腾讯安宁推出御界NDR「横移检测版」周到检测域排泄抨击

时间:2022-01-23 05:36:03来源:od体育网页版 作者:od体育网页版登录

  因为企业内部资产及用户量宏伟,公共半企业拔取 AD 域行动用户和主机团结照料的计划,然而因为防护体例不完整,攻击者往往通过攻击域控进而攻击企业内部中心设置,获取企业机要数据。

  域渗出不需求进程 ISP 防火墙、出口网合防火墙的审查,而公共半企业往往正在搜集出口处摆设重兵扼守,而内网域境况的防护相对来说千疮百孔,古板的安闲防护体例(防火墙、IDS)一经亏空以扞拒目前的域渗出胁迫。

  腾讯安闲玄武试验室行动顶尖前沿钻探团队,多年深耕于Windows内网安闲和域渗出安闲钻探。2016年玄武试验室涌现了目前为止Windows境况中影响最通俗的毛病“BadTunnel”,从Win95到Win10均受波及,并正在环球顶级安闲聚会BlackHat上分享了该收效。2018年正在ZeroNights国际搜集安闲峰会和HITB安闲大会上分享了NTLM Relay攻击效劳器的新手腕。2021年正在著名国际安闲聚会DEFCON上分享了长途攻破Exchange邮件效劳器的要紧毛病。除此除表,玄武试验室更是正在2021年涌现了堪比永远之蓝的钻探收效——打印机毛病(CVE-2021-1675),该毛病可能竣工通过一般的域用户攻破包含域控正在内的简直全盘域内Windows主机。看待攻破主机之后奈何创设C2潜藏驾御信道,玄武试验室也曾正在BlackHat Asia 2021聚会中提出了全新的计划。

  正在近几年的攻防演习中,玄武试验室涌现,大局部企业并没有对域渗出中的常见本领做出有用的防护,较容易被冲破。

  基于此,腾讯高级胁迫检测体系(御界NDR)与玄武试验室环绕内网域渗退场景共修攻防靶场,共同胀励安万才能提拔,包含域新闻搜罗、域账户权限提拔、横向搬动、权限坚持、攻击目的告终五个域渗出攻击阶段,针对常见的攻击手腕,提出了对应的检测手腕,旨正在协帮企业构修应对域渗出胁迫运动的才能,通过对域内流量、日记、行径数据的即时阐明,识别域内安闲危急。

  行动企业搜集安闲运营职员和体系危急照料职员必需合怀Windows域境况渗出攻击的五个要紧阶段:

  攻击者举行本机新闻搜罗、域内机合架构新闻搜罗、登录凭证偷取、存活主机探测、内网端口扫描,探查或者生存和敏锐新闻的主机职位,确定横向搬动的目的。

  攻击者通过获取凭证,借用某个具有特权的利用或者效劳,以及诈骗步调毛病等手腕降低本身对体系和资源的探访权限。

  攻击者正在内网中通过修设失当或易受攻击的长途合同,以被占领的主机为跳板,不断探访或驾御其他内网机械,扩充战果。

  攻击者获取效劳器权限后,创设后门来坚持对目的的驾御权而且下降被涌现的概率。

  攻击者通过偷取敏锐数据、驾御枢纽性体系效劳等技巧完从中牟取金钱便宜或告终破损宗旨。

  正在攻击者进入内网举行后,会首前辈行新闻搜罗,尽或者获取种种新闻以初阶知道内网情形,看待目的搜集的使命职员新闻、体系资产的效劳新闻、组件新闻都邑举行精细的征求,轻易举行下一步攻击。比方攻击者会正在内网中举行端口扫描,NBNS扫描,匿名SMB共享扫描,长途主机网卡新闻扫描,内网域名新闻征求,行使BloodHound等器材搜罗域内机合架构和ACL等新闻。

  这个阶段的全盘操作往往都是攻击者以被入侵的局部主机为跳板,与其他内网目的资产创设搜集连绵实现扫描探测,并形成巨额分表的SMB、MS-RPC、LDAP、Kerberos等东西向流量。

  攻击者通过体系内核溢出毛病提权、缺点的体系修设提权、数据库提权、组战术首选项(GPP)提权等手腕绕过体系中的全盘安闲限度,取得Administrator,以至System、TrustedInstaller等高权限。

  以Netlogon权限提拔毛病(CVE-2020-1472)为例,Netlogon长途合同是一个长路过过移用(RPC)接口,用于实现Windows域顶用户和估量机身份验证等操作,该毛病要紧是因为正在行使Netlogon合同与域控举行连绵时,认证合同加密算法局部存正在缺陷,攻击者可能向域控首倡域控估量机账户的身份认证乞请, 行使8字节全0的client challenge 持续实验获得一个无误的8字节全为0的client credential 通过认证,再通过合系移用进一步批改域控估量机账户口令。最终通过域控估量机账户的身份长途获取域控上生存的域内用户hash,进而取得域照料员权限,并进一步驾御全盘域。

  当攻击者获取到内网某台机械的驾御权后,会以被占领的主机为跳板,通过搜罗域内凭证等种种手腕,探访域内其他机。