Anna艳娜
2
CISO
高级信息系统项目管理师
PMP
官方采纳
Anna艳娜2
CISO
高级信息系统项目管理师
PMP
1:使用“未报价的服务路径”误导分析人员
如果要将后门部署为新服务,请利用“未报价的服务路径”来混淆检测系统和SOC。
服务路径:C:\ Program Files \ decoymalware.exe
实际恶意软件:C:\ Program.exe
您可以使用decoymalware.exe作为欺骗安全操作员的方法。也许将合法且经过签名的二进制文件放在此处,因此当发现您的新服务并将二进制文件上传到VT时,它看起来完全是无辜的,并且该警报可能会被误认为是误报。
或者,如果有可能对此进行进一步调查,则可以放置完全不相关的恶意软件来误导。也许是一个知名的加密矿工?这是恶意的,但并不是那么重要,因此有关后门的警报将很快被“解决”。
2:使用远程驱动器映射来窃取NTLM hashes
在几次调查中,我遇到了指向远程smb路径的LNK文件。他们的目的是迫使客户端向攻击者的smb服务器进行身份验证。因此,攻击者可以窃取受害者的NTLM哈希。我发现RDM的这种创新用法。
3:DNS中毒并注入Google Analytics JS
现在考虑普通用户的浏览活动。他将访问的网页中可能有一半以上是从Google Analytics(分析)请求JS文件。因此,如果您可以某种方式(通过DNS中毒,MITM或其他方式)将这些请求重定向到您自己的Web服务器并替换这些JS文件,那么您将拥有完美的C2系统来处理您的恶意软件!您的恶意软件甚至不必发送单个TCP数据包。受害者的浏览活动将成为您消息的载体,并且访问频率将足够高!
安全小白成长记
2
信息安全等级高级测评师
CISP-PTE
安全小白成长记2
信息安全等级高级测评师
CISP-PTE
实际上,所有这些都围绕业务目标,业务的成熟度以及他们要回答的问题类型,是否为:
基础设施安全吗?
公司合规吗?
如果他们同意测试,可以进行做测试!整个公司/组织是否可以安全地防御攻击者。
推荐文章
