Red Canary近期公布了《2021 Threat Detection Report》，该报告涵盖了众多顶级网络攻击技术到MITER ATT&CK框架的映射。其中，就2020年黑客首选10大Windows网络攻击技术进行了调研。

       

        1、24%:命令行解释器PowerShell
        利用PowerShell和Windows Command Shell的攻击对受害者影响最大。由于这些工具是Windows固有的，也被称为离地攻击，也就是说攻击者不需要下载专用工具，而是使用已安装的现有PowerShell就能够将恶意活动隐藏在合法进程中。
        企业需要使用工具确保捕获日志记录，从而监测这一攻击活动。此外，由于分析正常的PowerShell 和恶意PowerShell需要一定时间，最好对于经常使用的脚本和PowerShell进程建立一个基准，帮助过滤，从而发现可疑的cmd.exe和混淆命令。
        2、19%：签名的二进制进程执行
        排名第二的攻击使用2种技术：Rundll32和Mshta。两者都允许攻击者通过受信任的签名二进制文件创建恶意代码。同样，攻击者使用的是离地攻击。
        对此，建议企业可以为恶意使用的Rundll32设置警报，并且同样建立一个基线。
        3、16%：创建和修改系统流程
        Blue Mockingbird，这是利用Windows服务的单一威胁。主要部署加密货币挖掘有效载荷。当试图创建新的服务和新的进程时，建议查看日志中的事件4697、7045和4688。
        4、16%：计划任务
        报告指出，攻击者使用计划任务来建立持久性。企业应该检查计划任务是否被设置为以系统身份运行，因为这是最典型的攻击配置。此外，还有核查事件ID 106和140记录何时创建或更新任务。
        5、7%：凭证转储
        在诸如ProcDump和Mimikatz之类的工具的帮助下，本地安全授权子系统服务(LSASS)经常被用来转储密码。因此，企业在建立查找异常攻击的基线后，建议使用Windows 10 Attack Surface Reduction设置来查找LSASS可疑访问。
        6、7%：进程注入
        攻击者往往使用多种注入方法来获得对系统的更多访问权限，目前进程注入的方式非常多样。
        7、6%：文件或信息混淆
        在攻击者希望隐藏其行动时，会使用诸如Base64编码之类的工具隐藏其攻击过程。企业需要监控PowerShell.exe或Cmd.exe是否被“不寻常方式”地使用，但因为恶意活动看起来与正常的管理任务非常相似，导致这种攻击可能很难审查。建议设置使用PowerShell的政策，并且只使用签名的脚本执行。
        8、5%：工具转移
        虽然大多数攻击是离地攻击，但有时候攻击者也会将工具转移到平台上，他们使用bitsadmin.exe转移攻击工具，而查看PowerShell命令行中的关键字和模式是找到攻击序列的关键方法。
        9、4%：系统服务
        攻击者使用Windows Service Manager运行命令或安装服务。
        10、4%：重命名伪装
        攻击者通过重命名系统工具程序来绕过控件和检测。为此，建议不是直接查找文件名而是查找进程，从而确定攻击者是否正试图使用此技术进行攻击。如果可以，请使用可以比较文件哈希值的系统，这样即使文件名更改，哈希值也不会偏离。
        参考来源：csoonline
        原文链接：https://www.freebuf.com/articles/paper/271064.html

来源：互联网
免责声明：如果侵犯了您的权益，请联系站长（1277306191@qq.com），我们会及时删除侵权内容，谢谢合作！