Red Canary近期公布了《 2021 Threat Detection Report》，該報告涵蓋了眾多頂級網(wǎng)絡(luò)攻擊技術(shù)到MITER ATT&CK框架的映射。其中，就2020年黑客首選10大Windows網(wǎng)絡(luò)攻擊技術(shù)進行了調(diào)研。

[[397876]]

1、24%:命令行解釋器PowerShell

利用PowerShell和Windows Command Shell的攻擊對受害者影響最大。由于這些工具是Windows固有的，也被稱為離地攻擊，也就是說攻擊者不需要下載專用工具，而是使用已安裝的現(xiàn)有PowerShell就能夠?qū)阂饣顒与[藏在合法進程中。

企業(yè)需要使用工具確保捕獲日志記錄，從而監(jiān)測這一攻擊活動。此外，由于分析正常的PowerShell 和惡意PowerShell需要一定時間，最好對于經(jīng)常使用的腳本和PowerShell進程建立一個基準(zhǔn)，幫助過濾，從而發(fā)現(xiàn)可疑的cmd.exe和混淆命令。

2、19%：簽名的二進制進程執(zhí)行

排名第二的攻擊使用2種技術(shù)：Rundll32和Mshta。兩者都允許攻擊者通過受信任的簽名二進制文件創(chuàng)建惡意代碼。同樣，攻擊者使用的是離地攻擊。

對此，建議企業(yè)可以為惡意使用的Rundll32設(shè)置警報，并且同樣建立一個基線。

3、16%：創(chuàng)建和修改系統(tǒng)流程

Blue Mockingbird，這是利用Windows服務(wù)的單一威脅。主要部署加密貨幣挖掘有效載荷。當(dāng)試圖創(chuàng)建新的服務(wù)和新的進程時，建議查看日志中的事件4697、7045和4688。

4、16%：計劃任務(wù)

報告指出，攻擊者使用計劃任務(wù)來建立持久性。企業(yè)應(yīng)該檢查計劃任務(wù)是否被設(shè)置為以系統(tǒng)身份運行，因為這是最典型的攻擊配置。此外，還有核查事件ID 106和140記錄何時創(chuàng)建或更新任務(wù)。

5、7%：憑證轉(zhuǎn)儲

在諸如ProcDump和Mimikatz之類的工具的幫助下，本地安全授權(quán)子系統(tǒng)服務(wù)(LSASS)經(jīng)常被用來轉(zhuǎn)儲密碼。因此，企業(yè)在建立查找異常攻擊的基線后，建議使用Windows 10 Attack Surface Reduction設(shè)置來查找LSASS可疑訪問。

6、7%：進程注入

攻擊者往往使用多種注入方法來獲得對系統(tǒng)的更多訪問權(quán)限，目前進程注入的方式非常多樣。

7、6%：文件或信息混淆

在攻擊者希望隱藏其行動時，會使用諸如Base64編碼之類的工具隱藏其攻擊過程。企業(yè)需要監(jiān)控PowerShell.exe或Cmd.exe是否被“不尋常方式”地使用，但因為惡意活動看起來與正常的管理任務(wù)非常相似，導(dǎo)致這種攻擊可能很難審查。建議設(shè)置使用PowerShell的政策，并且只使用簽名的腳本執(zhí)行。

8、5%：工具轉(zhuǎn)移

雖然大多數(shù)攻擊是離地攻擊，但有時候攻擊者也會將工具轉(zhuǎn)移到平臺上，他們使用bitsadmin.exe轉(zhuǎn)移攻擊工具，而查看PowerShell命令行中的關(guān)鍵字和模式是找到攻擊序列的關(guān)鍵方法。

9、4%：系統(tǒng)服務(wù)

攻擊者使用Windows Service Manager運行命令或安裝服務(wù)。

10、4%：重命名偽裝

攻擊者通過重命名系統(tǒng)工具程序來繞過控件和檢測。為此，建議不是直接查找文件名而是查找進程，從而確定攻擊者是否正試圖使用此技術(shù)進行攻擊。如果可以，請使用可以比較文件哈希值的系統(tǒng)，這樣即使文件名更改，哈希值也不會偏離。

參考來源：csoonline