来自 CC防护 2021-02-13 22:24 的文章

阿里云高防_排名靠前的_外贸高防服务器

阿里云高防_排名靠前的_外贸高防服务器

横向移动是一种几乎无所不在的攻击策略,因为对手几乎不可能在最初的时候进入到保持其目标的确切系统。这些年来,我们已经写了很多关于这个主题的文章,包括PsExec和其他使对手能够在系统间横向移动的工具。很多其他博客都在讨论服务器消息块(SMB)和远程桌面协议(RDP)的横向移动。这一次,我想讨论一种不太为人所知的横向移动技术:恶意使用secureshell(SSH)服务。什么是SSH?SSH是一种加密的网络协议,有助于对通常类似于Unix的系统进行远程管理。它最出名的是它与OpenSSH项目的关联,以及管理员用于基于文本的管理的ssh命令,类似于Telnet。OpenSSH项目还包含scp(securecopy)来替换旧的未加密的复制实用程序,sftp用于替换ftp的旧的未加密使用。SSH是一种通用的网络协议,可以封装其他协议来帮助加密。它是类Unix系统的现代管理的事实标准。日常管理中的SSH在使用SSH时,管理员通常首先使用SSH命令和用户名和密码的组合。用户名和密码与通过键盘登录系统时使用的用户名和密码相同,单台服务器ddos防御,当SSH守护进程的端口(22)暴露在网络上时,很快就会出现问题。特别是在因特网上,攻击者试图通过SSH强行访问系统。如果管理员为已知用户帐户选择了不复杂的密码,ddos攻击防御成本,暴力攻击可能会成功。为了缓解这种情况,SSH会话通常使用公钥加密进行身份验证。为此,管理员可以使用ssh-keygen生成密钥对,然后再使用ssh-copy-id将生成的公钥部署到远程系统用户的authorized\u-keys文件中。在SSH守护程序配置文件中更改了几行之后,该服务将得到加强,以防止简单的暴力入侵。也就是说,如果对手获得了与这种基于密钥的身份验证关系相关联的私钥的访问权,那么他们可以通过SSH向系统进行身份验证,海外网站如何防御ddos,而不需要知道任何其他密码。一旦管理员第一次开始与远程系统的SSH会话,他们会注意到一个条目被添加到当前用户的known-hosts文件中。此文件捕获IP地址和主机公钥信息,以确保在用户通过SSH登录之前在系统级别正确地进行身份验证。如果另一个IP地址显示了已知主机的公钥,则会向登录的用户发出警报。SSH管理还有许多额外的复杂问题,但是这些概念为理解对手如何滥用协议打下了基础。恶意使用SSH既然我们已经很好地理解了SSH的基本知识,那么我们可以看看对手是如何滥用SSH的。SSH隧道SSH隧道是在SSH中封装另一个网络协议以保护其不被检查的行为。FireEye在今年早些时候发布了关于对手使用隧道技术的优秀文档,重点介绍了通过SSH隧道传输RDP流量。在这些情况下,对手通常使用诸如plink.exe文件使用包含127.0.0.1:3389的命令行通过SSH转发RDP流量。您可以在命令行参数中快速发现这一点,并在环境中不正常时将其标记。这有助于对手绕过防火墙限制端口3389,并在能够使用RDP的同时阻止流量检查。这也适用于许多附加协议。至少在一个环境中,我们看到管理员通过SSH发送MySQL网络流量来加密它。加密货币矿工脚本接下来,让我们看一下对手部署到Linux服务器上的机会主义加密货币矿工脚本。一旦攻击了一个服务并部署了一个miner,对手就想横向移动到同一个网络上的其他Linux系统,以部署更多的恶意软件实例。这是通过几个步骤完成的。首先,阿里云ddos防御安装,敌手将枚举SSH known-hosts文件的内容,以找到其他可用的Linux主机。如果找到任何一个,对手将检查基于密钥的身份验证是否到位,并使用SSH向远程系统发送所需的命令。这种横向运动通常看起来像这样:

,路由开启哪些ddos防御