1.24%:命令行解释程序PowerShell
使用PowerShell和Windows命令Shell攻击对受害者的影响最大。因为这些工具是Windows所有固有的,也被称为离地攻击,这意味着攻击者可以使用现有的安装PowerShell在法律过程中隐藏恶意活动而不是下载特殊工具。
企业需要工具来确保捕获日志记录来监控攻击活动。此外,由于分析正常PowerShell和恶意的PowerShell需要一定的时间,所以最好经常使用脚本和PowerShell为了找到可疑的过程,建立了帮助过滤的基准cmd.exe混淆命令。
2.19%:符号二进制过程执行
第二次攻击使用两种技术:Rundll32和Mshta。都允许攻击者通过可信签名二进制文件创建恶意代码。同样,攻击者使用地面攻击。
因此,建议企业恶意使用Rundll32设置警报和基准线。
3、16%:创建和修改系统流程。
蓝知更鸟是一种使用Windows服务的单一威胁。主要部署加密货币挖掘的有效载荷。在尝试创建新服务和新进程时,建议检查日志中的4697、7045和4688。
4.16%:计划任务
根据报告,攻击者使用预定任务来建立持久性。企业应检查预定任务是否作为系统运行,因为它是最典型的攻击配置。此外,还有一个检查事件ID 106和140用于记录任务的创建或更新时间。
5.7%:凭证转储
在ProcDump和Mimikatz当地安全授权子系统服务通常在工具的帮助下使用(LSASS)转储密码。因此,企业建议在建立发现异常攻击的基线后使用Windows 10攻击面减少设置以发现可疑性LSASS访问。
6.7%:工艺注射
攻击者通常使用各种注入方法来获得更多的系统访问权限。目前,注入过程的方法有很多。
7.6%:文件或信息混乱。
当攻击者想要隐藏他们的行动时,他们会使用它们Base64编码和其他工具来隐藏他们的攻击过程。企业需要监控PowerShell.exe或Cmd.exe是否被“以不寻常的方式”使用,但这种攻击可能很难审查,因为恶意活动看起来与正常的管理任务非常相似。建议设置使用PowerShell只使用签名脚本执行策略。
8.5%:工具转移
虽然大多数攻击都是离地攻击,但有时攻击者会将工具转移到平台上,使用它们bitsadmin.exe转移攻击工具PowerShell查看命令行中的关键字和模式是找到攻击序列的关键方法。
9.4%:系统服务
使用攻击者Windows操作命令或安装服务的服务管理器。
10.4%:重命名伪装
攻击者通过重命名系统的实用程序绕过控制和检测。因此,建议直接找到过程而不是文件名,以确定攻击者是否试图使用该技术进行攻击。如果可能,请使用可以比较文件哈希值的系统,这样即使文件名更改,哈希值也不会偏离。