来自 CC防护 2022-06-08 19:40 的文章

香港高防cdn_ddos高防ip指向哪个地址_指南

香港高防cdn_ddos高防ip指向哪个地址_指南

评估一个新安全数据源的有效性:Windows Defender漏洞攻击防护装置PalantirFollow2019年10月15日·12分钟读取

Windows Defender漏洞攻击防护装置(WDEG)是一套预防性和检测性控制装置,用于识别和缓解针对Windows主机的主动攻击企图。基于增强缓解体验工具包(EMET)之前的成功,WDEG不仅为一系列攻击提供缓解措施,还通过为异常事件提供上下文丰富的事件日志充当调查资源。

而Palantir的计算机事件响应团队(CIRT)在端点遥测和检测能力方面严重依赖安全供应商产品,调查和开发新的安全相关数据源是我们成功的基础。这篇博文分析了漏洞防护作为一个新的数据源,用于包含在警报和检测策略(ADS)中。我们还将详细介绍企业配置和推出策略,并提供检测假设的样本。

我们提供了一个新的GitHub存储库,其中包含以前不可用的事件文档,Apache防御cc教程,作为本文的支持文档。你可以在这里找到它:https://github.com/palantir/exploitguard

Windows Defender漏洞防护简介

Windows Defender漏洞防护是Windows 10中固有的一系列基于主机的入侵预防和检测功能。这些功能可锁定设备,防止各种攻击向量,并试图阻止恶意软件攻击中常用的行为,不依赖传统的基于特征码的检测。

WDEG中有四个主要功能:

漏洞保护:针对常见漏洞技术的缓解措施。取代,补充,,并增强EMET的功能。减少攻击面:利用Windows Defender Antivirus(WDAV)审核和阻止应用程序的异常或恶意行为。网络保护:利用WDAV将Windows Defender SmartScreen提供的安全功能扩展到主机上的任意程序和网络连接。受控文件夹访问:利用WDAV防止勒索软件和恶意应用程序修改关键系统和用户文件夹。

这篇博文将主要关注了解和探索WDEG的漏洞保护和攻击表面减少功能。另外,虽然这篇文章的目的是保持解决方案的不可知性,值得注意的是,所有WDEG事件都会自动吸收到Microsoft Defender Advanced Threat Protection中,并具有自己独特的MiscEvent ActionType,可使用高级搜索查询轻松查询。

漏洞保护

漏洞保护(EP)是EMET的自然继承者,并在Windows 10 v1709中引入。EP为攻击尝试提供以下本机缓解功能:

任意代码保护(ACG)阻止远程映像加载锁定不受信任的fontsEnforcing强制数据执行预防(DEP)导出地址筛选(EAF)强制图像随机化(强制ASLR)空页安全缓解内存分配随机化(自下而上ASLR)执行模拟(SimExec)API调用验证(CallerCheck)异常链验证(SEHOP)堆栈完整性验证(StackPivot)证书钉扎EAP Spray AllocationBlocking低完整性映像代码完整性保护扩展点禁用Win32K系统调用禁用子级Process CreationImport Address Filtering(IAF)句柄使用验证堆完整性验证映像依赖完整性

EP策略在XML文件中配置,并通过组策略对象(GPO)或其他方式(如InTune)分发到端点。在大多数情况下,策略文件是使用PowerShell在参考计算机上构建的,然后将配置导出并在其他地方使用。有关配置和部署EP策略的更多信息将在本博客后面介绍。

许多策略都是细粒度的,可以在系统范围内应用,也可以在每个进程的基础上应用。此外,许多策略选项提供了一种审核模式来记录违规行为,而无需实施潜在的破坏性缓解行为。此审核功能可用于在实施前验证EP策略的部署,或者简单地用作检测工程师的遥测源。

攻击面缩减

攻击面缩减(ASR)在Windows 10 v1709中引入,并利用WDAV中断通常被滥用的攻击原语。

ASR规则的示例包括:

阻止来自电子邮件客户端的可执行内容,以及阻止来自创建子进程阻止Office应用程序通过创建可执行内容阻止Office应用程序通过将代码注入其他进程阻止JavaScript或VBScript通过启动下载的可执行内容阻止从Office宏块可执行文件执行可能混淆的scriptsBlock Win32 API调用通过运行除非他们符合流行率、年龄、,或受信任列表标准使用高级保护,防止从Windows本地安全颁发机构子系统(lsass.exe)窃取勒索沃勒克凭据阻止来自PSExec和WMI命令的进程创建阻止从USBBlock Office communication application运行的不受信任和未签名的进程创建子进程进程阻止Adobe Reader创建子进程

与EP不同,ASR策略不是XML文件,而是通过GPO、InTune或PowerShell进行管理,并且每个规则都有相应的GUID。与EP一样,ddos防御设置参数,许多ASR规则可以在强制和审计模式下应用。触发后,ASR事件将填充到"Microsoft Windows Defender\Operational"日志中,事件ID为1121和1122,用于审计和强制执行操作,分别。

漏洞保护事件文档