具有搜索类型的数据源:攻击场景示例
Posted: Sat Feb 22, 2025 6:37 am
许多不同的威胁团体和对手利用 恶意 PowerShell 命令。
使用此强大的 Windows 脚本环境(可在本地和远程计算机上执行命令),具有提升权限的攻击者可以在执行探索性、命令和控制 (C2) 以及恶意文件执行活动时长时间不被发现。攻击者通常利用 PowerShell 在环境中保持持久性,而无需安装恶意软件。搜寻基于 PowerShell 的攻击所需的数据源包括 DLL 监控、文件监控、PowerShell 日志、进程命令行参数、进程监控和 Windows 事件日志。
在另一个说明性示例中,猎人可能会 喀麦隆电话号码数据 寻找攻击者利用 微软的组件对象模型(COM) – 一组使 Microsoft Office 产品能够无缝交互的标准 – 执行恶意代码,操纵当前用户注册表中的软件类,并通过这些活动在不被注意的情况下保持持久性。
如果您正在寻找此技术已被采用的证据,则您应该在数据源中包括 DLL 监控、已加载的 DLL、进程命令行参数、进程监控和 Windows 注册表监控。
第三个例子:为了找到有价值的数据或其他感兴趣的资源,攻击者通常会进行发现和探索过程,通过网络了解地形。
在这样做时,攻击者经常尝试使用允许他们向远程系统进行身份验证或在远程主机上执行命令的工具。 Windows 管理规范 (WMI) 经常被试图远程访问 Windows 系统组件的攻击者用于此目的。可以向您的搜索团队揭示此攻击技术的数据源包括身份验证日志、Netflow 数据、进程命令行参数和进程监控。
使用此强大的 Windows 脚本环境(可在本地和远程计算机上执行命令),具有提升权限的攻击者可以在执行探索性、命令和控制 (C2) 以及恶意文件执行活动时长时间不被发现。攻击者通常利用 PowerShell 在环境中保持持久性,而无需安装恶意软件。搜寻基于 PowerShell 的攻击所需的数据源包括 DLL 监控、文件监控、PowerShell 日志、进程命令行参数、进程监控和 Windows 事件日志。
在另一个说明性示例中,猎人可能会 喀麦隆电话号码数据 寻找攻击者利用 微软的组件对象模型(COM) – 一组使 Microsoft Office 产品能够无缝交互的标准 – 执行恶意代码,操纵当前用户注册表中的软件类,并通过这些活动在不被注意的情况下保持持久性。
如果您正在寻找此技术已被采用的证据,则您应该在数据源中包括 DLL 监控、已加载的 DLL、进程命令行参数、进程监控和 Windows 注册表监控。
第三个例子:为了找到有价值的数据或其他感兴趣的资源,攻击者通常会进行发现和探索过程,通过网络了解地形。
在这样做时,攻击者经常尝试使用允许他们向远程系统进行身份验证或在远程主机上执行命令的工具。 Windows 管理规范 (WMI) 经常被试图远程访问 Windows 系统组件的攻击者用于此目的。可以向您的搜索团队揭示此攻击技术的数据源包括身份验证日志、Netflow 数据、进程命令行参数和进程监控。