看「Falcon」如何阻止指令碼及無檔案攻擊

本文講的是看「falcon」如何阻止指令碼及無檔案攻擊，

介紹

基於檔案和指令碼的攻擊正在增加，這種攻擊增長歸功於其躲避能力。在由pentestlab.blog撰寫的文章中，作者說明了乙個廣泛使用的工具中的簡單指令碼可以繞過安全措施。在本文中，我們將使用多種檢測功能來說明falcon，以防止基於指令碼的攻擊。

條件

對於本文，我們已經複製了部落格中使用的指令碼。然後我們將嘗試在受falcon保護的主機上執行該指令碼。為此，我使用了更新版本的kali linux和執行windows 7的主機。

步驟1：生成證書

生成的指令碼是乙個編碼的powershell命令，用於建立從目標返回到攻擊者的加密連線。此加密防止hips系統檢查資料報。

以下步驟直接來自pentestlab.blog發布的部落格

要生成加密通道的證書，我使用了metasploit模組，impersonate_ssl並選擇乙個常見的域來模擬。一旦完成，驗證生成的檔案是否在桌面上。

步驟2：配置***

這個步驟與原始文章的順序不一樣，但是也完成了目標。一旦執行了payload（我將在下一步建立有效載荷），將建立受害者和攻擊者之間的加密會話。如此一來，便可以防止hips檢查，以及它可能提供的任何保護。

步驟3：生成pload

metasploit msfvenom用於生成payload。在這種情況下，payload是加密的powershell指令碼。該payload利用在步驟1中生成的證書。

how falcon如何保護指令碼攻擊？

how falcon平台是具有多種功能的單一**。在這種情況下，我將使用falcon prevent功能來識別這個威脅正在實現什麼。

在下面的警報中，我們看到乙個流程樹，以清楚地了解這個攻擊的工作原理以及它正在嘗試的內容。我們可以看到explorer.exe啟動命令提示符，在該命令提示符下，我們看到命令列開啟在metasploit中建立的批處理指令碼。

看看接下來的兩個步驟，我們看到新的命令提示符呼叫powershell，然後執行編碼命令。隨後的powershell程序是相同的編碼程序執行。

最後乙個過程是嘗試執行編碼指令碼。在這種情況下，有3種單獨的行為是可疑的，雖然falcon只需要乙個可以防止的行為。綠色文字表示可疑過程已被識別並被阻止。下一步falcon認識到在powershell中有乙個編碼命令，這是可疑的。最後，metasploit的計量器的存在被識別並被載入到乙個過程中。

在右側，在詳細資訊窗格中，我們將獲得有關指令碼嘗試完成的更多資訊。網路操作部分標識攻擊者伺服器，並且該通訊已通過埠443.在「磁碟操作」中，讀取並寫入磁碟的所有dll和檔案的列表可供進一步調查。

結論

基於指令碼和其他無檔案攻擊正在上公升，因為它們可以避免新舊檢測功能的檢測。crowdstrike利用許多態別的檢測方法來識別和阻止當今使用的各種攻擊向量。

原文發布時間為：2023年8月15日