威胁狩猎系列文章之十到十二

信安之路

发布于 2019-05-15 11:14:24

9130

发布于 2019-05-15 11:14:24

文章被收录于专栏：信安之路信安之路

Threat Hunting#10. 重命名或修改 Windows（滥用的）脚本程序绕过系统监控

如果攻击者重命名或修改已知的实用程序名(即 cscript、wscript、wmic、rundll32、regsvr32、mshta 等)，这将导致非常容易绕过基于命令行和进程名的检测。

例如，如果系统监控使用带有“-a 和 -p”选项的 rar.exe 程序，以便来监控任何黑客用其来压缩和使用密码加密数据，以便绕过数据监测，那么攻击者可以简单地将 rar.exe 重命名为其他名称，自然就轻易地绕过了系统监视。

SYSMON 用户可以在配置文件中启用 IMPHASH：

<HashAlgorithms>md5,IMPHASH</HashAlgorithms>

下面为一案例：

从上图 SYSMON 的监控日志可以看到 7-zip 被重命名为 bla.exe，且可以看到他的 MD5 值发生了变化，那么这样导致如果我们的监控条件并不是那么灵活的话，有可能就会被绕过，而一种特殊的检测恶意软件的方法是检测其 PE 文件导入表（Imports），导入表就是一个包含所有调用函数（一般是调用自 Windows 系统各种 DLL）的表。对于每个软件（恶意软件），其 ImpHash 是唯一的，因为编译器是根据源码中每个函数出现的顺序来制定 IAT（Import Address TableI）的，所以我们可以看到就算 MD5 值不一样的情况下，其 IMPHASH 值是一样的。

此外，imphash 还可以检测网络中类似的植入(自定义编译器或类似的)，即使它们具有不同的 C2 和 md5/sha256 哈希散列值。

引用：

https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html
https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

原文：

https://blog.menasec.net/2019/02/threat-hunting-12-renamedmodified.html

Threat Hunting#11. 密码暴露

【自查】-- 自查是否有用户保存密码到纯文本 TXT 文件中。

如果你使用 IBM Qradar Sysmon AQL，你可以使用如下命令：

select username, "Process CommandLine" from events where image imatches '(*.notepad.*)|(.*excel*)' and "Process CommandLine" imatches '(?i)((.*passw.*)|(.*pwd.*))'

如果使用 CarbonBlack:

process_name:notepad.exe|excel.exe|notepad++.exe and (cmdline:*password* or cmdline:*pwd* or cmdline:*passwd* or cmdline:*keys*)

在纯文本 TXT 文件中或类似文件中查找不受保护的用户密码，即使环境已经经过了良好的加固，也会使攻击者更容易攻击。

原文：

https://blog.menasec.net/2019/02/house-cleaning-detecting-your-own-users.html

Threat Hunting#12. 注册表值数据中的可疑字符串

这个技巧是一个非常好的方法可以用于扫描恶意程序为逃逸磁盘写入而带来的防病毒系统的查杀，因为此类恶意程序经常将其恶意代码写入注册表程序键值，（REG_BINARY, REG_SZ 等。）即我们俗称的无文件型攻击。

设定每天执行的计划任务，扫描用户的注册表 HKCU 键值，并将结果输出到系统事件日志，（即使用 EventCreate.exe 创建相关日志）可以帮助检测所谓的“无文件攻击”。

查询命令:

reg query HKCU /s /d /f "javascript" & reg query HKCU /s /d /f "powershell" & reg query HKCU /s /d /f "wmic" & reg query HKCU /s /d /f "rundll32" & reg query HKCU /s /d /f "cmd.exe" & reg query HKCU /s /d /f "cscript" & reg query HKCU /s /d /f "wscript" & reg query HKCU /s /d /f "regsvr32" & reg query HKCU /s /d /f "mshta" & reg query HKCU /s /d /f "scrobj.dll" & reg query HKCU /s /d /f "bitsadmin" & reg query HKCU /s /d /f "certutil" & reg query HKCU /s /d /f "msiexec" & reg query HKCU /s /d /f "javaw.exe"

作者在 3 台不同的 Windows 机器上（Win7 和 Win10）测试后，HKCU 值的数据中类似字符串的值为 0. 因此我们可以创建一个脚本来扫描 HKCU 注册表，并使用 EventCreate.exe 或 Write-EventLog 输出扫描到的任何内容。

本文参与腾讯云自媒体分享计划，分享自微信公众号。

原始发表：2019-05-09，如有侵权请联系 cloudcommunity@tencent.com 删除

https