长期以来,网络犯罪分子一直使用合法的程序和操作系统组件来攻击微软 Windows用户,这种策略被称为“离地攻击”(Living off the Land, 简称 LOtL) 。在实际操作过程中,网络犯罪分子试图一“石”数鸟,减少开发恶意软件工具包的成本,最大程度减少他们的操作系统足迹,并将他们的活动伪装成合法的 IT活动 。
换句话说,网络犯罪分子的主要目的是使增加恶意活动检测困难 。出于这个原因,安全专家长期以来一直监测潜在的不安全可执行文件、脚本和库的活动,甚至包括维护GitHub的 LOLBAS项目中的某种注册表 。
卡巴斯基管理检测和响应(Managed Detection and Response ,简称 MDR)的同事,为众多业务领域的公司保驾护航,该方法在实际的攻击中常有应用 。在《管理检测和响应分析师报告》中,相关同事研究了最通常用于攻击现代企业的系统组件 。以下是研究结果:
第一名是 Powershell
PowerShell是具有命令行界面的软件引擎和脚本语言,虽然微软努力使这个工具更加安全可控,但它仍然是迄今为止网络犯罪分子群体中最为常见的合法工具 。在我们的管理检测和响应服务识别的事件中,有 3.3%涉及试图利用PowerShell 。此外,如果将调查范围限制在关键事件上,我们发现 PowerShell参与了五分之一的事件(准确说,是 20.3%) 。
第二名是 rundll32.exe
排在第二位的是 rundll32主机进程,它是用于运行动态链接库(dynamic-link libraries,简称 DLLs)的代码 。rundll32参与了 2%全部事件,以及 5.1%的关键事件 。
第三名是几种实用程序
我们发现有五种程序工具在所有安全事件中占 1.9% 。
te.exe:测试编写和执行框架的一部分内容 。PsExec.exe:用于在远程系统上运行进程的工具 。CertUtil.exe:处理来自认证机构信息的工具 。Reg.exe:微软注册表控制台工具,用于从命令行改变和添加系统注册表中的项 。Reg.exe:微软注册表控制台工具,用于从命令行改变和添加系统注册表中的项 。这五个可执行文件在 7.2%的关键事件中使用 。
卡巴斯基管理检测和响应服务专家还观察到 msiexec.exe、remote.exe、atbrocker.exe、cscript.exe、netsh.exe、schtasks.exe、excel.exe、print.exe、mshta.exe、msbuild.exe、powerpnt.exe、dllhost.exe、regsvr32.exe、winword.exe和 shell32.exe等均有应用 。
【dllhost.exe是什么程序 dllhost.exe是什么进程】《管理检测和响应分析师报告》的更多结果,详见此处 。???
推荐阅读
- 高铁能带多少行李
- 公认最好看的穿越小说有哪些 公认最好看的穿越原始小说
- 迷你世界小狗吃什么
- 旗人是现在的哪里人
- 白开水画画的歇后语是什么 白开水画画的歇后语是什么意思
- 丰城九中是省重点吗
- 手机如何查看默认网关地址 手机如何查看wifi的默认网关
- 车辆超速多少要扣分
- 红烧鱼的做法图解 红烧鱼家常做法图解