apt 攻擊檢測怎么做

APT攻擊檢測思路：

• 檢測偽裝進程偽裝

  根據進程名稱與進程內部名稱、以及進程路徑的對比，來檢測進程是否偽裝

• 異常進程鏈檢測

  根據父子進程來發現異常，比如winword等文檔型程序啟動mshta進程、Spoolsv啟動powershell。

• 基于加載的DLL文件

  掃描進程中存在的非正常的dll文件，且著重關注一些DLL文件的加載，比如scrobj.dll被加載到regsvr32進程中，則可能存在regsvr32執行sct文件的情況，需要對該進程的行為進行追蹤；關注DLL的來源，比如反向dll注入，dll來源于網絡。

• 環境變量檢測

  PATH和PATHEXT中寫入了可疑路徑，從而實現DLL劫持；

  特殊環境變量檢測：COR_PROFILER環境變量的設置，檢測該環境變量指向的COM組件中是否存在惡意dll文件，從而發現CLR劫持

• 路徑一致性檢測

  分別獲取命令行路徑和真實路徑，兩者不同說明有路徑假冒行為，兩個路徑分別是WindowTitle（窗口路徑）和CommandLine（命令行路徑）：

• 操作對象檢測

  某些特種木馬為了防止重復種植，一般會在操作的Mutants、File、Token等類型的對象上設置其特征。比如ByShell病毒在進程創建了Mutant類型的對象ByShell_Event_Wait

• 文件簽名檢測

  檢測PE文件簽名或DLL文件簽名；

• DLL隱藏檢測

  DLL隱藏的方式有兩種，一是將DLL從加載順序鏈表中斷開（檢測方式：加載的DLL-卸載的DLL != 目前DLL）、二是修改_LDR_DATA_TABLE_ENTRY結構體中的DLL路徑和DLL名稱（檢測方式：對比DLL路徑和映射文件路徑）。

• 遠程線程注入檢測

  注入前DLL存在于磁盤上，可檢測DLL文件是否為惡意文件；還可以檢測CreateRemoteThread等函數的調用。

• 對抗隱寫術

  檢測執行的命令的文件來源，比如powershell提取并執行圖片中嵌入的代碼，則檢測powershell執行的腳本的來源；

• 反彈shell檢測

  反彈shell的本質是輸入輸出重定向，因此可通過cmd、powershell等進程的輸入來源進行檢測。比如cmd的父進程聯網。

• 無文件攻擊檢測

  • 基于命令行的檢測，檢測各種下載執行的命令行；

  • 基于父子進程的檢測，檢測異常進程鏈；

  • 基于加載或執行的文件來源的檢測，檢測進程加載或執行的文件是否來源于網絡。

• 持久化攻擊檢測

  檢測敏感注冊表項中的命令或掃描其執行的程序、掃描計劃任務執行的文件、掃描啟動目錄中的文件、掃描自啟動服務對應的程序等。

• 系統的安全配置檢測

  • 防火墻開啟狀態檢測；

  • UAC開啟狀態檢測；

  • 是否禁止顯示隱藏文件；

  • 安全模式是否被禁用或破壞；

  • 控制面板啟用狀態檢測；

  • OFFICE宏安全設置檢測

  • CMD、任務管理器、注冊表編輯器等工具的啟用狀態檢測；

  • RDP設置檢測；

回答所涉及的環境：聯想天逸510S、Windows 10。