从Elastic观察新兴威胁与对抗之调用堆栈检测
💡
原文中文,约4000字,阅读约需10分钟。
📝
内容提要
Cobalt Strike声称在其新版本中通过加密所有内存空间(包括Sleep Mask)来改善休眠期间的内存保护。Elastic发布了8.8版本,增加了基于内核调用栈的检测能力。Elastic使用基于ETW的栈跟踪来监控调用栈以进行威胁检测。常见的对抗技术包括调用栈截断和调用栈欺骗。对手通过使用替代API绕过调用链检测。终端对手正在向更低层次发展,需要可靠的监控信息。
🎯
关键要点
- Cobalt Strike在新版本中改进了睡眠时的内存保护,能够加密所有内存空间。
- Elastic发布8.8版本,增加了基于内核调用堆栈的检测能力,针对内存威胁推出了检测方式。
- Elastic通过ETW实现对API调用的监控,能够精准还原威胁行为的具体细节。
- 调用堆栈的监控能够减少误报,提高告警精准性,但也存在调用栈截断和欺骗的对抗技术。
- 攻击者通过截断调用栈和构造虚假栈帧来规避检测,影响检测的准确性。
- 利用替代API实现调用链检测绕过是攻击者常用的手段。
- 终端对抗逐渐向底层发展,监控信息的可靠性对防护效果至关重要。
🏷️
标签
➡️
