在下炳尚
2
風險管理(專業級)RM/PL
高級信息系統項目管理師
在下炳尚2
風險管理(專業級)RM/PL
高級信息系統項目管理師
APT攻擊檢測思路:
檢測偽裝進程偽裝
根據進程名稱與進程內部名稱、以及進程路徑的對比,來檢測進程是否偽裝
異常進程鏈檢測
根據父子進程來發現異常,比如winword等文檔型程序啟動mshta進程、Spoolsv啟動powershell。
基于加載的DLL文件
掃描進程中存在的非正常的dll文件,且著重關注一些DLL文件的加載,比如scrobj.dll被加載到regsvr32進程中,則可能存在regsvr32執行sct文件的情況,需要對該進程的行為進行追蹤;關注DLL的來源,比如反向dll注入,dll來源于網絡。
環境變量檢測
PATH和PATHEXT中寫入了可疑路徑,從而實現DLL劫持;
特殊環境變量檢測:COR_PROFILER環境變量的設置,檢測該環境變量指向的COM組件中是否存在惡意dll文件,從而發現CLR劫持
路徑一致性檢測
分別獲取命令行路徑和真實路徑,兩者不同說明有路徑假冒行為,兩個路徑分別是WindowTitle(窗口路徑)和CommandLine(命令行路徑):
操作對象檢測
某些特種木馬為了防止重復種植,一般會在操作的Mutants、File、Token等類型的對象上設置其特征。比如ByShell病毒在進程創建了Mutant類型的對象ByShell_Event_Wait
文件簽名檢測
檢測PE文件簽名或DLL文件簽名;
DLL隱藏檢測
DLL隱藏的方式有兩種,一是將DLL從加載順序鏈表中斷開(檢測方式:加載的DLL-卸載的DLL != 目前DLL)、二是修改_LDR_DATA_TABLE_ENTRY結構體中的DLL路徑和DLL名稱(檢測方式:對比DLL路徑和映射文件路徑)。
遠程線程注入檢測
注入前DLL存在于磁盤上,可檢測DLL文件是否為惡意文件;還可以檢測CreateRemoteThread等函數的調用。
對抗隱寫術
檢測執行的命令的文件來源,比如powershell提取并執行圖片中嵌入的代碼,則檢測powershell執行的腳本的來源;
反彈shell檢測
反彈shell的本質是輸入輸出重定向,因此可通過cmd、powershell等進程的輸入來源進行檢測。比如cmd的父進程聯網。
無文件攻擊檢測
基于命令行的檢測,檢測各種下載執行的命令行;
基于父子進程的檢測,檢測異常進程鏈;
基于加載或執行的文件來源的檢測,檢測進程加載或執行的文件是否來源于網絡。
持久化攻擊檢測
檢測敏感注冊表項中的命令或掃描其執行的程序、掃描計劃任務執行的文件、掃描啟動目錄中的文件、掃描自啟動服務對應的程序等。
系統的安全配置檢測
防火墻開啟狀態檢測;
UAC開啟狀態檢測;
是否禁止顯示隱藏文件;
安全模式是否被禁用或破壞;
控制面板啟用狀態檢測;
OFFICE宏安全設置檢測
CMD、任務管理器、注冊表編輯器等工具的啟用狀態檢測;
RDP設置檢測;
推薦文章
