Red Canary近期公布了《 2021 Threat Detection Report》，該報告涵蓋了眾多頂級網絡攻擊技術到MITER ATT&CK框架的映射。其中，就2020年黑客首選10大Windows網絡攻擊技術進行了調研。

[[397876]]

1、24%:命令行解釋器PowerShell

利用PowerShell和Windows Command Shell的攻擊對受害者影響最大。由于這些工具是Windows固有的，也被稱為離地攻擊，也就是說攻擊者不需要下載專用工具，而是使用已安裝的現有PowerShell就能夠將惡意活動隱藏在合法進程中。

企業需要使用工具確保捕獲日志記錄，從而監測這一攻擊活動。此外，由于分析正常的PowerShell 和惡意PowerShell需要一定時間，最好對于經常使用的腳本和PowerShell進程建立一個基準，幫助過濾，從而發現可疑的cmd.exe和混淆命令。

2、19%：簽名的二進制進程執行

排名第二的攻擊使用2種技術：Rundll32和Mshta。兩者都允許攻擊者通過受信任的簽名二進制文件創建惡意代碼。同樣，攻擊者使用的是離地攻擊。

對此，建議企業可以為惡意使用的Rundll32設置警報，并且同樣建立一個基線。

3、16%：創建和修改系統流程

Blue Mockingbird，這是利用Windows服務的單一威脅。主要部署加密貨幣挖掘有效載荷。當試圖創建新的服務和新的進程時，建議查看日志中的事件4697、7045和4688。

4、16%：計劃任務

報告指出，攻擊者使用計劃任務來建立持久性。企業應該檢查計劃任務是否被設置為以系統身份運行，因為這是最典型的攻擊配置。此外，還有核查事件ID 106和140記錄何時創建或更新任務。

5、7%：憑證轉儲

在諸如ProcDump和Mimikatz之類的工具的幫助下，本地安全授權子系統服務(LSASS)經常被用來轉儲密碼。因此，企業在建立查找異常攻擊的基線后，建議使用Windows 10 Attack Surface Reduction設置來查找LSASS可疑訪問。

6、7%：進程注入

攻擊者往往使用多種注入方法來獲得對系統的更多訪問權限，目前進程注入的方式非常多樣。

7、6%：文件或信息混淆

在攻擊者希望隱藏其行動時，會使用諸如Base64編碼之類的工具隱藏其攻擊過程。企業需要監控PowerShell.exe或Cmd.exe是否被“不尋常方式”地使用，但因為惡意活動看起來與正常的管理任務非常相似，導致這種攻擊可能很難審查。建議設置使用PowerShell的政策，并且只使用簽名的腳本執行。

8、5%：工具轉移

雖然大多數攻擊是離地攻擊，但有時候攻擊者也會將工具轉移到平臺上，他們使用bitsadmin.exe轉移攻擊工具，而查看PowerShell命令行中的關鍵字和模式是找到攻擊序列的關鍵方法。

9、4%：系統服務

攻擊者使用Windows Service Manager運行命令或安裝服務。

10、4%：重命名偽裝

攻擊者通過重命名系統工具程序來繞過控件和檢測。為此，建議不是直接查找文件名而是查找進程，從而確定攻擊者是否正試圖使用此技術進行攻擊。如果可以，請使用可以比較文件哈希值的系統，這樣即使文件名更改，哈希值也不會偏離。

參考來源：csoonline