猫鼠游戏 三种被滥用的逃避技能
发布时间:2022-05-26 08:41:29 所属栏目:安全 来源:互联网
导读:在对网络犯罪分子攻击手段的分析过程中,我们会不断遇到他们各式各样的伎俩,用以绕过企业的安全防御机制,这些伎俩有些是先进的,有些看起来显得过时,即使如此,在大多时候,通过对这些技术的有效应用也能帮助犯罪分子进入受害者的电脑,渗透到公司的网络
|
在对网络犯罪分子攻击手段的分析过程中,我们会不断遇到他们各式各样的伎俩,用以绕过企业的安全防御机制,这些伎俩有些是先进的,有些看起来显得“过时”,即使如此,在大多时候,通过对这些技术的有效应用也能帮助犯罪分子进入受害者的电脑,渗透到公司的网络之中。 本篇文章旨在揭示目前被各类网络犯罪分子滥用的一些技术细节,以帮助企业、安全运营商和行业减轻它们的影响。 我们分析的第一个案例中,攻击者使用了一个“已损坏”的文档来诱使用户选择“恢复原始文件”,并在系统没有提示警告的情况下下载恶意payload。在此例中,攻击者利用了漏洞CVE-2017-0199,它允许文档在打开时下载并执行任意代码,从“hxxps:// www.protectiadatator [.biz/js/Oj1/smile.doc "处外部引用远程代码并执行,如下图所示。 看到这条警告的用户在选择删除文件后就可以避免感染,但攻击者聪明地将文档中的某些字节删除了,使警告窗口的内容变得不一样,同时没有影响到攻击行为。 用户打开文档后,MS Word显示的是“文档已损坏,请确认是否恢复”,诱导用户选择恢复。 单击“是”后,MS Word会自动恢复文件内容并启动漏洞利用,这将下载并执行攻击者安插的payload。2.使用Office Developer Mode隐藏payload第二个技巧则是将payload隐藏在MS Office developer控件对象中,该组件通常对终端用户是不可见的。实际上,在大多数Office安装中,默认情况下都是禁用developer选项卡,因此识别异常对象的存在会更加困难。 (编辑:宁德站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐