Drive-by Compromise 偷渡式劫持
特征:用户访问 网站扫描浏览器版本和插件漏洞 漏洞利用 访问内网
从特征上面来看,大致意思就是主动去访问恶意网站后,在你不知情的情况下获取你的信息。
预防措施:启用浏览器的安全功能,保持更新,拦截广告,关掉脚本执行扩展功能,沙箱,虚拟化,开启系统软件漏洞防护
发现:防火墙 代理 检查URL域名或参数 直接或间接性的判断 如,多少人使用,网址注册了多少年,是否存在举报
关注浏览器进程的表现:写入可疑文件,试图隐藏进程注入的信息,其他工具的异常网络流量
APT是对敌人的一种标识符:例如APT19是一个对中国的威胁组织,由蓝方长期对抗红方以后,发现其对什么行业下手,使用什么方式等。
这些对敌人的一种标记是动态的,证据不足等造成的动态性。
APT19经常使用TCP80:TCP80端口进行C2(Command and Control)(命令与控制) 通过命令控制你,简称C2或者C&C 80通常指浏览器端口,意思就是通过网络来控制你,简称C2 大多数公司都要联网办公,这个端口就是80,利用80端口的进攻,防火墙不会拦截流量。 发现措施:流量分析
APT19经常使用Base64编码:在用C2方式控制你时,将进攻命令进行一次数据编码 发现措施:流量分析
APT19经常使用反混淆/解码文件或信息:蓝方使用流量分析来抵抗,红方则使用混淆或者加码文件信息来隐藏入侵的东西,避免检测
发现措施:检测恶意行为比检测Windows API调用要好一点,执行进程和命令行监视,多方面关联去发现。
APT19使用加载恶意DLL的合法可执行文件:在体验编写代码的时候,经常会引用,包含,加载其他函数,内和库等,DLL文件就包含了代码需要的函数等信息。程序在运行时有的依赖DLL里面的函数,合法程序暂时不想加载它,恶意程序引导合法程序去加载它,或者加载恶意的DLL文件。
发现措施:监视异常进程,跟踪DLL元数据(如散列),比较进程前后时间点加载的DLL文件。
APT19修改现有服务:Windows服务配置信息存储在注册表中。红方使用系统自带或自定义工具与windows API进行交互来修改现有服务,以在系统上保留恶意软件。
发现:了解软件,补丁对服务注册表项的更改,对比异常更改。关注二进制路径和服务启动类型的更改。关注服务实用程序的执行,服务二进制路径参数。关注更改服务二进制路径以执行cmd命令或脚本。配置日志,收集数据。
转载于:https://www.cnblogs.com/sec875/articles/11253393.html
相关资源:JAVA上百实例源码以及开源项目