首页
社区
课程
招聘
[分享]【HVV】还是熟悉的木马,但主角是域前置
发表于: 2024-8-6 14:54 2328

[分享]【HVV】还是熟悉的木马,但主角是域前置

2024-8-6 14:54
2328

域前置之祸:能封禁的域名、IP越来越少了,可钓鱼却一个都不少,到底怎么破?

攻防演练进入到第二周,微步终端安全管理平台OneSEC、微步云沙箱S等各类检测产品,均已捕获到了大量钓鱼木马样本,例如:建议虚拟机中运行本程序.exe、西安****有限公司资料信息.zip、****研究所应聘登记表 - 副本.exe、关于开展整治形式主义为基层减负有关工作情况摸底反馈函-个人(1).rar、**金融(渠道经理).zip……


从钓鱼主题来看,招聘、日常工作相关类样本仍然占据主流,和往年并没有太多不同;但在针对攻防演练样本进行深入分析时,微步发现了一个有意思的现象:相比去年,域前置攻击手法有大幅增加,几乎成为了一门“显学”。

图片

微步判断,随着红队对于域前置攻击的日渐熟练,域前置木马可能会越来越多。


尽管域前置依赖CDN合法域名和流量加密技术,导致流量侧不易检出,不过不用担心,但终端侧还有高手!


别误会,这里说的不是杀毒。红队的免杀,免的就是杀毒软件,EDR才是那个真正的高手。


由于EDR主要检测终端恶意行为,包括文件启动、进程注入、注册表修改、内存访问、内存反射加载等,因此不受域前置等网络行为的影响。而且,木马上线之后的各类操作,截屏、窃账号密码、横移、持久化等, 都在EDR行为检测的视线范围内。


来看看OneSEC的EDR是怎么解这个问题的,以某域前置木马样本为例。


攻击者以大厂招聘信息和福利待遇为主题,诱使目标用户中招。不过从网络行为来看,该木马显得“非常乖”,反连域名均为合法域名,因此这会儿EDR也无法识别,但是这并不影响EDR的检测。

图片

接下来我们从EDR的行为中看到了多个告警,以下是一个在内存中执行动态代码的告警,是一个典型的无文件马的行为。

图片

此外,OneSEC采集到了进程创建、代码生成、Payload加载、内存注入等多个行为,并最终定位到了威胁根因osd.com,进程链如下:

图片

木马执行起来后接收到控制端指令做的很多动作也都会被EDR有效捕获到,如下图所示,有的是为了加载dll执行提权,有的是为了收集机器的环境,有的是为了执行脚本进行内网穿透工具的安装等,都在EDR检测的范围内。

图片

至此,其实是否使用域前置隐藏C2,并不影响攻击的快速发现。

图片

当然这只是OneSEC检测能力的冰山一角,整体而言:

  • 在事件采集方面,OneSEC支持采集100多种终端行为数据,全面覆盖网络、文件、进程、注册表、外设、内存等各个类型;

  • 在威胁检测方面,OneSEC具备百亿级别的云查Hash、失陷检测IoC、行为检测IoA、图关联检测等多项检测技术综合判定产生告警;

  • 在溯源分析方面,OneSEC具备追溯到执行源头的串链能力,可以准确定位钓鱼攻击源头;

  • 在响应处置方面,OneSEC提供了丰富的响应动作和逆向操作,可根据攻击过程自动化生成处置建议。


更重要的是,OneSEC Agent现已支持Windows和MacOS两大主流平台,且Agent极其轻量,可在办公无感知的情况下一键静默安装,能够和各类桌管、杀软等软件兼容。


两个月的战役刚打了两周,快上车OneSEC吧!


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (1)
雪    币: 3878
活跃值: (3663)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
有免费版本吗?
2024-8-6 16:07
0
游客
登录 | 注册 方可回帖
返回
//