最近发生的一起事件揭露了威胁行为者如何通过在其自己的攻击基础设施上安装流行的端点检测和响应 (EDR) 代理无意中暴露了其整个操作工作流程。
这一场景发生于对手在评估各种安全平台时触发警报,导致 Huntress 分析师调查异常的遥测数据。
对系统活动和浏览器历史记录的初步观察暗示了复杂的侦察工作,促使研究人员更深入地研究EDR 系统收集的信息。
在部署后的几个小时内,代理记录了一系列表明恶意意图的互动。
Huntress 分析师指出,该唯一机器标识符曾出现在之前的入侵调查中,因此立即将该主机标记为敌对主机。
随后对身份验证日志和遥测数据进行关联,揭示了凭证盗窃、会话令牌刷新和自动工具执行的模式。
研究人员发现了访问轮换会话令牌的尝试,并发现了通过定制脚本精心策划的自动网络钓鱼活动的证据。
这次意外安装的影响不容小觑。防御者首次能够细致地洞察实时威胁操作员的日常工作,从侦察到主动攻击。
威胁行为者的一天通常从被动的外部扫描开始,然后转变为对已识别组织的有针对性的利用。
详细的浏览器历史记录条目显示,广泛使用公共和基于订阅的服务进行侦察,以及部署住宅代理服务以匿名流量和逃避检测。
在三个月的时间里,EDR 遥测捕捉到了攻击者工作流程的明显演变。
早期活动主要集中于研究银行机构和第三方供应商,而后期则揭示了采用自动化工作流程来生成网络钓鱼消息。
Huntress 研究人员发现,攻击者逐渐转向使用更具程序化的工具,并编写重复性任务脚本来提高操作效率。
感染机制和持久策略
深入研究感染机制可以揭示威胁行为者如何获得初始访问权限并在目标环境中站稳脚跟。
攻击者使用一个简单的 Python 脚本,从Telegram Desktop Cookie 文件中提取会话 Cookie 。该脚本通过以下方式执行:
from roadtx import PrtAuth
auth = PrtAuth(token_file="victim_cookie.json")
session = auth.acquire()
print(session)这揭示了攻击者如何自动提取 Microsoft Entra 和 Office 365 服务的主要刷新令牌。
一旦获得有效令牌,它们就会被用来验证受害者账户,而不会触发多因素身份验证或提醒端点防御。
通过部署定期更新会话令牌和执行侦察脚本的计划任务来实现持久性。这些任务以不显眼的名称注册在 Windows 任务计划程序中,以便与合法进程混合。
Huntress 分析师识别了这些条目,并观察到与攻击者控制的 C2 服务器的定期出站连接,从而证实了持续的控制。
这种对现实世界威胁行为者行为的罕见洞察,为防御者提供了宝贵的洞见。通过剖析感染和持久化技术,安全团队可以制定有针对性的检测规则,并强化身份验证工作流程,以抵御类似的基于令牌的攻击。
遥测驱动分析与手动工件审查之间的协作强调了全面的 EDR 解决方案在现代安全操作中的重要性。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
