域前置之祸：能封禁的域名、IP越来越少了，可钓鱼却一个都不少，到底怎么破？

攻防演练进入到第二周，微步终端安全管理平台OneSEC、微步云沙箱S等各类检测产品，均已捕获到了大量钓鱼木马样本，例如：建议虚拟机中运行本程序.exe、西安****有限公司资料信息.zip、****研究所应聘登记表 - 副本.exe、关于开展整治形式主义为基层减负有关工作情况摸底反馈函-个人(1).rar、**金融(渠道经理).zip……

从钓鱼主题来看，招聘、日常工作相关类样本仍然占据主流，和往年并没有太多不同；但在针对攻防演练样本进行深入分析时，微步发现了一个有意思的现象：相比去年，域前置攻击手法有大幅增加，几乎成为了一门“显学”。

微步判断，随着红队对于域前置攻击的日渐熟练，域前置木马可能会越来越多。

尽管域前置依赖CDN合法域名和流量加密技术，导致流量侧不易检出，不过不用担心，但终端侧还有高手！

别误会，这里说的不是杀毒。红队的免杀，免的就是杀毒软件，EDR才是那个真正的高手。

由于EDR主要检测终端恶意行为，包括文件启动、进程注入、注册表修改、内存访问、内存反射加载等，因此不受域前置等网络行为的影响。而且，木马上线之后的各类操作，截屏、窃账号密码、横移、持久化等， 都在EDR行为检测的视线范围内。

来看看OneSEC的EDR是怎么解这个问题的，以某域前置木马样本为例。

攻击者以大厂招聘信息和福利待遇为主题，诱使目标用户中招。不过从网络行为来看，该木马显得“非常乖”，反连域名均为合法域名，因此这会儿EDR也无法识别，但是这并不影响EDR的检测。

接下来我们从EDR的行为中看到了多个告警，以下是一个在内存中执行动态代码的告警，是一个典型的无文件马的行为。

此外，OneSEC采集到了进程创建、代码生成、Payload加载、内存注入等多个行为，并最终定位到了威胁根因osd.com，进程链如下：

木马执行起来后，接收到控制端指令做的很多动作也都会被EDR有效捕获到，如下图所示，有的是为了加载dll执行提权，有的是为了收集机器的环境，有的是为了执行脚本进行内网穿透工具的安装等，都在EDR检测的范围内。

至此，其实是否使用域前置隐藏C2，并不影响攻击的快速发现。

当然这只是OneSEC检测能力的冰山一角，整体而言：

• 在事件采集方面，OneSEC支持采集100多种终端行为数据，全面覆盖网络、文件、进程、注册表、外设、内存等各个类型；

• 在威胁检测方面，OneSEC具备百亿级别的云查Hash、失陷检测IoC、行为检测IoA、图关联检测等多项检测技术综合判定产生告警；

• 在溯源分析方面，OneSEC具备追溯到执行源头的串链能力，可以准确定位钓鱼攻击源头；

• 在响应处置方面，OneSEC提供了丰富的响应动作和逆向操作，可根据攻击过程自动化生成处置建议。

更重要的是，OneSEC Agent现已支持Windows和MacOS两大主流平台，且Agent极其轻量，可在办公无感知的情况下一键静默安装，能够和各类桌管、杀软等软件兼容。

两个月的战役刚打了两周，快上车OneSEC吧！

[课程]Linux pwn 探索篇！