基于文件和脚本的攻击正在增加,这种攻击增长归功于其躲避能力。在由pentestlab.blog撰写的文章中,作者说明了一个广泛使用的工具中的简单脚本可以绕过安全措施。在本文中,我们将使用多种检测功能来说明Falcon,以防止基于脚本的攻击。
视频
条件
对于本文,我们已经复制了博客中使用的脚本。然后我们将尝试在受Falcon保护的主机上运行该脚本。为此,我使用了更新版本的Kali linux和运行Windows 7的主机。
步骤1:生成证书
生成的脚本是一个编码的powershell命令,用于建立从目标返回到攻击者的加密连接。此加密防止HIPS系统检查数据包。
以下步骤直接来自pentestlab.blog发布的博客
要生成加密通道的证书,我使用了Metasploit模块,impersonate_ssl并选择一个常见的域来模拟。一旦完成,验证生成的文件是否在桌面上。
步骤2:配置监听器
这个步骤与原始文章的顺序不一样,但是也完成了目标。一旦执行了Payload(我将在下一步创建有效载荷),将创建受害者和攻击者之间的加密会话。如此一来,便可以防止HIPS检查,以及它可能提供的任何保护。
步骤3:生成Pload
Metasploit MsfVenom用于生成Payload。在这种情况下,Payload是加密的PowerShell脚本。该Payload利用在步骤1中生成的证书。
How Falcon如何保护脚本攻击?
How Falcon平台是具有多种功能的单一代理。在这种情况下,我将使用Falcon Prevent功能来识别这个威胁正在实现什么。
在下面的警报中,我们看到一个流程树,以清楚地了解这个攻击的工作原理以及它正在尝试的内容。我们可以看到explorer.exe启动命令提示符,在该命令提示符下,我们看到命令行打开在Metasploit中创建的批处理脚本。
看看接下来的两个步骤,我们看到新的命令提示符调用PowerShell,然后运行编码命令。随后的PowerShell进程是相同的编码进程运行。
最后一个过程是尝试执行编码脚本。在这种情况下,有3种单独的行为是可疑的,虽然Falcon只需要一个可以防止的行为。绿色文本表示可疑过程已被识别并被阻止。下一步Falcon认识到在PowerShell中有一个编码命令,这是可疑的。最后,Metasploit的计量器的存在被识别并被加载到一个过程中。
在右侧,在详细信息窗格中,我们将获得有关脚本尝试完成的更多信息。网络操作部分标识攻击者服务器,并且该通信已通过端口443.在“磁盘操作”中,读取并写入磁盘的所有DLL和文件的列表可供进一步调查。
结论
基于脚本和其他无文件攻击正在上升,因为它们可以避免新旧检测功能的检测。CrowdStrike利用许多类型的检测方法来识别和阻止当今使用的各种攻击向量。