安全廠商FireEye表示在2017年觀察到一些列有針對性的攻擊者，使用命令行逃避和混淆技術的情況顯著增加。如FIN8使用環境變量與powershell匹配并從標準輸入接收命令，以避免基于進程命令行參數的檢測；APT32使用regsvr32.exe旁路遠程執行后門和腳本等。

　　在整個2017年，我們觀察到一系列有針對性的攻擊者使用命令行逃避和混淆的情況顯著增加。網絡間諜團體和金融威脅演員繼續采用最新的前沿應用白名單旁路技術，并將其引入到網絡釣魚誘騙中的創新混淆。這些技術通常會繞過靜態和動態分析方法，并強調為什么基于簽名的檢測將始終是創造性攻擊者的至少一步。

　　2017年初，FIN8開始使用環境變量，配置PowerShell通過StdIn（標準輸入）接收命令的能力，以避免基于進程命令行參數的檢測。在2017年2月的網絡釣魚文檔“COMPLAINT Homer Glynn.doc”（MD5：cc89ddac1afe69069eb18bac58c6a9e4）中，該文件包含一個宏，用于在一個環境變量（_MICROSOFT_UPDATE_CATALOG）中設置PowerShell命令，然后在另一個環境變量（MICROSOFT_UPDATE_SERVICE）中輸入字符串“powershell” ）。當PowerShell命令以短劃線結束時，PowerShell將執行通過StdIn接收到的命令，只有這個破折號將出現在powershell.exe的命令行參數中。圖1提供了使用Mandiant顧問Nick Carr的FIN8宏解碼器提取的命令。

　　為避免基于父子進程關系的許多檢測，FIN8制作了此宏以使用WMI來生成cmd.exe執行。因此，WinWord.exe不會創建一個子進程，但進程樹看起來像：wmiprvse.exe> cmd.exe> powershell.exe。FIN8經常使用混淆和WMI來遠程啟動他們的PUNCHTRACK POS刮擦惡意軟件，2017年的活動是在早期的妥協階段實施這些逃避技術。

　　隨著新應用程序白名單旁路技術的出現，有針對性的攻擊者已經將這些攻擊者迅速采用了多種混亂模式，以保持領先于許多防御者。許多團體利用regsvr32.exe應用程序白名單繞行，其中包括APT19在2017年針對律師事務所的運動。網絡間諜組APT32嚴重模糊了他們的后門和腳本，而Mandiant顧問則觀察到APT32在2017年4月實施了額外的命令參數混淆。而不是使用參數/ i：http進行regsvr32.exe旁路，APT32使用cmd.exe模糊技術試圖破壞這個論點的基于簽名的檢測。在FireEye，我們看到它們在它們的誘餌中包括/ i：^ h ^ t ^ t ^ p和/ i：h“t”t“p。圖2顯示了在我們的APT32活動的Mandiant事件響應活動之一中，我們的主機調查平臺（HIP）的捕獲實時攻擊者活動的截圖。

　　同時，2017年，FIN7繼續對餐廳，酒店和金融服務行業造成嚴重破壞。為了確保其武器庫存不變，2017年4月，FIN7轉向使用wscript.exe運行JavaScript有效載荷，以檢索額外的有效載荷在網絡釣魚文檔中使用Word.Application COM對象。

　　本周，FireEye確定了FIN7在JavaScript和cmd.exe級別上引入了額外的混淆技術。這些方法依靠FIN7在其DOCX和RTF釣魚文檔中隱藏快捷方式文件（LNK文件）的首選方法來啟動感染。在這個博客的時候，實現這種技術的文件被0個防病毒引擎檢測到。對于JavaScript而言，FIN7不是為COM對象實例化指定“Word.Application”，而是將字符串連接到“Wor”+“d.Application”。此外，JavaScript的可疑“eval”字符串已轉換為“this [String.fromCharCode（101）+'va'+'l']”。最后，他們使用cmd.exe支持的一些鮮為人知的字符替換功能。wscript.exe命令在進程級環境變量“x”中設置，但使用“@”字符進行模糊處理。當“x”變量在腳本末尾被回顯時，“@”字符將被語法“％x：@ =％”刪除。圖3顯示了從嵌入在新的FIN7網絡釣魚文檔中的LNK文件中提取的該命令。

　　在這個例子中，FIN7通過StdIn實現FIN8的命令傳遞-這次將它傳遞給cmd.exe而不是powershell.exe -但是逃避效果是一樣的。雖然此示例將在第一個cmd.exe的命令執行中公開這些參數，但如果此環境變量在LNK或宏中設置，并通過VBA通過StdIn推送到cmd.exe，則在命令行中將不會顯示任何內容。

　　FireEye iSIGHT Intelligence MySIGHT Portal包含有關這些攻擊者的詳細信息，以及我們跟蹤的所有財務和網絡間諜小組，包括對惡意軟件的分析，戰術和進一步的智能歸屬。

　　我們完全期望有針對性的攻擊者繼續采用新的旁路技術，并在宏觀和命令行級別增加創新的混淆模式。至于我們接下來可能會看到的，我們建議您閱讀DOS命令行技巧，以便監控網絡不是第一次看到新的攻擊者技巧。網絡維護者必須了解什么是混淆可能，評估其端點和網絡可見性，最重要的是不要依靠單一方法來檢測這些攻擊?！　?/p> 1024你懂的国产日韩欧美_亚洲欧美色一区二区三区_久久五月丁香合缴情网_99爱之精品网站

責任編輯：韓希宇