有个安全问题，请教一下论坛里面各位大佬，谢谢

显示全部楼层 · 发表于 2024-5-23 11:54:07

本帖最后由 x-天秤座于 2024-5-23 12:03 编辑

昨天看了神龟大佬的帖子，关于一个无害攻击测试的，测试的攻击方式有别于传统恶意软件行为。

就想问一下各位大佬，作为一个普通用户（不懂计算机专业知识那种），平时的工作不测试软件、更不会没事主动试毒，如果在电脑里面采取以下方式：

1，用SimpleWindowsHardening或类似软件，设置限制电脑里面的Powershell策略；

2，禁止bitsadmin.exe，certutil.exe，cmd.exe，cmstp.exe，conhost.exe，cscript.exe，curl.exe，dllhost.exe，IEExec.exe，msfeedssync.exe，mshta.exe，powershell.exe，regsvr32.exe，rundll32.exe，scrcons.exe，spoolsv.exe，WMIC.exe，WmiPrvSE.exe，wscript.exe等程序联网；

3，用Hips软件：
禁止生成和运行*.ps1文件；
禁止wscript.exe、cscript.exe、mshta.exe、powershell.exe启动所有程序；
禁止资源管理器和自用类似程序启动wscript.exe、cscript.exe；
禁止certutil.exe、schtasks.exe、regsvr32.exe、rundll32.exe、WMIC.exe、WmiPrvSE.exe启动wscript.exe、cscript.exe、cmd.exe、powershell.exe；
禁止MS office和WPS、永中office等程序启动wscript.exe、cscript.exe、cmd.exe、powershell.exe、regsvr32.exe、rundll32.exe；
禁止cmd.exe, powershell.exe, rundll32.exe, scrcons.exe启动wmic.exe；
禁止cmd.exe, powershell.exe, rundll32.exe, wmic.exe启动wbadmin.exe、bcdedit.exe、vssadmin.exe；

4，再禁止启动项添加（注册表、启动目录），防止一些软件恶意添加启动在重启后执行。

那么，采取以上措施，是否能对神龟大佬那种新型的恶意应用有一定防护作用？如果不能，那又需要做些什么？
我说的是防护---应用，不是---IPS防护，例如不小心双击了一些“应用”，能防止该“应用”用这方法对电脑进行攻击。

显示全部楼层 · 发表于 2024-5-23 12:13:49

取决于是谁想攻击这个电脑，你自己不懂你只能看别人的文章去设置电脑安装别的杀毒软件，那么你也只能防御只能用别人的工具方法去攻击的人

显示全部楼层 · 发表于 2024-5-23 14:07:33

有请禁运大神@柯林
和召唤兽@vse

显示全部楼层 · 发表于 2024-5-23 14:11:55

堵不完的，比如拦截自启动注册表项跟启动目录并不能拦住木马启动，人家还能添加服务项等等来自启动，木马作者过去这些年为了绕360主防添加自启动开发了无数种方法

显示全部楼层 · 发表于 2024-5-23 14:31:02

00006666 发表于 2024-5-23 14:11
堵不完的，比如拦截自启动注册表项跟启动目录并不能拦住木马启动，人家还能添加服务项等等来自启动，木马作 ...

主要是前三个，关于无文件、漏洞和下载器、云控方面，最好一条是加了一个不大相关的。

显示全部楼层 · 发表于 2024-5-23 14:31:34

pal家族发表于 2024-5-23 14:07
有请禁运大神@柯林
和召唤兽@vse

帅哥都不懂的话，那...，难度估计很大。

显示全部楼层 · 发表于 2024-5-23 14:38:31

不影响日常使用就禁了呗，根据自己的环境打磨
另外wmic可以直接当可选功能卸载的

显示全部楼层 · 发表于 2024-5-23 14:59:50

Jirehlov1234 发表于 2024-5-23 14:38
不影响日常使用就禁了呗，根据自己的环境打磨
另外wmic可以直接当可选功能卸载的

嗯，有道理，谢谢帅哥解答。

显示全部楼层 · 发表于 2024-5-23 15:42:54

本帖最后由隔山打空气于 2024-5-23 16:00 编辑

首先，你的这些策略确实能够在一定程度上抵御基于脚本的无文件攻击（你说的龟大那种情况也是指基于脚本的无文件攻击）。
基于文档的无文件攻击相关技术我了解的不多，许多流程都是拉这些已有的LotL，这方面应该比较难突破，但要小心某些不走寻常路的（比如用OneNote笔记文件作为攻击载体的，或者某些带其他的钓鱼链接的）

不过，如果说能不能拦截所有的基于脚本的无文件攻击，答案当然是否定的。使用BYOL技术即可轻松破解123的层层设防。
BYOL，举例子来说就是攻击者自带这些被利用的程序并将其改名运行，这个时候程序本身依然有有效数字签名，能够有效突破禁止系统本身的LotL运行的策略。
当然，一些攻击者甚至会修改它们的hash，从而使得基于对比文件hash的检测变的不可靠。
请注意，样本区较早之前已经不止一次地见到使用这类技术的恶意软件。

对于4来说，在这些点设防来防止持久化也确实有用。但是同样也能被绕过。暂且不说六哥提的那些情况下使用其他持久化技术，前一段时间的FakeAPP直接申请管理员权限安装，并将黑模块一并投入到合法程序的安装路径中，如果它按正常流程写注册表上自启动，你又如何区分合法和恶意程序？

总的来说，有用，但都有突破的可能性

显示全部楼层 · 发表于 2024-5-23 15:47:53

本帖最后由 00006666 于 2024-5-23 15:49 编辑

隔山打空气发表于 2024-5-23 15:42
首先，你的这些策略确实能够在一定程度上抵御基于脚本的无文件攻击（你说的龟大那种情况也是指基于脚本的无 ...

要是靠禁运系统白程序就能拦住木马，杀软也就没必要开发NTDLL hook之类的技术了，直接挂几个回调就能解决问题。现实中肯定是不可能实现的。

[求助] 有个安全问题，请教一下论坛里面各位大佬，谢谢

评分

评分

评分