来自 DDOS 2021-02-20 10:00 的文章

广东高防_怎么办_平台防ddos攻击

广东高防_怎么办_平台防ddos攻击

良好的安全性有时要求我们回到一些基本问题上,包括如何使用和保护管理凭据。管理员帐户使我们能够配置各种技术,ddos流量防御,从软件安装、Windows网络控制到WordPress服务器。如果你能管理它,很有可能有一个专门的帐户。因为这些帐户具有高级别的特权,所以它们需要保持安全,以防止未经授权的活动更改。在试图保护其管理帐户的同时,组织可能会被系统管理员越权关闭系统、添加后门和在被解雇后勒索访问的想法所困扰。在我发表关于WinRM横向移动的文章后,一位安全工程师写了一篇文章,介绍如何缓解管理员试图在网络中超越自己权限的"不良管理"问题。这些场景每年在新闻中出现几次,通常被称为"流氓管理员"但是,那些以某种方式获得行政账户的真正的坏蛋呢?这本质上是一个未经授权的用户,该用户已获得访问企业中一个或多个系统的特权。MITRE ATT&CK矩阵将这种妥协归类为凭证访问,它与坏管理员的威胁同样重要。好消息是,对凭据访问的检测和缓解将同时覆盖坏管理员的威胁。让我们看看redcanary是如何观察到管理员凭据的泄露和滥用的。然后,运营商怎么防御DDOS,我们将分享一些关于如何检测和防止管理员帐户滥用和凭证被盗的提示。被盗用的证件:来自网络事件响应小组的故事一位红色金丝雀顾客最近参加了一次相当响亮和有效的红色团队参与。一天晚上,我们的安全分析人员开始发现奇怪的活动,执行了两个可疑的二进制文件,其中一个的行为类似于web代理。我们的分析师注意到第一个二进制文件,主进程,从一个奇怪的位置执行。此进程通常不在"inetsrv"文件夹中,因为该文件夹包含与WindowsIISWeb服务器相关的二进制文件。此外,二进制文件不具有我们通常在Windows进程中看到的任何签名或其他元数据属性。接下来,它产生了另一个伪装成Windows进程的可疑二进制文件,这次是WMI提供程序主机(wmiprvse.exe文件).就像第一个一样,这个二进制文件没有通常的签名或元数据信息,但是这个二进制文件又迈出了一步:它开始将代码加载到典型的网络或web活动的内存中。我们对这个二进制的假设是,它作为一个点,让对手进一步深入客户的网络。真正的乐趣从第二天早上开始。使用传入的端点数据,我们注意到客户环境中有许多端点执行可疑的二进制文件。执行之后,使用"netgroup"命令执行一些帐户枚举活动,并将输出保存到一个文件中。在前几个端点上,帐户枚举仅限于查找域管理员帐户。这是一个明显的危险信号,防御cc的公司,因为此组在Windows网络中具有高度特权,允许管理员重新配置和导出与Active Directory域(客户拥有的)相关的数据。很快,对手们加大了赌注,列举了另一个群体,企业管理员。Windows管理员现在应该要绞尽脑汁了,因为如果您的域是一个更大的组织的一部分,该组将提供更高级别的权限,可以管理和导出来自多个Active Directory域的数据。那可疑的二进制文件呢?大约在枚举活动开始的同时,我们观察到一个名为mimnew64.exe的二进制文件。但在前一天,国外免费高防cdn,在客户的端点环境中观察到了大量的数据。考虑到上下文,我们根据一些观察结果假设二进制文件是Mimikatz的重新编译版本。由二进制文件加载的动态链接库(DLL)代码与我们期望的Mimikatz行为一致,它使跨进程内存读取到本地安全机构子系统服务(lsass.exe文件). 我们看到合法的应用程序让这个内存一直在读,但它总是激起我们的好奇心,当一个我们从来没有见过的二进制文件这样做。此外,二进制文件作为本地系统帐户执行,因为它是从Windows服务主机进程派生的(服务管理程序). 这种上下文组合提供了一个完美的风暴,可以使用Mimikatz从工作站转储密码散列。有了这个关于可疑二进制文件的假设,我们也有了一个新的更大的假设:对手试图转储他们可以接触的所有工作站的凭据,直到他们遇到一个域管理员登录的工作站。很快这个假设被客户的活动目录域控制器报告的事件所验证…在域控制器上,我们首先注意到通过PSExec发出了"whoami"命令。虽然这本身并不是恶意的,但这是一个很好的第一个指标,表明在事件发生期间发生了一些错误。对手通常会验证他们使用的帐户,以确定是否需要升级权限。在某种程度上,对手意识到他们在一个域控制器上,并将策略切换到数据窃取模式。他们产生了一个"vssadmin.exe文件,一个管理Windows卷影副本的工具。正如我们的分析师在检测中指出的,卷影副本用于复制和备份Windows使用的文件(如凭据数据库)。但是,在备份实用程序之外使用是可疑的。在这种情况下,对手创建了一个卷影副本并开始使用该卷影副本。首先,他们似乎将域控制器的系统和SAM注册表配置单元复制到一个网络共享中,用于文件共享或托管。接下来,他们提取了一个名为ntds.dit公司". 再说一次,Windows管理员们应该是汗流浃背:坏人刚刚得到了一份包含用户名和密码哈希的activedirectory数据库副本!提取的文件被复制到一个网络共享以进行过滤。怎么会这样?没人会愿意给坏人行政许可,对吧?显然某个地方出现了故障,因为某人能够执行只有域管理员才应该执行的操作:ActiveDirectory导出。在本例中,管理员帐户似乎被破坏了,因为它被用来登录网络上的工作站,而不仅仅是域控制器。一旦对手在工作站上运行他们的疑似Mimikatz,并发现属于某个域管理员的密码哈希值,他们就可以转储这些哈希值,并使用它们进一步验证该帐户的身份。如何检测凭证访问这种威胁检测带来了一个问题:我们如何才能检测到这种类型的活动?根据定义,管理员帐户可以在企业系统中自由移动,没有许多限制。当对手获得这些凭证的访问权限时,情况很糟糕,因为他们可以像管理员一样自由移动。实施审计和控制比你的解决方案更性感。许多较新的系统都包含审计系统,当有人通过事件日志中的通知或其他方式访问特权帐户时,可以让您知道。通过对组策略对象启用审核选项,可以在Windows Active Directory环境中执行此操作。有时管理员可以考虑禁用某些控件。在可能的情况下,最好在这些控制措施发生变化时进行审计。一旦对您使用的任何系统实施了审计控制,您就可以使用这些控制来查明管理帐户何时出现异常行为。在数据中查找异常值。帐户是否登录到从未登录过的系统?它是在拥有该帐户的人睡着的时候登录的吗?它在执行可疑的命令吗?回答每一个问题都需要你了解你的环境以及现实生活中的人们是如何运作的。虽然像Red Canary这样的合作伙伴可以帮助检测未经授权的凭据访问和不良的管理活动,但上下文必须与活动关联,以便区分授权管理员和对手。归根结底,组织的安全团队更了解其环境的具体情况,并且能够比任何人都更有效地识别这种活动。防止凭证被盗的5个技巧1: 从良好的卫生开始。大多数情况下,通过良好的安全卫生措施可以防止凭证被盗。不要给未经授权的人提供密码,不要将凭据存储在未经授权的人可以轻松访问的区域或表格中。根据网络中的系统,此卫生可能需要进一步扩展。如果需要通过网络连接(例如到web服务器)传输凭据,请确保网络连接使用加密。使用HTTPS而不是HTTP。使用SSH而不是Telnet。2: 了解凭据的存储或缓存位置。默认情况下,Windows系统在登录时缓存用户凭据。这意味着,如果域管理员的凭据用于对系统进行故障排除或修复,则可以将其缓存在工作站上。这种缓存可能是危险的,而且微软已经在较新版本的Windows中添加了一些功能,cc防御哪家好,允许您指定不缓存凭据的用户。此外,windows10还添加了一个名为Credential Guard的功能来帮助抵御这些威胁。3: 最小化管理员跳转框的使用。与横向移动一样,尽量减少使用管理员凭据登录的计算机数量将有助于您集中精力加强系统。4: 实现多因素认证。这需要自上而下的管理支持,但它大大减少了证书被盗可能造成的损害。这些解决方案确保,如果没有附加的