来自 数据 2021-06-11 21:16 的文章

国内高防cdn_服务器高防ip_解决方案

国内高防cdn_服务器高防ip_解决方案

这是生活在陆地博客系列的第三部分。本节将重点介绍网络杀戮的交付和安装阶段链条。那个攻击的投送阶段集中在敌方如何分配武器化的有效载荷。这可能包括初始传递阶段(垃圾邮件/恶意下载)或网络内部的横向移动。一旦成功完成交付阶段,对手将安装并执行有效载荷使用非陆地工具限制了对手对额外软件的需求,降低了被发现的可能性。在交付和安装的情况下,拥有具有适当权限的有效凭证允许对手使用合法软件在整个网络中传输和执行文件。滥用工具的例子包括远程桌面应用程序、第三方服务提供商程序和管理工具。两个最流行的离地生活工具是PsExec和Windows管理工具(WMI),企业可以采取一些步骤来最小化交付和安装的机会成功:禁用或限制远程WMI和文件共享实现最小特权策略隔离网络并实施访问控制列表(ACL)背景有各种各样的陆上生活工具被敌方用来完成交付和安装阶段。用户或系统管理员可以出于业务目的安装这些工具。最近备受关注的远程桌面应用程序被利用的案例,比如团队查看器与CCleaner breake 1的连接,增加了人们对此的安全关注问题。那个MSSP使用的工具在过去被证明对攻击者非常有用。虽然这些工具不是所有系统的本机工具,但它们仍被视为以陆地工具为生,因为它们可能需要访问来维护、更新、监视或管理客户端网络。本文中的案例研究概述了一个第三方提供商的可信软件被误用为恶意软件的事件目的.系统中心配置管理器(SCCM)由于其在网络2上传输和安装远程应用程序的能力,受到了安全研究人员越来越多的关注。目前,eSentire尚未积极观察到SCCM的开发;但是,公司应意识到虐待。那个本博客中讨论的两个主要的非本地工具是用于交付和安装的PsExec和用于安装的Windows管理工具(WMI)。在交付和安装示例中,假设对手能够识别工具并成功利用他们。案子在2018年初的研究中,eSentire观察到第三方服务提供商(MSSP)的虚拟系统管理员(VSA)工具被用来交付和安装加密货币矿工。它利用第三方提供商应用程序中的漏洞向客户计算机交付Monero挖掘软件。Monero是一种加密货币。与其他加密货币类似,Monero是通过在cpu上执行复杂和资源密集型方程来"挖掘"的。由于VSA应用程序在多个客户的环境中使用,ddos200g防御,多ip自动ddos防御系统,因此对手能够跨多个端点分发和安装恶意应用程序。这种方法允许敌方绕过外围安全级别,并从中获取资金获得。为了有关此特定事件的其他信息和技术细节请参见提供的链接3 4.关于交付和安装的附加信息最流行的生活在陆地上的工具,ddos攻击与防御产品,用于交付和安装我们观察到的是PsExec和WMI。这些工具在通过使用网络钓鱼活动或密码转储工具(Mimicatz)获得泄露的凭证后被对手使用。例如,NotPetya勒索软件的爆发,包括PsExec和WMI,以合并蠕虫类型的行为来感染网络。It需要注意的是,对于使用PsExec和WMI的对手,它们需要适当的权限才能在远程执行命令系统.PsExecPsExec是一个集成到Microsoft Sysinternal Utility Suite中的工具。它允许系统管理员远程传输和执行文件。它不是本机安装的,但它是系统管理员常用的工具。下面的屏幕截图提供了PsExec通过文件进行复制的示例有效载荷.bat到远程主机DESKTOP-TEST1并执行该文件。[image src="/assets/0d47e71eff/deliver and execute the payload bat"-文件.png"id="2038"width="1041"height="149"class="center ss htmleditorfield file image"title="图1:交付并执行有效载荷.batfile"alt="图1:交付并执行有效载荷.bat文件"]图1:交付并执行有效载荷.bat文件Windows Management Instrumentation(WMI)WMI是用于数据管理和任务的基础结构工具自动化。对手利用WMI远程执行命令并在系统上安装应用程序。在图2中,WMI用于远程执行程序ncat.exe在桌面上-C9V9E7G。Ncat.exe(netcat)是一种瑞士陆军类型的工具,可用于各种恶意和非恶意目的,如文件传输或建立后门。什么时候这个ncat.exe命令在本例中执行,它创建一个反向shell后门。这使得对手能够与DESKTOP-C9V9E7G上的操作系统进行交互(图3)。[image src="/assets/677a1a73b8/Ncat-exe-is-COPYED-to-DESKTOP-C9V9E7G-and-then-exe-using-WMI.png"id="2039"width="1766"height="624"class="center ss htmleditorfield file image"title="图2:Ncat.exe复制到DESKTOP-C9V9E7G,防御ddos攻击书籍,防御ddos虚拟主机,然后执行使用WMI。"alt="图2:Ncat.exe复制到DESKTOP-C9V9E7G,然后使用WMI执行。"]图2:Ncat.exe复制到DESKTOP-C9V9E7G,然后使用WMI执行。[image src="/assets/308842731a/A-backdoor-is-established-after-executing-the-WMI-命令.png"id="2040"width="568"height="229"class="center ss htmleditorfield file image"title="图3:执行WMI命令后建立后门"alt="图3:执行WMI命令后建立后门"]图3:后门是在执行WMI命令后建立缓解策略为了尽量减少交付和安装工具的影响,请考虑以下几点选项:安全远程WMI连接5禁用或限制远程WMI和文件共享通过PsExec阻止远程执行实现最小特权策略隔离网络并实施访问控制列表(ACL)加强网络设备和对基础设施设备的安全访问强制实施强密码策略利用基于主机的防火墙结论如案例研究和其他最近的例子所示,不采取措施限制恶意使用陆上工具可能会导致其他系统受到危害。网络隔离和实现acl确保只有被授权的系统或组才能访问资源。为了防止敌方在网络中的横向移动,可以实现最小特权策略。虽然有各种各样的外部工具来执行交付和安装,但靠陆地生活的活动不太可能被发现。最近的各种例子证明了这些工具在对手中的流行,而预防和检测的重要性直接关系到广泛应用工具。资源[1]https://thehackernews.com/2018/04/ccleaner-malware-attack.html[2]https://enigmax3.net/2015/10/27/targeted-workstation-refraction-with-sccm/[3]https://www.esentire.com/news-and-events/security-advisories/kaseya-virtual-system-administrator/[4]https://www.esentire.com/news-and-events/security-advisories/kaseya-update-cryptocurrency-mining-campaign/[5]https://msdn.microsoft.com/en-us/library/aa393266(v=vs.85).aspx