一个真实的攻击场景
时间:2022-03-27 10:00:01 | 来源:网络推广
时间:2022-03-27 10:00:01 来源:网络推广
攻击者首先是对其最近感兴趣的一个事件发送了一个钓鱼邮件。攻击载荷(payload)是一个.zip文件,其中包含了一个诱饵PDF文件和一个恶意可执行文件,该恶意文件使用系统上已经安装的Acrobat Reader来进行伪装。
运行时,可执行文件将下载第二阶段使用的远程访问工具(RAT)有效负荷,让远程操作员可以访问受害计算机,并可让远程操作员在网络中获得一个初始访问点。然后,攻击者会生成用于命令控制的新域名,并通过定期更改自己的网络用户名,将这些域发送到受感染网络上的远程访问工具(RAT)。用于命令控制的域和IP地址是临时的,并且攻击者每隔几天就会对此进行更改。攻击者通过安装Windows服务其名称很容易被计算机所有者认为是合法的系统服务名称,从而看似合法地保留在受害计算机上。在部署该恶意软件之前,攻击者可能已经在各种防病毒(AV)产品上进行了测试,以确保它与任何现有或已知的恶意软件签名都不匹配。
为了与受害主机进行交互,攻击者使用RAT启动Windows命令提示符,例如cmd.exe。然后,攻击者使用受感染计算机上已有的工具来了解有关受害者系统和周围网络的更多信息,以便提高其在其它系统上的访问级别,并朝着实现其目标进一步迈进。
更具体地说,攻击者使用内置的Windows工具或合法的第三方管理工具来发现内部主机和网络资源,并发现诸如帐户、权限组、进程、服务、网络配置和周围的网络资源之类的信息。然后,远程操作员可以使用Invoke-Mimikatz来批量捕获缓存的身份验证凭据。在收集到足够的信息之后,攻击者可能会进行横向移动,从一台计算机移动到另一台计算机,这通常可以使用映射的Windows管理员共享和远程Windows(服务器消息块[SMB])文件副本以及远程计划任务来实现。随着访问权限的增加,攻击者会在网络中找到感兴趣的文档。然后,攻击者会将这些文档存储在一个中央位置,使用RAR等程序通过远程命令行shell对文件进行压缩和加密,最后,通过HTTP会话,将文件从受害者主机中渗出,然后在其方便使用的远程计算机上分析和使用这些信息。
在线咨询
