一個(gè)真實(shí)的攻擊場(chǎng)景

時(shí)間：2022-03-27 10:00:01 | 來(lái)源：網(wǎng)絡(luò)推廣

時(shí)間：2022-03-27 10:00:01 來(lái)源：網(wǎng)絡(luò)推廣

攻擊者首先是對(duì)其最近感興趣的一個(gè)事件發(fā)送了一個(gè)釣魚郵件。攻擊載荷(payload)是一個(gè).zip文件，其中包含了一個(gè)誘餌PDF文件和一個(gè)惡意可執(zhí)行文件，該惡意文件使用系統(tǒng)上已經(jīng)安裝的Acrobat Reader來(lái)進(jìn)行偽裝。

運(yùn)行時(shí)，可執(zhí)行文件將下載第二階段使用的遠(yuǎn)程訪問工具(RAT)有效負(fù)荷，讓遠(yuǎn)程操作員可以訪問受害計(jì)算機(jī)，并可讓遠(yuǎn)程操作員在網(wǎng)絡(luò)中獲得一個(gè)初始訪問點(diǎn)。然后，攻擊者會(huì)生成用于命令控制的新域名，并通過(guò)定期更改自己的網(wǎng)絡(luò)用戶名，將這些域發(fā)送到受感染網(wǎng)絡(luò)上的遠(yuǎn)程訪問工具(RAT)。用于命令控制的域和IP地址是臨時(shí)的，并且攻擊者每隔幾天就會(huì)對(duì)此進(jìn)行更改。攻擊者通過(guò)安裝Windows服務(wù)其名稱很容易被計(jì)算機(jī)所有者認(rèn)為是合法的系統(tǒng)服務(wù)名稱，從而看似合法地保留在受害計(jì)算機(jī)上。在部署該惡意軟件之前，攻擊者可能已經(jīng)在各種防病毒(AV)產(chǎn)品上進(jìn)行了測(cè)試，以確保它與任何現(xiàn)有或已知的惡意軟件簽名都不匹配。

為了與受害主機(jī)進(jìn)行交互，攻擊者使用RAT啟動(dòng)Windows命令提示符，例如cmd.exe。然后，攻擊者使用受感染計(jì)算機(jī)上已有的工具來(lái)了解有關(guān)受害者系統(tǒng)和周圍網(wǎng)絡(luò)的更多信息，以便提高其在其它系統(tǒng)上的訪問級(jí)別，并朝著實(shí)現(xiàn)其目標(biāo)進(jìn)一步邁進(jìn)。

更具體地說(shuō)，攻擊者使用內(nèi)置的Windows工具或合法的第三方管理工具來(lái)發(fā)現(xiàn)內(nèi)部主機(jī)和網(wǎng)絡(luò)資源，并發(fā)現(xiàn)諸如帳戶、權(quán)限組、進(jìn)程、服務(wù)、網(wǎng)絡(luò)配置和周圍的網(wǎng)絡(luò)資源之類的信息。然后，遠(yuǎn)程操作員可以使用Invoke-Mimikatz來(lái)批量捕獲緩存的身份驗(yàn)證憑據(jù)。在收集到足夠的信息之后，攻擊者可能會(huì)進(jìn)行橫向移動(dòng)，從一臺(tái)計(jì)算機(jī)移動(dòng)到另一臺(tái)計(jì)算機(jī)，這通常可以使用映射的Windows管理員共享和遠(yuǎn)程Windows(服務(wù)器消息塊[SMB])文件副本以及遠(yuǎn)程計(jì)劃任務(wù)來(lái)實(shí)現(xiàn)。隨著訪問權(quán)限的增加，攻擊者會(huì)在網(wǎng)絡(luò)中找到感興趣的文檔。然后，攻擊者會(huì)將這些文檔存儲(chǔ)在一個(gè)中央位置，使用RAR等程序通過(guò)遠(yuǎn)程命令行shell對(duì)文件進(jìn)行壓縮和加密，最后，通過(guò)HTTP會(huì)話，將文件從受害者主機(jī)中滲出，然后在其方便使用的遠(yuǎn)程計(jì)算機(jī)上分析和使用這些信息。