查看: 15840|回复: 27
收起左侧

[求助] 有个安全问题,请教一下论坛里面各位大佬,谢谢

[复制链接]
x-天秤座
发表于 2024-5-23 11:54:07 | 显示全部楼层 |阅读模式
本帖最后由 x-天秤座 于 2024-5-23 12:03 编辑

昨天看了神龟大佬的帖子,关于一个无害攻击测试的,测试的攻击方式有别于传统恶意软件行为。

就想问一下各位大佬,作为一个普通用户(不懂计算机专业知识那种),平时的工作不测试软件、更不会没事主动试毒,如果在电脑里面采取以下方式:

1,用SimpleWindowsHardening或类似软件,设置限制电脑里面的Powershell策略;

2,禁止bitsadmin.exe,certutil.exe,cmd.exe,cmstp.exe,conhost.exe,cscript.exe,curl.exe,dllhost.exe,IEExec.exe,msfeedssync.exe,mshta.exe,powershell.exe,regsvr32.exe,rundll32.exe,scrcons.exe,spoolsv.exe,WMIC.exe,WmiPrvSE.exe,wscript.exe等程序联网;

3,用Hips软件:
禁止生成和运行*.ps1文件;
禁止wscript.exe、cscript.exe、mshta.exe、powershell.exe启动所有程序;
禁止资源管理器和自用类似程序启动wscript.exe、cscript.exe;
禁止certutil.exe、schtasks.exe、regsvr32.exe、rundll32.exe、WMIC.exe、WmiPrvSE.exe启动wscript.exe、cscript.exe、cmd.exe、powershell.exe;
禁止MS office和WPS、永中office等程序启动wscript.exe、cscript.exe、cmd.exe、powershell.exe、regsvr32.exe、rundll32.exe;
禁止cmd.exe, powershell.exe, rundll32.exe, scrcons.exe启动wmic.exe;
禁止cmd.exe, powershell.exe, rundll32.exe, wmic.exe启动wbadmin.exe、bcdedit.exe、vssadmin.exe;

4,再禁止启动项添加(注册表、启动目录),防止一些软件恶意添加启动在重启后执行。

那么,采取以上措施,是否能对神龟大佬那种新型的恶意应用有一定防护作用?如果不能,那又需要做些什么?
我说的是防护---应用,不是---IPS防护,例如不小心双击了一些“应用”,能防止该“应用”用这方法对电脑进行攻击。

评分

参与人数 1人气 +1 收起 理由
胖墩蚂蚁 + 1 “SGDL”

查看全部评分

Xopii
发表于 2024-5-23 12:13:49 | 显示全部楼层
取决于是谁想攻击这个电脑,你自己不懂 你只能看别人的文章去设置电脑 安装别的杀毒软件,那么你也只能防御只能用别人的工具 方法去攻击的人
pal家族
发表于 2024-5-23 14:07:33 | 显示全部楼层
有请禁运大神@柯林
和召唤兽@vse
00006666
发表于 2024-5-23 14:11:55 | 显示全部楼层
堵不完的,比如拦截自启动注册表项跟启动目录并不能拦住木马启动,人家还能添加服务项等等来自启动,木马作者过去这些年为了绕360主防添加自启动开发了无数种方法
x-天秤座
 楼主| 发表于 2024-5-23 14:31:02 | 显示全部楼层
00006666 发表于 2024-5-23 14:11
堵不完的,比如拦截自启动注册表项跟启动目录并不能拦住木马启动,人家还能添加服务项等等来自启动,木马作 ...

主要是前三个,关于无文件、漏洞和下载器、云控方面,最好一条是加了一个不大相关的。
x-天秤座
 楼主| 发表于 2024-5-23 14:31:34 | 显示全部楼层
pal家族 发表于 2024-5-23 14:07
有请禁运大神@柯林
和召唤兽@vse

帅哥都不懂的话,那...,难度估计很大。
Jirehlov1234
发表于 2024-5-23 14:38:31 | 显示全部楼层
不影响日常使用就禁了呗,根据自己的环境打磨
另外wmic可以直接当可选功能卸载的
x-天秤座
 楼主| 发表于 2024-5-23 14:59:50 | 显示全部楼层
Jirehlov1234 发表于 2024-5-23 14:38
不影响日常使用就禁了呗,根据自己的环境打磨
另外wmic可以直接当可选功能卸载的

嗯,有道理,谢谢帅哥解答。
隔山打空气
发表于 2024-5-23 15:42:54 | 显示全部楼层
本帖最后由 隔山打空气 于 2024-5-23 16:00 编辑

首先,你的这些策略确实能够在一定程度上抵御基于脚本的无文件攻击(你说的龟大那种情况也是指基于脚本的无文件攻击)。
基于文档的无文件攻击相关技术我了解的不多,许多流程都是拉这些已有的LotL,这方面应该比较难突破,但要小心某些不走寻常路的(比如用OneNote笔记文件作为攻击载体的,或者某些带其他的钓鱼链接的)

不过,如果说能不能拦截所有的基于脚本的无文件攻击,答案当然是否定的。使用BYOL技术即可轻松破解123的层层设防。
BYOL,举例子来说就是攻击者自带这些被利用的程序并将其改名运行,这个时候程序本身依然有有效数字签名,能够有效突破禁止系统本身的LotL运行的策略。
当然,一些攻击者甚至会修改它们的hash,从而使得基于对比文件hash的检测变的不可靠。
请注意,样本区较早之前已经不止一次地见到使用这类技术的恶意软件。

对于4来说,在这些点设防来防止持久化也确实有用。但是同样也能被绕过。暂且不说六哥提的那些情况下使用其他持久化技术,前一段时间的FakeAPP直接申请管理员权限安装,并将黑模块一并投入到合法程序的安装路径中,如果它按正常流程写注册表上自启动,你又如何区分合法和恶意程序?

总的来说,有用,但都有突破的可能性

评分

参与人数 2人气 +3 收起 理由
danger + 2 感谢解答: )
x-天秤座 + 1 感谢解答: )

查看全部评分

00006666
发表于 2024-5-23 15:47:53 | 显示全部楼层
本帖最后由 00006666 于 2024-5-23 15:49 编辑
隔山打空气 发表于 2024-5-23 15:42
首先,你的这些策略确实能够在一定程度上抵御基于脚本的无文件攻击(你说的龟大那种情况也是指基于脚本的无 ...

要是靠禁运系统白程序就能拦住木马,杀软也就没必要开发NTDLL hook之类的技术了,直接挂几个回调就能解决问题。现实中肯定是不可能实现的。

评分

参与人数 1人气 +3 收起 理由
隔山打空气 + 3 确实

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-21 22:34 , Processed in 0.136311 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表