T1027-003-win-Ping Hex IP
来自ATT&CK的描述
攻击者可能试图通过加密,编码或其他方式混淆可执行文件或文件在系统中或传输中的内容,从而使其难以发现或分析。这是常见的行为,可以跨不同的平台和网络使用,用于逃避追踪。
有效载荷可能被压缩,存档或加密,以避免被检测到。这些有效载荷可以在“初始访问”期间或以后使用,以减轻检测。有时,可能需要用户采取行动才能打开和反混淆/解码文件信息以供用户执行。可能还要求用户输入密码以打开由攻击者提供的受密码保护的压缩/加密文件。攻击者也可以使用压缩或存档脚本,例如Javascript。
还可以对文件的某些部分进行编码以隐藏纯文本字符串,否则它们将有助于防御者发现。有效载荷也可能被拆分为看似良性的单独文件,这些文件仅在重新组合后才会显示恶意功能。
攻击者还可能混淆从有效载荷执行的命令或直接通过命令行界面执行的命令。环境变量,别名,字符和其他平台/语言特定的语义可用于规避基于签名的检测和白名单机制。
测试案例
攻击者使用十六进制编码的IP地址进行ping命令探测主机。
检测日志
windows 安全日志/sysmon日志
测试复现
windows 2012以上操作系统
测试留痕
检测规则/思路
sigma规则
title: Ping Hex IP
description: win7 模拟测试结果
references:
- https://github.com/Neo23x0/sigma/blob/master/rules/windows/process_creation/win_susp_ping_hex_ip.yml
status: experimental
author: 12306Bro
logsource:
product: windows
service: security
detection:
selection:
CommandLine:
- '*\ping.exe 0x*'
- '*\ping 0x*'
condition: selection
level: high
建议
暂无
相关TIP
[[T1027-004-win-传输后编译csc.exe(白名单)]] [[T1027-005-linux-主机上的监测组件删除]] [[T1027-005-win-SDelete删除文件]]
参考推荐
MITRE-ATT&CK-T1027-003
https://attack.mitre.org/techniques/T1027/003/
IP地址进制转换