XiaoMi-AI文件搜索系统
World File Search SystemLotl
事件日志记录和威胁检测的最佳实践
使用 LOTL 技术(例如 LOTL 二进制文件 (LOLBins) 和无文件恶意软件)的恶意行为者日益增多,凸显了实施和维护有效事件日志解决方案的重要性。正如联合密封出版物《识别和缓解离地攻击技术》中所展示的那样,高级持续性威胁 (APT) 正在使用 LOTL 技术来逃避检测。本出版物的目的是详细介绍针对云服务、企业网络、企业移动性和运营技术 (OT) 网络的事件日志记录和威胁检测的最佳实践指南。本出版物中的指南侧重于事件日志记录和威胁检测的一般最佳实践;然而,LOTL 技术具有很高的检测难度,因此它们提供了很好的案例研究。
远程访问软件安全指南
远程访问软件为 IT/OT 团队提供了灵活的方式,可尽早检测异常网络或设备问题并主动监控系统。网络威胁行为者越来越多地利用这些相同的工具轻松广泛地访问受害系统。虽然组织出于合法目的使用远程访问软件,但安全工具或流程通常不会将其使用标记为恶意。恶意行为者利用这一点,使用远程访问软件通过云托管基础设施建立网络连接,同时逃避检测。这种入侵属于离地攻击 (LOTL),其中本质上的恶意文件、代码和脚本是不必要的,网络威胁行为者使用环境中已经存在的工具来维持其恶意活动。有关 LOTL 攻击的更多信息和示例,请参阅联合网络安全咨询中华人民共和国国家支持的离地网络行为者逃避检测。
识别和缓解土地技术的生活
•先前发表的联合咨询。•创作机构事件响应参与,包括最近的CISA事件响应参与,网络威胁参与者持续持续,长期访问受害者的环境并损害了域控制器(DC)。参与者在整个入侵过程中使用了Lotl技术。•创作机构红色团队评估,包括联邦民用行政部门(FCEB)网络的CISA Red Team评估,并应网络所有者的要求,非联邦网络的要求。(CISA的红色团队经常使用公开已知的Lotl技术来执行,持久性,横向移动,发现和凭证访问,而网络辩护人很少检测他们的活动。)•与机构间和行业专家的网络安全和事件响应方面的合作努力。
TLP:清除 TLP:清除
LOTL 是一种有效的技术,因为许多组织没有实施支持检测恶意活动的安全最佳实践功能。CISA 的红队经常利用 LOTL 进行未被发现的持续访问。这些红队评估展示了攻击者如何在几乎不投资工具的情况下实现对整个域的入侵。在许多情况下,CISA 的红队发现被评估的组织缺乏安全基线,允许 LOLBins 执行,并使分析师无法识别异常活动。在其他情况下,组织没有适当调整其检测工具以减少警报噪音,导致警报数量难以管理,难以筛选和采取行动。自动化系统(例如使用服务帐户和漏洞扫描器的持续管理功能)经常执行高度特权的、可能可疑的操作,如果没有适当分类,这些操作会使分析师淹没在日志事件中。
axolotl修复。戴安娜·罗迪·弗雷特人
Axolotl一词来自Nahuatl,Nahuatl是墨西哥人的语言(阿兹台克人在构建Tenochtitlán之后的名字),它具有几种含义。它是由ATL单词(意为水和Xólotl)构造的,可以翻译为玩具,双胞胎或怪物:“'Water Toy','水上怪物','Water Twin'[…],但很明显,它引用了Xolotl神Xolotl”(Bartra,83-84)。在墨西哥的宇宙中,Xolotl - 对这种实践的怀疑 - 拒绝了其他神灵牺牲自己的要求,并试图逃脱他的有序死亡。这反映了Axolotls避免破坏的能力。通过好奇的基因组能力,这些两栖动物可以再生其四肢,组织和细胞[^1]。如果他们的四肢之一丢失,他们可以在几周内将其发展回。由于此功能,墨西哥人还认为Xolotl是负责在灭绝后重现人类的人,这并不奇怪。