Inside Microsoft Threat Protection:DDoS防御用于发觉和停止横向挪移的攻击模型-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > Inside Microsoft Threat Protection:DDoS防御用于发觉和停止横向挪移的攻击模型

Inside Microsoft Threat Protection:DDoS防御用于发觉和停止横向挪移的攻击模型

小墨安全管家 2020-10-12 08:40 CC防护 89 ℃
DDoS防御

攻击者下载并使用Hydra经过SMB和SSH对目标举行暴力破解,此外,他们还使用经过Mimikatz的凭据转储窃取的凭证,经过远程桌面登录到其他多台服务器上。在他们可以访咨询的所有其他计算机上,攻击者要紧执行相同的活动,转储凭证和搜索有价值的信息。

Inside Microsoft Threat Protection:DDoS谨防用于发明和停止横向移动的攻击模型

我们之前描述的PARINACOTA攻击是一场由人操作的勒索活动,涉及6台新登录的服务器。Microsoft威胁防护将以下事件自动关联到一具显示端到端攻击链的事件中:

这种想法结合了业界率先的光学、专业知识和数据科学,从而可以自动发觉当今环境中的一些最严峻的威胁。

在被攻击之后,攻击者在要攻击的服务器上删除了多个可疑文件,并开始横向挪移到多个其他服务器,并部署勒索软件的有效载荷。那个攻击链引发了16个不同的警告,表明Microsoft Threat Protection(采纳概率推理想法)与同一事件相关,表明勒索软件的传播,如图7所示。

指定统计模型以检测横向运动编码行为

在一具示例中,如图8所示,我们看到了经过SMB从一具未监控计算机横向挪移到一具监控计算机。接着,该计算机建立了命令和操纵(C2)的连接,建立持久性,并从该计算机收集各种信息。随后,相同的未监控计算机建立了到第二个被监控计算机的SMB连接。此刻,攻击者所采取的唯一行动算是从该计算机收集信息。

今年3月,微软的研究人员对一具利用此想法的恶意组织举行了18个月的跟踪调查,该组织被称为Parinacota,要紧部署Wadhrama勒索软件。随着时刻的推移,如今Parinacota平均每周攻击3~4个企业或机构,将受感染的机器用于各种目的,包括加密货币挖掘、发送垃圾邮件或代理其他攻击。

识别横向运动

将此逻辑流链接在一具图中,能够发觉攻击遍历网络时的攻击。例如,图5显示了怎么将警报用作节点,将DCOM流量(TCP端口135)用作边缘,以识别跨计算机的横向挪移。接着,能够将这些计算机上的警报合并在一起,形成单个事件。在图中可视化这些边缘和节点,能够显示一台受损的计算机怎么使攻击者横向挪移到另外三台计算机的,接着攻击将其中一台计算机用于进一步的横向挪移。

2.形成数据的自动化复合咨询题,以识别整个数据生态系统遭受攻击的证据;


DDoS防御

当前位置:主页 > CC防护 > Inside Microsoft Threat Protection:DDoS防御用于发觉和停止横向挪移的攻击模型

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119