在企业 EDR 环境中模拟 Phineas Phisher 发起的对 Ha(2)
时间:2022-08-19 23:15 来源:网络整理 作者:采集插件 点击:次
在我们的案例中,大多数 Cobalt Strike 的开箱即用功能和工具包都没有用到,因为现在的许多检测都是多层和通用的,这意味着它们试图针对威胁的核心功能并适应不同的使用场景。我们将展示一些来自各种商业工具的 POC 检测,以支持广泛存在的 IOC 的事实,并且该框架将有很大的机会被检测,至少在一个高度先进的网络中。 因此,可能需要 TTP 的组合,包括使用其他 C2、自定义交易技巧和针对目标在主机和网络方面自定义 Cobalt Strike,例如,看起来像合法团队的流量,但要对基于 UM 和 KM 的检测保持防护,这可能会花费大量时间和精力,而其他工具可能对特定任务更有效。 在目前所有的测试中,Cobalt Strike 都需要我们进行一些奇怪操作才能使用它,通常是在基于特权攻击或产品特定漏洞发生一些篡改之后。 Havoc Havoc 是针对绝大多数终端解决方案而构建的,因此它在设计上具有一些 IOC。我们通过在开发过程中做出轻微改变,帮助开发人员将软件转换为更适合本文测试场景的条件。 网络通信通过 TCP 协议的套接字执行,该套接字具有 AES 加密内容和休眠功能,在此期间不会获取任何命令。事实证明,只要操作人员愿意使用一些基本的 op-sec 技术并修改代码库,Havoc 就能够在极其复杂的环境中运行。 自定义 Nighthawk Nighthawk 是由 MDSec 开发的高端 C2 框架,具有隐蔽性、可配置性和丰富功能。如上所述,测试需要大量的自定义工具和环境。在撰写本文时,MDSec 添加了比本文中所需使用的功能更多的功能,包括一些甚至可以绕过 ETWTi 的隐蔽注入链和微过滤回调的欺骗策略。 Nighthawk 提供了一组 op-sec 功能,其中包括基于 ROP 的系统调用取消挂钩以及后来的完整 DLL 取消挂钩,这些都是自定义的,它可以使操作员的工作更轻松,除此之外,还包括其他有用的功能,如线程堆栈欺骗,通过基于堆的加密隐藏内存,以及可避免使用几种工具。 Nighthawk 具有很强的可延展性,这意味着你可以手动控制 C2 的所有行为,而无需编写任何代码。这使我们能够根据需要在测试过程中改变植入物的行为。这意味着,其中包括自定义的进程注入方法、通用的系统调用和网络回调相关选项。 目前,Nighthawk 被证明是研究人员使用的功能最丰富、最稳定和最有效的解决方案。 Oyabun Oyabun 是研究人员新创建的工具,它是一个基于 Golang 的多平台工具包,可以有效躲避目前的很多防御。 初始访问 使用的工具集既包括较少使用和受重视的技术,也包括非常流行且与防御工具的内部机制高度适应的技术。包括 XLL、MSI、EXE 在内的几个恶意文件被用于初始访问,甚至是特权攻击包,它们使用可利用的驱动程序注入免费的杀毒软件来弱化防御,,因为这是少数几种完全避免进程内客户端的方法。带有复制导出的 DLL 在某些情况下被用于将我们的未分段有效负载劫持到合法应用程序中。 SentinelOne 展示了一种以多种不同方式禁用通用威胁的能力,包括 Cobalt Strike 和 BRC4。 SentinelOne 设计的陷阱持续欺骗所提供的 BRC4 代码的格式,包括许多不同的奇特和自定义的加载类型,如自定义的 Phantom DLL Hollowing、Shellter Pro、MacroPack 等商业工具,这让我们感到惊讶。在 Nighthawk 的案例中延展性,漏洞修复和交付格式使我们能够在网络上为防御者留下有价值的攻击环境。 Havoc 的运行环境特别苛刻,因此研究人员专门进行了特别设置。只有这样,Oyabun 的活动才能持续,但也仅限于一些有限的操作和一个可以针对非常具体格式应用的白名单。 Post-Ex 工具部署 活动工具以各种方式部署,包括反射、高度监控、PowerShell 会话和 CLR 加载,但始终在安全的上下文操作安全下,以尽可能多地涵盖信标和工具执行。研究人员成功规避了所有与 PIC 相关的缓解措施,并以各种格式运行恶意的 post-ex 工具。诚然,这些缓解措施涵盖了 90% 的尝试,并且需要大量自定义。 篡改 在实验过程中,使用可利用的驱动程序会在很多情况下都发生了篡改,但研究人员也能够通过几种技术找到完全忽略所有用户模式陷阱的方法,其中一种是 NightHawk 基于 ROP 的系统调用取消挂钩方案,另一种是研究人员发现并报告的逻辑漏洞。 横向活动攻击 横向移动包括 RDP, WMI, WinRM,一个基于 WebDAV 的内部钓鱼工具包,称为 Farmer 和 PIC 中的证书窃取工具,PIC 是必不可少的 PE-Loader Bootstrapped 到代码(如 sRDI)和可执行表单以收集凭据,当然还有使用 RDP 客户端进行 SOCKS 代理。当涉及到来自 LSASS 等进程的凭证转储时,研究人员必须避免所有常见技术,并且在执行攻击时遇到严重问题,这导致研究人员利用 SentinelOne 架构中的一个漏洞来获得这样的机会,这在现实中不太可能发生。 进程注入 (责任编辑:admin) |