看“Falcon”如何阻止脚本及无文件攻击

基于文件和脚本的攻击正在增加，这种攻击增长归功于其躲避能力。在由pentestlab.blog撰写的文章中，作者说明了一个广泛使用的工具中的简单脚本可以绕过安全措施。在本文中，我们将使用多种检测功能来说明Falcon，以防止基于脚本的攻击。

视频

条件

对于本文，我们已经复制了博客中使用的脚本。然后我们将尝试在受Falcon保护的主机上运行该脚本。为此，我使用了更新版本的Kali linux和运行Windows 7的主机。

步骤1：生成证书

生成的脚本是一个编码的powershell命令，用于建立从目标返回到攻击者的加密连接。此加密防止HIPS系统检查数据包。

以下步骤直接来自pentestlab.blog发布的博客

要生成加密通道的证书，我使用了Metasploit模块，impersonate_ssl并选择一个常见的域来模拟。一旦完成，验证生成的文件是否在桌面上。

步骤2：配置监听器

这个步骤与原始文章的顺序不一样，但是也完成了目标。一旦执行了Payload（我将在下一步创建有效载荷），将创建受害者和攻击者之间的加密会话。如此一来，便可以防止HIPS检查，以及它可能提供的任何保护。

Metasploit MsfVenom用于生成Payload。在这种情况下，Payload是加密的PowerShell脚本。该Payload利用在步骤1中生成的证书。

How Falcon如何保护脚本攻击？

How Falcon平台是具有多种功能的单一代理。在这种情况下，我将使用Falcon Prevent功能来识别这个威胁正在实现什么。

在下面的警报中，我们看到一个流程树，以清楚地了解这个攻击的工作原理以及它正在尝试的内容。我们可以看到explorer.exe启动命令提示符，在该命令提示符下，我们看到命令行打开在Metasploit中创建的批处理脚本。

看看接下来的两个步骤，我们看到新的命令提示符调用PowerShell，然后运行编码命令。随后的PowerShell进程是相同的编码进程运行。

最后一个过程是尝试执行编码脚本。在这种情况下，有3种单独的行为是可疑的，虽然Falcon只需要一个可以防止的行为。绿色文本表示可疑过程已被识别并被阻止。下一步Falcon认识到在PowerShell中有一个编码命令，这是可疑的。最后，Metasploit的计量器的存在被识别并被加载到一个过程中。

在右侧，在详细信息窗格中，我们将获得有关脚本尝试完成的更多信息。网络操作部分标识攻击者服务器，并且该通信已通过端口443.在“磁盘操作”中，读取并写入磁盘的所有DLL和文件的列表可供进一步调查。

结论

基于脚本和其他无文件攻击正在上升，因为它们可以避免新旧检测功能的检测。CrowdStrike利用许多类型的检测方法来识别和阻止当今使用的各种攻击向量。