粉碎进攻者操作域根据
|
进攻者如安在组织的收集中从一台呆板移动到另一台呆板。很多人以为进攻者操作零日进攻但究竟并非云云。进攻者也许不想或不能这样做。
进攻者怎样行使零日进攻? 精采的零日裂痕可以在各类差异版本的操纵体系上运行,可以有用地执行代码,窃取特权凭据,并得到对要害体系和应用措施的会见必要相等多的能力和时刻。它们必要大量事变才气有用实验和执行。 假设进攻者确实操作了零日进攻,该人会用它做什么?进攻者每次行使裂痕操作措施时都存在发明零补丁然后打补丁的风险。知道曝光最终是不行停止的,合乎逻辑的设施是在选择的场所行使零日,以得到起码的存眷,譬喻最初的收集粉碎或删除其存在的陈迹。奥秘行使的一个例子是收集的初始渗出,在此时代他们成立了后门。安装后门后,将删除零日进攻的代码。假如后门不包括裂痕操作代码的任何陈迹,那么安详团队就不行能发明他们手上有零日裂痕。然而, 在侦察阶段会产生什么? 组织精采且细心思量怎样渗出收集的进攻者将花时刻相识可以操作的全部隐藏瑕玷。履历富厚的进攻者会在动员操作整个收集的勾当之前花时刻从单台呆板网络谍报。在此时代,进攻者将耐性地进修怎样横向移动收集以查找对要害体系和应用措施的会见。耐性是侦察阶段的要害; 平凡进攻者在被发明之前会在收集上逗留256天。 在发明之前,进攻者但愿可以或许宁静地会见要害呆板和帐户,一种要领是监控他们但愿节制的人的登录。 当您登录到计较机时,您将通过收集的域节制器(DC)举办身份验证,而且它将授予您一张应承您会见收集中的处事的票证(文件处事器,共享点,其他计较机)。在Windows计较机上,这些根据与每次产生身份验证进程时建设的令牌绑定在一路。因此,该令牌是用于对哀求特定操纵的用户举办身份验证的根据的抽象(您可以在此处阅读有关这些令牌的更多信息)。 对付进攻者,节制要害计较机意味着节制在收集上执行某些操纵的全部权限 - 变动会见权限,会见敏感数据等。假如进攻者具有体系级权限,则每次都可以轻松提取身份验证令牌该呆板执行了一个举措。一旦他们有权会见令牌,他们就可以本身哀求呆板执行假充正当用户的举动。这些新哀求好像源自在其勾当目次中具有正确打点权限的正当用户根据,这使得安详团队很难发明恶意内部职员。 进攻者怎样查找特权凭据? 患者进攻者知道特权用户也许会在侦察阶段的某个时刻登录,由于他们凡是是收集中的高级用户。然后,可以在该登录进程中提取来自特权用户的令牌,并用于会见其权限内的任何内容。特权用户凭据是横向移动收集的最有用方法。譬喻,假如特权用户刚好是域打点员,则进攻者此刻可以会见域中的全部计较机以及域中的全部处事器和端点! 特权用户登录计较机的频率是几多?它因公司而异。按照陈设和IT需求,进攻者也许暗藏在阴影中很长一段时刻。在此时代,进攻者也许会节制收集中的多台计较机,以便他或她可以增进从特权用户查找登录的几率。然而,他们如故但愿鉴戒不要袒露太多的足迹,由于他们越是在收集中移动,他们被发明的机遇就越大。在大大都收集中,很难领略特权用户在该情形中的位置,更不消说他们登录特定计较机的频率。 侵扰进攻者 我们怎样办理此类威胁并阻止隐藏的进攻者获取对要害体系和应用措施的会见权限?第一道防地是增强外围:试图阻止进攻者在收集中站稳脚跟。差异的防止机制是更新操纵体系,配置防火墙和署理,行使端点掩护软件等。可是,假如仔细的进攻者行使零日进攻,这场战斗也许是徒劳的。 另一种选择是跟踪整个收集中的用户勾当。不正常的勾当(譬喻IT专业职员从财政部分当前正在行使的计较机安装新的Sharepoint处事器)应触发警报。固然这种要领有利于阻止横向移动,但配置和保持动态也许很是伟大。打点员必要缩小进攻者可以行使的呆板范畴,然后耗费大量精神来相识用户操纵,关联计较机,公司计策,特权用户等。 更好的要领是验证用户执行的不正常操纵现实上是由人而不是呆板执行的。验证现实职员提倡的操纵使得险些不行能自动从头行使凭据。缘故起因如下:进攻者将操作计较机扫描收集以获取特权用户根据。当他们从特权用户会见令牌时,他们将行使他们节制的计较机从头行使其他要害计较机或应用措施上的根据。当他们发明可以会见更多的收集资源时,他们将扩大他们的驻足点并完成他们的义务。通过辨认会见实行是来自人工帐户照旧来自计较机将有助于限定进攻者实行从头行使正当用户根据。 在与试图操作收集根据的进攻者打交道时,修补裂痕每每是低落风险的糟糕计策。试图跟上并修补收集瑕玷不会阻止进攻者,由于他们只会耐性地守候发明下一个进攻点。 我们应该通过真正相识他们怎样操纵并行使他们的进攻技能来冲击进攻者。一种要领是区分执行身份验证哀求的职员或计较机。我们必要更多地相识进攻者的剖解布局,并将确保政策放在一路,以掩护我们免受进攻。
(编辑:河北网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
