本的攻击正在增加,这种攻击增长归功于其躲避能力。在由pentestlab.blog撰写的文章中,作者说明了一个广泛使用的工具中的简单脚本可以绕过安全措施。在本文中,我们将使用多种检测功能来说明Falcon,以防止基于脚本的攻击。

视频

条件

对于本文,我们已经复制了博客中使用的脚本。然后我们将尝试在受Falcon保护的主机上运行该脚本。为此,我使用了更新版本的Kali linux和运行Windows 7的主机。

步骤1:生成证书

生成的脚本是一个编码的powershell命令,用于建立从目标返回到攻击者的加密连接。此加密防止HIPS系统检查数据包。

以下步骤直接来自pentestlab.blog发布的博客

要生成加密通道的证书,我使用了Metasploit模块,impersonate_ssl并选择一个常见的域来模拟。一旦完成,验证生成的文件是否在桌面上。

看“Falcon”如何阻止脚本及无文件攻击

步骤2:配置监听器

这个步骤与原始文章的顺序不一样,但是也完成了目标。一旦执行了Payload(我将在下一步创建有效载荷),将创建受害者和攻击者之间的加密会话。如此一来,便可以防止HIPS检查,以及它可能提供的任何保护。

看“Falcon”如何阻止脚本及无文件攻击

步骤3:生成Pload

Metasploit MsfVenom用于生成Payload。在这种情况下,Payload是加密的PowerShell脚本。该Payload利用在步骤1中生成的证书。

看“Falcon”如何阻止脚本及无文件攻击

How Falcon如何保护脚本攻击?

How Falcon平台是具有多种功能的单一代理。在这种情况下,我将使用Falcon Prevent功能来识别这个威胁正在实现什么。

在下面的警报中,我们看到一个流程树,以清楚地了解这个攻击的工作原理以及它正在尝试的内容。我们可以看到explorer.exe启动命令提示符,在该命令提示符下,我们看到命令行打开在Metasploit中创建的批处理脚本。

看“Falcon”如何阻止脚本及无文件攻击

看看接下来的两个步骤,我们看到新的命令提示符调用PowerShell,然后运行编码命令。随后的PowerShell进程是相同的编码进程运行。

看“Falcon”如何阻止脚本及无文件攻击

最后一个过程是尝试执行编码脚本。在这种情况下,有3种单独的行为是可疑的,虽然Falcon只需要一个可以防止的行为。绿色文本表示可疑过程已被识别并被阻止。下一步Falcon认识到在PowerShell中有一个编码命令,这是可疑的。最后,Metasploit的计量器的存在被识别并被加载到一个过程中。

在右侧,在详细信息窗格中,我们将获得有关脚本尝试完成的更多信息。网络操作部分标识攻击者服务器,并且该通信已通过端口443.在“磁盘操作”中,读取并写入磁盘的所有DLL和文件的列表可供进一步调查。

看“Falcon”如何阻止脚本及无文件攻击

结论

基于脚本和其他无文件攻击正在上升,因为它们可以避免新旧检测功能的检测。CrowdStrike利用许多类型的检测方法来识别和阻止当今使用的各种攻击向量。




原文发布时间为:2017年8月15日
本文作者:愣娃
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。

目录
相关文章
|
监控 数据库
open-falcon 安装以及配置
环境准备 请参考环境准备 同时,请再次检查当前的工作目录设置: export HOME=/home/work export WORKSPACE=$HOME/open-falcon mkdir -p $WORKSPACE 安装Transfer transfer默认监听在:8433端口上,agent会通过jsonrpc的方式来push数据上来。
2334 0
|
存储 监控 关系型数据库
|
2月前
|
安全
DVWA环境【文件上传漏洞】安全low级别存在bug?
DVWA环境【文件上传漏洞】安全low级别存在bug?
43 2
|
8天前
|
监控 网络协议 网络安全
恶意代码分析入门--开始动态地分析恶意程序(chapter3L_Lab03-01)
实验3-1:通过动态分析技术分析Lab03-01.exe中的恶意代码,探究其导入函数、字符串列表、感染特征及网络特征。实验环境为Windows XP SP3,使用Process Explorer、Strings、Process Monitor、PEiD、Wireshark等工具。分析过程中发现恶意代码创建了互斥体、修改了注册表以实现自启动,并尝试访问外部恶意链接。
45 3
恶意代码分析入门--开始动态地分析恶意程序(chapter3L_Lab03-01)
|
7月前
|
供应链 JavaScript Shell
供应链投毒预警 | 恶意NPM包利用Windows反向shell后门攻击开发者
本周(2024年02月19号),悬镜供应链安全情报中心在NPM官方仓库(https://npmjs.com)中发现多起NPM组件包投毒事件。攻击者利用包名错误拼写方式 (typo-squatting)在NPM仓库中连续发布9个不同版本的恶意包,试图通过仿冒合法组件(ts-patch-mongoose)来攻击潜在的NodeJS开发者。
139 2
|
关系型数据库 MySQL 数据库
Sqlmap学习 -- Tapmer绕过脚本(三)
Sqlmap学习 -- Tapmer绕过脚本(三)
195 0
|
SQL 安全 网络安全
Sqlmap学习 -- Tamper绕过脚本
Sqlmap学习 -- Tamper绕过脚本
1047 0
|
安全 Python
python——脚本实现检测目标ip是否存在文件包含漏洞
python——脚本实现检测目标ip是否存在文件包含漏洞
202 0
python——脚本实现检测目标ip是否存在文件包含漏洞