【安恒EDR功能预告第三期】攻防对抗之远控持久化
前情提要
前面两期,分别跟大家聊到攻防对抗中的单机扩展和隧道搭建两大模块,很多小伙伴对安恒EDR的高级威胁功能很是期待,甚至还想赶紧测试一下?别着急,功能预告完结之时,即是安恒EDR新版本发布之日。
攻击方通过对准备阶段、入侵阶段的摸索和探究,包括目标定位、信息收集、搭建隧道、漏洞攻击等方式,已经具备进行下一步攻击的条件,所以只要攻击方在前面两个阶段的渗透攻击没有防护住,那么下一步的控制阶段就会变得非常简单。
本期主题,将重点谈一谈:远控持久化
远控持久化
说到远控,不知道大家的第一反应是什么?
运维人员说:“远控就是远程控制,是我们管理桌面系统的一大利器”;
公司员工说:“不经过员工同意的远控是侵犯隐私和员工合法权益的行为”;
攻击方说:“维持系统操作权限的持久化,来实现长期隐蔽控制目标的目的”。
简单来说,远控就是这台机器在这一刻的使用权属于攻击方,持久化也就意味着这台机器的长期使用权属于攻击方。
01
远控持久化步骤
那么,一般攻击方会如何进行远控持久化呢?
第一步,肯定就是植入远程控制类软件,该软件通常是一个可执行程序,或与普通文件捆绑的伪装文件,具备很强的隐蔽性和威胁性。攻击者将伪装后的远控客户端恶意程序发送给用户,一旦用户执行客户端程序或打开捆绑恶意文件,这台主机便会被攻击者操控。攻击者可以执行恶意操作,如:远程控制执行任意脚本、屏幕监控、键盘监控、任意文件读取、任意文件上传、任意文件下载、数据库操作。
第二步,就是植入其他后门类木马,以期获取到攻击系统的持久化控制。由于第一步已经可以对系统进行远程控制了,所以第二步再次植入木马也就变得异常简单。
02
远控种类
远程控制类软件有哪些呢?
远程控制类软件非常多,比如Metasploit、Cobaltstrike、Pupy等。大家可能会疑惑,经常使用的比如向日葵、TeamViewer等软件为什么没有上榜?
其实这个问题也比较简单,一般的攻击方的远控都是一些“不正经”的软件和工具,进行远程控制的时候不会提示用户,隐蔽性比较高,而向日葵、TeamViewer类软件都是一些正规的软件,不会进行类似的操作。
常见处置方式
对于一般的机器遇到远控持久化等渗透攻击该如何处理,安恒EDR相关专家建议:
首先需确认攻击源和目标主机所处网络位置:
对于內网向外发起的攻击行为,建议通过对源主机进行访问限制阻止攻击行为。
对于来自外部的攻击行为,务必要注意养成良好的用网习惯,不要随意访问邮件、网站或聊天软件中的链接,不要随意打开这些途径中的文件,遇到异常情况及时汇报。
对于企业内部同事发来的不明文件也应注意,防止攻击行为扩散使影响扩大。
处置步骤:
1、首先在允许的情况下应尽可能立刻将受攻击的主机隔离。
2、查看下服务器是否有未被授权的端口被监听,是否有可疑的进程正在运行,根据进程号找到进程文件位置。
3、检查系统启动项是否有可疑的配置项。
4、通过日志分析和流量分析设备追溯攻击来源。
5、在恶意程序排查完毕后,对该主机上部署的其他服务也要进行威胁排查,检查文件是否被修改,同时修改所有的账户口令。
6、安装防远控持久化的安全防护软件,确保正常运行。
安恒EDR解决方案
对于远控持久化黑客渗透工具,安恒EDR相关专家根据上百种ATT&CK攻击检测模型,研发高级威胁模块中的远控持久化功能,全面提高威胁检测能力,对远控持久化的恶意行为进行实时监控使得EDR不仅能够防止黑客渗透工具的产生,而且还能做到黑客渗透工具的防启动和防远控持久化。
防生成:开启病毒防护功能中的文件产生时、存储介质连接时扫描,可在恶意渗透工具落地实时发现阻断并告警。详细记录生成的包括文件路径、工具名称、MD5等相关信息,用于排查和告警。
防启动:开启病毒防护功能中文件执行时扫描,可在恶意渗透工具启动时实时发现阻断并告警。详细记录生成的包括进程、进程命令行、父进程、父进程命令行等相关信息,用于清理处置。
防远控持久化:开启高级威胁中的远控持久化功能模块,可在渗透工具进行远控持久化时实时阻断并告警。详细记录生成的包括来源IP、进程树、风险评级等相关信息,用于追踪溯源。
安恒EDR是一款集成了丰富的系统防护与加固、网络防护与加固等功能的主机安全产品。业界独有的高级威胁模块,专门应对攻防对抗场景;自主研发的免疫引擎与专利级文件诱饵引擎,有着业界领先的勒索专防专杀能力;通过内核级东西向流量隔离技术,实现网络隔离与防护、流量画像;拥有补丁修复、外设管控、文件审计、违规外联检测与阻断等主机安全能力。目前产品广泛应用在服务器、桌面PC、虚拟机、工控系统、国产操作系统、容器安全等各个场景。
下期预告
攻防对抗之内网探测
往期精选
围观
热文
热文