最突出的技术是对现有安全控制的分析以绕过它们,从记录的未来记录的新见解揭示了
现在,使用方法在利用链中发现安全软件的存在是采用的最常见策略之一网络攻击者,新的研究表明。
在星期二(3月31日),记录未来发布了报告探索2019年最常见的网络攻击策略,技术和程序(TTPS)。
该研究基于MITER ATT&CK知识库,这是网络安全社区使用的图书馆,以掌握新兴威胁的脉搏。
录制的Future的Insikt Group汇编了最常见的十大技术列表,其中“安全软件发现”获得了最高点。
国防旁路
研究人员说,安全软件发现(T1063)“指示对手了解到位以绕过它们的安全控制”。
该技术包括常见的远程访问工具(例如NJRAT在内的特洛伊木马)和开源用于在目标机器上扫描和列出保护软件的管理框架。
“Since this type of activity isn’t malicious on its own, the way to approach it is not so much to keep it from happening, but to identify when it is happening and be able to differentiate it from normal network or host activity,” David Carver, manager of Recorded Future’s Analyst on Demand Services, told每日swbeplay2018官网ig。
“针对T1063的最佳防御能力之一是一种普遍强大的安全方法 - 我怀疑人们可以在这里依靠一种政策或工具来缓解。”
对安全软件的检测是未来记录的称为“攻击链中防御逃避元素的“基本先驱”,其中一种方法是“混淆的文件或信息”,已确保了列表中的第二个位置。
混淆是无数的策略恶意软件家庭以避免对研究人员进行审查。
在包括《帝国框架》在内的工具中找到的PowerShell模块能够运行命令以编码Base64中的文件和字符串,并且使用此方法的恶意软件菌株包括Emotet和Crockicker。
第三名是“过程注入”(T1055),这是一种国防逃避技术,该技术在另一个过程的地址空间内采用自定义代码,以保持对机器受损的持久性或作为特权升级链的一部分。
十大对手策略和技术
- 安全软件发现(T1063)- 使用远程访问工具和开源管理框架,用于扫描和列出目标机器上的保护软件。
- 混淆的文件或信息(T1027)- 混淆代码和文件,以避免检测和分析。
- 过程注入(T1055)- 将恶意代码隐藏在另一个过程的地址空间内。
- 系统信息发现(T1082)- 收集有关操作系统,硬件和软件安全状态的详细信息的手段。
- 过程发现(T1057)- 系统配置的平台无关枚举,在决定特定攻击向量时有用。
- 软件包装(T1045)- 一种防御逃避策略,T1045与隐藏不可行文件(包括恶意可执行文件)的运行时或软件包装器有关。
- DLL侧加载(T1073)- DLL侧载涉及欺骗性的恶意DLL,这些DLL被放置在目录中,以确保它们已加载而不是合法的资源。
- 数据加密(T1022)- 盗窃之前的数据加密,用于掩盖网络流量中被盗数据的内容。
- 通过API执行(T1106)- 对合法API的恶意使用来剥夺数据和脚本的关键级别。
- 标准加密协议(T1032)- 加密协议(例如RC4和AES)可用于隐藏命令和控制流量,这是在攻击的最后阶段中经常使用的一种技术。
减轻风险
记录的未来建议它采用多方面的方法来减轻剥削风险,包括监视常见过程的变化和网络,检查异常或频繁的命令参数,并维护常规补丁计划。
Carver said that it is unlikely the tactics employed across 2019 “will change too greatly” this year, as the “competing aspects of malware development and network defense improvement – which together are the most likely impetus for the 2019 trends – aren’t likely to stop anytime soon”.
“ MITER ATT&CK知识库为网络安全社区描述对手行为提供了一种通用语言,”对手仿真和编排的MITER部门负责人Jon Baker补充说。
“我们继续受到整个社区使用ATT&CK改善其防御能力的方式的启发。”
