来自 网络 2021-07-13 06:27 的文章

cdn防御cc_服务器防御ddos攻击_秒解封

cdn防御cc_服务器防御ddos攻击_秒解封

这个博客的作者包括纳撒尼尔·奎斯特和丹·凯泽。上周,我们在我们的LogRhym Labs安全咨询中提供了有关Spectre和Fultdown漏洞的背景资料。针对这些漏洞,logrythym实验室开发了帮助客户检测潜在恶意活动的内容。这些内容包括两个AI引擎规则和一个PowerShell脚本,cc攻击最有效防御,所有这些都是为了帮助您保护您的环境免受崩溃和幽灵漏洞的影响。logrythm的客户可以使用PowerShell脚本和定制的AI引擎规则来确定他们的组织是否因为崩溃和幽灵而面临安全风险。如果您的网络受到来自这些漏洞的攻击,PowerShell脚本和AI引擎可以快速通知您并帮助您检测潜在的恶意活动。这些漏洞影响广泛的现代系统,并可能导致极其敏感的信息暴露。实现以下AI引擎规则和PowerShell脚本,以确保您的系统从崩溃和幽灵漏洞中得到了适当的修补。幽灵和熔毁的范围Spectre和Meltdown是目前市场上大多数中央处理器(cpu)中存在的漏洞,包括由Intel、AMD和ARM制造的cpu。该漏洞允许处理器向易受攻击系统上运行的用户程序暴露内核内存。然后,内核级内存变得可访问,并且可以包含有关计算机上当前活动的任何进程的信息,包括用户名和密码。使用Microsoft补丁和LogRhym AI引擎规则解决漏洞人工智能引擎是你的logrymethy平台的一个完全集成的组件。针对这些漏洞而创建的两个logrythreal AI引擎规则都针对相同的目标功能:操纵Windows注册表值。正如微软技术支持部门所说的那样,唯一可以对系统进行修补的方法就是让操作系统控制在何处以及如何允许推测性执行。Microsoft通过KB4056890(服务器2016和Win10)、KB4056898(服务器2012R2和Win8.1)和KB4056897(服务器2008R2)为其主要系统系列提供了补丁程序。关于这些补丁的更多信息可以在这里找到。Microsoft修补程序将两个DWORD值添加到注册表项"HKLM:\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"这两个DWORD是:外部功能设置FeatureSettingsOverrideMask功能设置LogRhym AI引擎规则旨在识别DWORD FeatureSettingsOverride值是否从值"0"操纵到值"3"。值0表示系统当前受到这些漏洞的保护,而值3表示仍存在漏洞的系统。虽然两个AI引擎规则都可以在同一事件上触发,但这两个规则的目的是确定客户端用于标识注册表项值更改的日志源的类型。AI引擎规则1:Spectre注册表-RIM第一个人工智能引擎规则spectreregistry-RIM是专门为使用logrymethy的系统监控工具:注册表完整性监控(RIM)而设计的。RIM监视一系列预先指定的Windows注册表项,并提供关于键的创建、修改和删除的可操作元数据。因此,需要将密钥"HKLM\System\CurrentControlSet\Control\Session Manager\Memory Manager"添加到logrythym RIM策略中,该策略分配给每个正在监视此漏洞的Windows系统上的logrythresystem Monitor代理。如下图1所示,AI引擎规则设计为在DWORD FeatureSettingsOverride修改为值"3"时触发,这意味着您的系统不再受到Spectre漏洞的保护。如果注册表项被恶意更改为该值,并且系统随后重新启动,则可能会不适当地访问用户或进程内核内存。图1:Spectre注册表–RIM AI引擎规则AI引擎规则2:Spectre注册表-SysMon当Spectre Registry–RIM专注于LogRhym的RIM功能时,Spectre Registry–SysMon专注于Microsoft的SysInternal工具SysMon的使用。SysMon是一个非常强大的工具,它允许监视计算机的几乎所有方面,云锁防御ddos,ddos现在能防御,并将其记录到Windows事件查看器日志文件中。这包括进程启动和停止、父进程启动和停止、MD5、SHA1、SHA256、IMPHash集合和Windows注册表监视。LogRhym平台能够收集、分析和关联从Microsoft SysMon工具收集的元数据。Spectre Registry–SysMon被设计为在修改'FeatureSettingsOverride'的DWORD值时触发。由于此值必须为"0"才能被视为受保护的系统,因此如果在任何时候更改该值,则可能会发生潜在的恶意实例。虽然这个特定的规则当前不包含实际的DWORD值本身,但是microsoftsysmon非常容易配置和使用,即使很少的资源允许监视Windows注册表项。图2:Spectre注册表-SysMon AI规则使用LogRhym PowerShell脚本确保系统已修补LogRhym Labs创建了一个PowerShell脚本,用于在系统上执行以下功能:检查您的系统是否易受幽灵攻击检查您的系统是否针对幽灵漏洞进行了修补安装Microsoft SysMon配置Microsoft SysMon以监视Windows注册表项"HKLM:\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"PowerShell脚本将下载并安装官方的Microsoft推测模块"Get-PreficationControlModule",以确认您的特定系统是否易受Spectre漏洞的攻击。接下来,多ip防御ddos,系统将检查您的系统上是否安装了Microsoft SysMon。如果是这样,PowerShell脚本将为您提供一个SysMon配置日志,用于监视内存管理注册表项。如果未安装Microsoft SysMon,脚本将下载Microsoft SysMon版本7,提示您接受EULA,并安装并配置SysMon以监视内存管理注册表项。脚本完成后,SysMon将运行系统。但是,logrymetry平台不会配置为从系统收集SysMon日志。请使用以下指南配置集合。如果您已经在使用SysMon,可以跳到下载部分。配置LogRhythm以收集SysMon日志如果不使用SysMon,金盾防火墙可以防御多少DDOS,则可能需要配置logrymetry平台来收集SysMon日志。以下是配置为使用"MS Windows事件日志–SysMon"日志消息源类型收集的日志源的默认配置示例。在本例中,您可以了解如何使用默认SysMon XML配置从Microsoft Windows Server 2012 R2 x64主机收集SysMon输出。图3:日志消息源属性基本配置窗口对于平面文件设置,您需要确保正确指定文件路径:图4:日志消息源属性平面文件设置窗口注意:打开"事件查看器">"应用程序和服务日志">"Microsoft">"Windows">"SysMon">"操作日志"中包含的任何事件,即可找到文件路径。单击Details选项卡并选择XML视图后,只需记下频道名称并将其复制/粘贴到flatfilesettings>filepath字段中。图5:事件属性XML视图下载成功利用此漏洞时,崩溃和幽灵漏洞会导致特权信息泄露,并危及您的组织。您需要准备好修补并持续监视您的系统。LogRhym AI引擎和PowerShell脚本可以帮助简化修补过程,使您能够抵御这些漏洞。下载LogRhym AI引擎规则和PowerShell脚本,以保护您的网络不受崩溃和幽灵漏洞的影响:AI引擎规则在这里下载Spectre注册表-SysMon AI引擎规则。在这里下载Spectre注册表-RIM AI引擎规则。在这里下载PowerShell脚本。LinkedIn Twitter Facebook Reddit电子邮件