通过可移动媒体进行复制
攻击者可以通过将恶意软件复制到可移动的媒体上,利用媒体插入系统并执行的自动运行特性,转移到系统,这些系统大概在未连通或气隙网络上。在横向移动 (Lateral Movement) 中,可以修改可移动媒体中的可执行文件,或者复制恶意软件并将其重命名,使其看起来像合法文件,从而诱使用户在独立的系统上执行它。对于初始访问(Initial Access),可以通过手动操作媒体、修改用于初始格式化媒体的系统或修改媒体本身的固件来实现。
缓解
如果不需要,禁用 Autorun。
如果业务操作不需要可移动媒体, 在组织策略级别上禁用或限制可移动媒体。
识别可能被用来感染可移动媒体或可能由受污染的可移动媒体导致的潜在恶意软件,并在适当的情况下使用白名单 工具(如 AppLocker、 或软件限制策略 ) 审计和/或拦截它。
检测
监控可移动媒体上的文件访问。
检测在可移动媒体被挂载或由用户启动后执行的进程。
如果以这种方式使用远程访问工具来横向移动,那么在执行之后可能会发生其他操作,例如打开用于命令与控制的网络连接以及披露系统和网络信息。
- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论