战术目标
战术主要是利用各种技术,在目标网络中获得最初的立足点,并确保后续能够通过立足点持续访问目标网络。
水坑攻击 Drive-by Compromise
Drive-by Compromise通常不是直接对目标系统发起攻击,而是通过对用户访问的网站的控制,对网站注入恶意代码,当目标系统的用户访问网站加载运行恶意代码后,获取目标系统的访问或获取系统上的应用访问令牌,如OAuth令牌。典型的有跨站脚本攻击(XSS)。通过水坑攻击,控制内网用户系统,获得最初的立足点。
官方给出的典型Drive-by compromise攻击过程:
1) 目标用户访问攻击者控制的网站应用。
2) 网站应用中的恶意脚本自动执行,搜索目标系统浏览器及插件的版本匹配的漏洞。
(该过程中,可能需要用户启用脚本或启用网站组件,并忽略告警信息。)
3) 确定漏洞后,传递恶意代码至浏览器。
4)执行成功后,攻击者便能够在目标系统上执行命令。
(该过程中,可能会触发目标系统上的防护措施,如杀毒软件。)
与利用互联网应用(Exploit Public-Facing Application)不同,水坑攻击通常能够使攻击者直接切入到企业内网,而不是DMZ区。
缓解措施:
1)M1048:应用程序隔离和沙盒,将恶意代码的运行限制在沙盒中。利用虚拟化或微隔离措施进行防御。
2)M1050:漏洞利用防护,安装防护软件,监控可能发生的漏洞利用过程。如Windows Defender Exploit Guard。现在的杀毒软件应该都具备。
3)M1021:限制网站内容,如安装广告拦截插件,阻止广告中可能带有的恶意代码,阻止利用过程中JavaScript的执行。
4)M1051:更新软件版本,保持浏览器软件的版本为最新,并启用浏览器的安全防护功能。
检测措施:
1)DS0015:应用日志,通过防火墙等能够检查URL的设备日志,结合威胁情报等,分析请求的资源是否是恶意域名。
2)DS0022:文件监控,监控用户在访问网站时创建的文件,关注