欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Azure Security Center指向PowerShell入侵攻击的深度研究专题

来源:本站整理 作者:佚名 时间:2017-10-18 TAG: 我要投稿

为了留念国度网络网安认识月(NCSAM),咱们宣布了一篇新的系列文章,来重点先容Azure Security Center是若何检测、追究和减缓实际天下所面对的各类网络入侵攻击的。在这篇文章中,咱们将向读者阐发入侵攻击者是若何应用PowerShell来运转歹意代码并网络用户凭据的。在具体先容这一入侵攻击伎俩以前,无妨先对本系列中其余文章停止一个回想,此中Security Center可以或许检测到:
SQL暴力入侵攻击
比特币采矿入侵攻击
基于网络威逼情报的DDoS入侵攻击
歹意应用失常的应用法式
在这篇文章中,咱们将先容Azure Security Center检测到的另一个风趣的实在天下的入侵攻击场景,而且此次查询拜访是由咱们的团队卖力的。必要留意的是,为了掩护隐衷,受影响公司的称号、统统计算机称号和统统用户名都已停止了调换。这类特别入侵攻击应用PowerShell来运转内存中的歹意代码,目的是经由进程暗码盗取、按键记载、剪贴板抓取和屏幕捕捉来网络凭据信息。该入侵攻击起首会停止RDP Force入侵攻击,最终将在注册表中实现设置和设置装备摆设耐久主动启动(ASEP)的目的。这个案例研讨不只先容了该入侵攻击的道理,并供给了若安在您的情况中检测和避免相似入侵攻击的倡议。
Azure网安中间的原始警报和具体信息
因为天下上存在很多长途治理的联网计算机,以是黑客们不停都在尽力征采各类正在运转的长途治理办事,如长途桌面协定(RDP),以便经由进程暴力入侵攻击破解暗码。咱们的案例是从一个大客户的Azure Security Center节制台开端的,该节制台提醒存在RDP暴力入侵攻击运动和可疑的PowerShell运动。
鄙人面的Azure Security Center屏幕截图中,您可以或许依照从下到上的光阴次序停止检查,咱们可以或许发明“Failed RDP Brute Force Attack”警报前面是一个“Failed RDP Brute Force Attack”警报——这表现有人经由进程RDP登录猜到了用户暗码,在这类歹意的暴力登录警报前面,是几个非常PowerShell运动的警报。

当咱们反省最后的Successful RDP Brute Force Attack警报时,可以或许看到入侵攻击的光阴、遭到入侵攻击的帐户、入侵攻击源的IP地点(这里是意大利),和Microsoft’s Threat Intel的“RDP Brute Forcing”申报的链接。

胜利登录后,前面给出了一些高档严重性警报,而且Azure网安中间会按光阴次序表现入侵攻击者登录胜利后履行的每一个敕令行:

原始的入侵攻击和入侵攻击者运动的细节
依据上述警报供给的信息,咱们的查询拜访团队与客户一路检察了从入侵攻击者最后登录时得到的帐户登录日记(变乱ID 4624)和进程创立日记(变乱ID 4688)。 依据原始的登录数据,咱们看到入侵攻击者应用了各类用户名和暗码组合来停止连续的RDP暴力测验考试。大多数失败的测验考试最终会激发变乱ID 4625(帐户登录失败)、状况码0xc000006d(测验考试登录有效)和一个子代码0xc0000064(指定的帐号不存在)。

在09月06日上午10:13阁下,咱们看到Substatus码开端产生变更。从这里可以或许看出,应用用户名“ContosoAdmin”招致了分歧的状况码:0xc000006a(暗码差错)。 以后是应用“ContosoAdmin”帐户登录胜利,范例分别为3和10(长途交互)。从IP地点(188.125.100.233)来看,此次是从意大利停止登录的。

下面,咱们来反省一下登录后的进程创立运动。入侵攻击者起首履行了“whoami”敕令,来检查以后的登录用户。而后应用net group “Domain Admins” /domain敕令检查了“Domain Admins”组的成员。以后,又履行了“qwinsta”敕令,来表现统统Remote Desktop Services会话。而后启动Taskmgr(Windows义务治理器)以检查或治理响应的进程和办事。

稍后,入侵攻击者履行了另一个PowerShell敕令。该敕令用Base64编码的字符串停止了混杂处置,其余,还应用Deflate紧缩算法停止了紧缩处置。留意:在后文中,咱们会对这些Base64编码的字符串停止解码,届时咱们将进一步发掘该敕令的用法。

约3分钟后,入侵攻击者从这台机械下面刊出了。但是在刊出以前,他们会经由进程消除统统变乱日记来粉饰自己的踪影。这是经由进程内置的wevtutil.exe(Windows变乱敕令行适用法式)来实现的。起首,应用"el"或"enum-logs"开关罗列统统变乱日记。而后用“cl”或“消除日记”开关消除统统变乱日记。如下是入侵攻击者履行的部门变乱消除敕令。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载