来自 网络 2022-03-28 17:10 的文章

海外高防ip_ddos盾眼_免费试用

海外高防ip_ddos盾眼_免费试用

2017年6月的Petya(Petna、Petrwrap等)爆发为IT行业注入了一些不必要的兴奋,该行业在几周前刚刚开始接受WannaCry爆发的影响。

在WannaCry爆发后,就如何降低爆发的影响进行了讨论,但即使没有事后诸葛亮的好处,也很容易指出补丁周期缓慢和允许来自外部地址的SMB流量通过网络边界的可疑架构/配置决定。

然而,正如我们之前的博文中所讨论的,2017年6月的Petya活动似乎是通过恶意软件更新部署的,除了现在臭名昭著的"永恒"SMB攻击之外,还使用PsExec和WMIC命令横向传播到受损网络。因此,这些观察结果和建议对Petya是否仍然适用?

"谁、什么、在哪里、由什么帮助、由谁帮助:为什么,如何,阿里云防御cc攻击,何时,许多事情都会暴露出来"-Thomas Wilson

与WannaCry一样,这一点完全涵盖了分析的内容和地点,尽管在语义上存在一些拉锯战:恶意软件是否是在未完成状态下发布的,或者至少在某些情况下,一个无法恢复受害者文件的恶意软件应该被称为什么,这些都是猜测和辩论的问题。

任何关于谁和为什么的答案都是类似的推测,直到一支冒烟的枪能够找到为止被发现:前者是归因,后者与归因密不可分。

Petya的兴奋源于它自我传播的能力。虽然这种行为显然仅限于本地网络(与WannaCry不同,WannaCry没有尝试将自身传播到外部互联网地址),但它有多种方法来实现这一目标。

假设受影响网络上的所有系统都经过修补且是最新的,cdn防御ddos,通过永恒蓝进行传播应该是不可行的。这使得我们对PsExec和WMIC的传播方式讨论较少(也不那么吸引人)。

这些工具的使用值得注意,因为它们都是在几乎所有Windows环境中使用的合法管理工具(事实上,从2000年起,WMIC已预安装在所有Windows版本中)。因此,当与有效凭证和恶意意图结合使用时,它们可能会造成大量损害。

要了解如何使用,我们需要了解这些工具的实际用途。通过这一点,我们还可以看出,对于更熟练的攻击者来说,为什么它们的使用比诸如EternalBlue之类的漏洞攻击更可取。

PsExec可以追溯到2001年,虽然它的名称(至少现在)可能暗示与PowerShell有关联,但事实并非如此。而不是Windows的内置组件,它是PsTools套件的一部分,允许经过适当身份验证的用户在远程机器上运行命令并将其输出重定向到本地机器。

尽管它不是随Windows附带的组件,因此需要在目标系统上"删除"才能使用,十多年来,ddos防御部署,它一直受到恶意代码作者的欢迎,其作者在2004年的一篇文章中指出……

"一些病毒使用PsExec在网络中传播,因此,一些主要的防病毒产品将PsExec标记为特洛伊木马程序或蠕虫。请记住,PsExec仅在远程系统上具有管理员组成员身份的帐户内运行时才能在远程系统上工作。换句话说,除非运行它的帐户具有远程系统的管理权限,否则PsExec将无法在远程系统上执行进程。此外,香港cc防御服务器,PsExec的功能可以通过其他方式实现;因此,PsExec仅为病毒编写者提供了便利,他们可以轻松实现PsExec提供的功能。"

WMIC是WMI(Windows Management Instrumentation)的命令行界面,比PsExec更古老,在从Windows 2000开始预装之前,在Windows NT 4.0时代是可选下载。

WMI为基于Windows的网络管理提供了大量功能,允许具有正确凭据的用户从启动过程到修改远程计算机上的安全设置都可以执行任何操作。包括Fancy Bear和Cozy Bear在内的APT可以并且已经使用这些功能在受损系统上实现无文件持久性机制。

图像:WMI命令行界面

这两种工具都需要管理凭据才能造成真正的损害。在2017年6月Petya爆发的案例中,这是通过使用内置凭证窃取代码收集的,尽管在更有针对性的攻击中,凭证很可能在攻击的早期阶段被盗。

鉴于对有效登录详细信息的需求,一开始,ddos攻击分析与防御,恶意参与者选择使用这些工具似乎有些奇怪,因为利用这些工具可能会更快、更容易地完成工作。

另一方面,使用其他技术娴熟的黑客工具进行网络攻击的风险大大增加,导致恶意活动混入大型网络的背景噪音中,使攻击者能够最大限度地延长其在网络上的停留时间。

那么我们如何保护Windows网络中无处不在的工具?特别是有多种合法用途的工具?

在某种程度上,可以做的事情是有限的:在家里禁止使用刀具肯定会防止幽默感可疑的客人撕碎你的衣橱,但这同样会让做饭变得相当困难。

对管理工具的访问应该是有限的,但一般来说,情况已经是这样了:很少有公司网络(希望没有公司网络)允许所有用户在其系统上不受限制地使用权限。