专业术语

TTPs

总结描述

攻击组件复杂、攻击流程繁琐、活动轨迹高度隐匿,并且具备一定的反侦察能力,这些特点均给安全研究人员在逆向分析、追踪溯源方面提出了巨大挑战,攻击组件的上下文缺失以及各安全厂商的情报信息孤岛同样是摆在攻击事件分析挖掘前的阻碍。

Windows系统上的代码执行的方法

LotL:Living off the Land

可以理解为就地取材,利用Windows系统和应用程序来加载执行恶意代码,典型的案例就是利用powershell的攻击。这种方式利用白名单程序来加载,会有一定规避检查的优点,但会产生明显的父子进程关系和进程参数,容易被猎捕。
包括但不限于无文件攻击,被滥用的合法工具被称为LOLBins,利用在操作系统上运行的受信任的合法进程(LOLBins)来执行恶意活动,例如横向移动,特权提升,逃避,侦察和有效载荷的传递。
包括:

  1. PowerShell,具有Cobalt Kitty行动,Ramnit Banking木马,Emotet,TrickBot和Ryuk的三重威胁以及Fallout Exploit Kit等攻击。

  2. Windows Management Instrumentation(WMI),具有像Operation Soft Cell,Shade Exploit Kit,Adobe Worm Faker和 GandCrabs Evasive攻击之类的攻击。

  3. .NET,带有类似新Ursnif变体的攻击;

  4. 恶意宏,带有类似新Ursnif变体的攻击;
    还有VB脚本、Mimikatz、PsExec等一百多种

    BYOB:Bring Your Own Binar

    把后门、工具、武器编译成exe文件,上传到目标主机上并运行。这也是最直接的执行方式。
    缺点是需要不断的编译和上传、要处理杀软和EDR的静态检测等等。

    BYOL:Bring Your Own Land

    在使用前两种方法建立了基本的代码执行能力后,在内存中加载并运行Windows的PE文件、.NET assembly文件。
    优点是跳过了静态文件查杀,不会明显产生进程间调用关系和进程调用参数,缺点是需要自己开发内存加载执行的代码,很多常规的命令需要自己重新实现。

    BYOI:Bring Your Own Interpreter

    将范例转变为PowerShell样式,比如攻击(因为它提供了比传统的C#Tradecraft更多的灵活性),但无论如何都不使用PowerShell。
    It’s the culmination of an extensive amount of research into using embedded third-party .NET scripting languages to dynamically call .NET API’s, a technique the author coined as BYOI (Bring Your Own Interpreter). The aim of this tool and the BYOI concept is to shift the paradigm back to PowerShell style like attacks (as it offers much more flexibility over traditional C# tradecraft) only without using PowerShell in anyway.

    PowerShell

    混淆

    Powershell作为Windows10默认shell工具,依靠.NET Framework的强大功能、对Windows系统的各接口兼容以及其易于混淆变化的特点在恶意代码中也变得越来越常见,随之而来的是包括Windows Defender在内的绝大多数EDR类产品对于ps1脚本苛刻的扫描检测。
    利用字符串替换和变量串联来处理已知的可以触发反病毒产品的恶意PS1,以实现绕过常见的基于签名的安全检测机制。
    实现AMSI和安全防护产品(解决方案)绕过。

    资产

    域名

    tk是南太平洋岛国托克劳(Tokelau)的国家域名,该域名最容易申请到的免费域名之一。