本文講的是看「falcon」如何阻止指令碼及無檔案攻擊,
介紹
基於檔案和指令碼的攻擊正在增加,這種攻擊增長歸功於其躲避能力。在由pentestlab.blog撰寫的文章中,作者說明了乙個廣泛使用的工具中的簡單指令碼可以繞過安全措施。在本文中,我們將使用多種檢測功能來說明falcon,以防止基於指令碼的攻擊。
條件
對於本文,我們已經複製了部落格中使用的指令碼。然後我們將嘗試在受falcon保護的主機上執行該指令碼。為此,我使用了更新版本的kali linux和執行windows 7的主機。
步驟1:生成證書
生成的指令碼是乙個編碼的powershell命令,用於建立從目標返回到攻擊者的加密連線。此加密防止hips系統檢查資料報。
以下步驟直接來自pentestlab.blog發布的部落格
要生成加密通道的證書,我使用了metasploit模組,impersonate_ssl並選擇乙個常見的域來模擬。一旦完成,驗證生成的檔案是否在桌面上。
步驟2:配置***
這個步驟與原始文章的順序不一樣,但是也完成了目標。一旦執行了payload(我將在下一步建立有效載荷),將建立受害者和攻擊者之間的加密會話。如此一來,便可以防止hips檢查,以及它可能提供的任何保護。
步驟3:生成pload
metasploit msfvenom用於生成payload。在這種情況下,payload是加密的powershell指令碼。該payload利用在步驟1中生成的證書。
how falcon如何保護指令碼攻擊?
how falcon平台是具有多種功能的單一**。在這種情況下,我將使用falcon prevent功能來識別這個威脅正在實現什麼。
在下面的警報中,我們看到乙個流程樹,以清楚地了解這個攻擊的工作原理以及它正在嘗試的內容。我們可以看到explorer.exe啟動命令提示符,在該命令提示符下,我們看到命令列開啟在metasploit中建立的批處理指令碼。
看看接下來的兩個步驟,我們看到新的命令提示符呼叫powershell,然後執行編碼命令。隨後的powershell程序是相同的編碼程序執行。
最後乙個過程是嘗試執行編碼指令碼。在這種情況下,有3種單獨的行為是可疑的,雖然falcon只需要乙個可以防止的行為。綠色文字表示可疑過程已被識別並被阻止。下一步falcon認識到在powershell中有乙個編碼命令,這是可疑的。最後,metasploit的計量器的存在被識別並被載入到乙個過程中。
在右側,在詳細資訊窗格中,我們將獲得有關指令碼嘗試完成的更多資訊。網路操作部分標識攻擊者伺服器,並且該通訊已通過埠443.在「磁碟操作」中,讀取並寫入磁碟的所有dll和檔案的列表可供進一步調查。
結論
基於指令碼和其他無檔案攻擊正在上公升,因為它們可以避免新舊檢測功能的檢測。crowdstrike利用許多態別的檢測方法來識別和阻止當今使用的各種攻擊向量。
原文發布時間為:2023年8月15日
ssh無密碼登入 及集群分發指令碼
ssh無密碼登入 配置基本語法 ssh 另一台電腦 無金鑰配置 免密碼登入原理 生成公鑰和私鑰 ssh keygen t rsa 然後敲回車 就會生成兩個檔案id rsa 私鑰 id rsa pub 公鑰 將公鑰拷貝到要免密登入的目標機器上 lan hadoop100 ssh ssh copy id...
ssh無密碼登入 及集群分發指令碼
ssh無密碼登入 配置基本語法 ssh 另一台電腦 無金鑰配置 免密碼登入原理 生成公鑰和私鑰 ssh keygen t rsa 然後敲回車 就會生成兩個檔案id rsa 私鑰 id rsa pub 公鑰 將公鑰拷貝到要免密登入的目標機器上 lan hadoop100 ssh ssh copy id...
如何做映象機器及無密登入
1 關閉當前機器 shutdown now2 複製機器 右鍵複製 完全複製 當前虛擬電腦狀態 僅包含nat網絡卡的mac位址 3 重新整理mac位址 4 啟動新機器 5 改機器名 hostnamectl set hostname vi etc hosts 設定兩台機器ip 如 192.168.56....