看“Falcon”如何阻止脚本及无文件攻击

愣娃 技术 2017年8月15日发布

导语:在由pentestlab.blog撰写的文章中,作者说明了一个广泛使用的工具中的简单脚本可以绕过安全措施。在本文中,我们将使用多种检测功能来说明Falcon,以防止基于脚本的攻击。

介绍

基于文件和脚本的攻击正在增加,这种攻击增长归功于其躲避能力。在由pentestlab.blog撰写的文章中,作者说明了一个广泛使用的工具中的简单脚本可以绕过安全措施。在本文中,我们将使用多种检测功能来说明Falcon,以防止基于脚本的攻击。

视频

条件

对于本文,我们已经复制了博客中使用的脚本。然后我们将尝试在受Falcon保护的主机上运行该脚本。为此,我使用了更新版本的Kali linux和运行Windows 7的主机。

步骤1:生成证书

生成的脚本是一个编码的powershell命令,用于建立从目标返回到攻击者的加密连接。此加密防止HIPS系统检查数据包。

以下步骤直接来自pentestlab.blog发布的博客

要生成加密通道的证书,我使用了Metasploit模块,impersonate_ssl并选择一个常见的域来模拟。一旦完成,验证生成的文件是否在桌面上。

步骤2:配置监听器

这个步骤与原始文章的顺序不一样,但是也完成了目标。一旦执行了Payload(我将在下一步创建有效载荷),将创建受害者和攻击者之间的加密会话。如此一来,便可以防止HIPS检查,以及它可能提供的任何保护。

步骤3:生成Pload

Metasploit MsfVenom用于生成Payload。在这种情况下,Payload是加密的PowerShell脚本。该Payload利用在步骤1中生成的证书。

How Falcon如何保护脚本攻击?

How Falcon平台是具有多种功能的单一代理。在这种情况下,我将使用Falcon Prevent功能来识别这个威胁正在实现什么。

在下面的警报中,我们看到一个流程树,以清楚地了解这个攻击的工作原理以及它正在尝试的内容。我们可以看到explorer.exe启动命令提示符,在该命令提示符下,我们看到命令行打开在Metasploit中创建的批处理脚本。

看看接下来的两个步骤,我们看到新的命令提示符调用PowerShell,然后运行编码命令。随后的PowerShell进程是相同的编码进程运行。

最后一个过程是尝试执行编码脚本。在这种情况下,有3种单独的行为是可疑的,虽然Falcon只需要一个可以防止的行为。绿色文本表示可疑过程已被识别并被阻止。下一步Falcon认识到在PowerShell中有一个编码命令,这是可疑的。最后,Metasploit的计量器的存在被识别并被加载到一个过程中。

在右侧,在详细信息窗格中,我们将获得有关脚本尝试完成的更多信息。网络操作部分标识攻击者服务器,并且该通信已通过端口443.在“磁盘操作”中,读取并写入磁盘的所有DLL和文件的列表可供进一步调查。

结论

基于脚本和其他无文件攻击正在上升,因为它们可以避免新旧检测功能的检测。CrowdStrike利用许多类型的检测方法来识别和阻止当今使用的各种攻击向量。

如若转载,请注明原文地址: http://www.4hou.com/technology/7222.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论