域前置之祸:能封禁的域名、IP越来越少了,可钓鱼却一个都不少,到底怎么破?进入到第二周,微步终端安全管理平台OneSEC、微步云沙箱S等各类检测产品,均已捕获到了大量钓鱼木马样本,例如:建议虚拟机中运行本程序.exe、西安****有限公司资料信息.zip、****研究所应聘登记表 - 副本.exe、关于开展整治形式主义为基层减负有关工作情况摸底反馈函-个人(1).rar、**金融(渠道经理).zip……从钓鱼主题来看,招聘、日常工作相关类样本仍然占据主流,和往年并没有太多不同;但在针对攻防演练样本进行深入分析时,微步发现了一个有意思的现象:相比去年,域前置攻击手法有大幅增加,几乎成为了一门“显学”。微步判断,随着红队对于域前置攻击的日渐熟练,域前置木马可能会越来越多。尽管域前置依赖CDN合法域名和流量加密技术,导致流量侧不易检出,不过不用担心,但终端侧还有高手!别误会,这里说的不是杀毒。红队的免杀,免的就是杀毒软件,EDR才是那个真正的高手。由于EDR主要检测终端恶意行为,包括文件启动、进程注入、注册表修改、内存访问、内存反射加载等,因此不受域前置等网络行为的影响。而且,木马上线之后的各类操作,截屏、窃账号密码、横移、持久化等, 都在EDR行为检测的视线范围内。来看看OneSEC的EDR是怎么解这个问题的,以某域前置木马样本为例。攻击者以大厂招聘信息和福利待遇为主题,诱使目标用户中招。不过从网络行为来看,该木马显得“非常乖”,反连域名均为合法域名,因此这会儿EDR也无法识别,但是这并不影响EDR的检测。接下来我们从EDR的行为中看到了多个告警,以下是一个在内存中执行动态代码的告警,是一个典型的无文件马的行为。此外,OneSEC采集到了进程创建、代码生成、Payload加载、内存注入等多个行为,并最终定位到了威胁根因osd.com,进程链如下:木马执行起来后,接收到控制端指令做的很多动作也都会被EDR有效捕获到,如下图所示,有的是为了加载dll执行提权,有的是为了收集机器的环境,有的是为了执行脚本进行内网穿透工具的安装等,都在EDR检测的范围内。
至此,其实是否使用域前置隐藏C2,并不影响攻击的快速发现。当然这只是OneSEC检测能力的冰山一角,整体而言:
在事件采集方面,OneSEC支持采集100多种终端行为数据,全面覆盖网络、文件、进程、注册表、外设、内存等各个类型;
在威胁检测方面,OneSEC具备百亿级别的云查Hash、失陷检测IoC、行为检测IoA、图关联检测等多项检测技术综合判定产生告警;
在溯源分析方面,OneSEC具备追溯到执行源头的串链能力,可以准确定位钓鱼攻击源头;
- 在响应处置方面,OneSEC提供了丰富的响应动作和逆向操作,可根据攻击过程自动化生成处置建议。
更重要的是,OneSEC Agent现已支持Windows和MacOS两大主流平台,且Agent极其轻量,可在办公无感知的情况下一键静默安装,能够和各类桌管、杀软等软件兼容。
还没有评论,来说两句吧...