Picus Security Beskriver Steg i Rödlagets Attackscenarier

Picus Security har släppt en detaljerad guide om hur man skapar attackscenarier för röd lag, där den första delen fokuserar på att kringgå säkerhetskontroller. Företaget, som specialiserat sig på säkerhetstestning, förklarar processen för att skapa och exekvera dessa scenarier för att utvärdera befintliga säkerhetsåtgärders effektivitet.

Enligt Picus Labs är attackscenarier strukturerade sekvenser av tekniker, taktiker och procedurer (TTPs) som motståndare använder för att uppnå sina mål. Utvecklingen av dessa scenarier är en avgörande del av röda lags operationer och kräver ofta veckors planering för att välja lämpliga TTPs som efterliknar verkliga hot.

Den publicerade guiden beskriver en specifik attackvektor som börjar med att en användare laddar ner en skadlig falsk installationsfil förklädd till legitim programvara. När den köpts körs, distribuerar installationsprogrammet skadliga BAT- och DLL-filer. DLL-komponenten använder Common Language Runtime (CLR) Hooking för att kringgå säkerhetskontroller, vilket möjliggör nedladdning och exekvering av en meterpreter-payload samtidigt som den undviker upptäckt.

Denna metod involverar att injicera payloaden i en legitim process, som werfault.exe, under sken av en annan systemprocess som spoolsv.exe. Tekniken inkluderar också metoder för att förhindra säkerhetsanalys och säkerställa att skadlig kod körs oupptäckt. Picus Security syftar till att ge praktiska insikter i design- och utvecklingsfaserna för sådana attackscenarier för IT-säkerhetspersonal.