来自 DDOS 2021-09-01 15:24 的文章

防御ddos_燕云盾太_精准

防御ddos_燕云盾太_精准

今年早些时候,ddos防御winsows,戴尔公司的SecureWorks发布了一份对一个被他们命名为"Skeleton Key"的恶意软件的分析报告。此恶意软件绕过具有单因素(仅密码)身份验证的Active Directory用户的身份验证。SecureWorks CTU记录的"骨架密钥"攻击依赖于几个关键部件,这些部件按威胁参与者使用的相反顺序列出:1.)驻留在域控制器内存中的Skelky特洛伊木马(或来自Winnti家族的类似恶意软件)。2.)从Windows Sysinternals toolkit中的psexec,以LocalSystem帐户启动特洛伊木马程序。3.)访问Active Directory域控制器4.)网络接入虽然其他厂商有很好的文章详细说明了这种攻击是如何工作的,但我们将花一些时间讨论一些可用的防御策略。阻止特洛伊木马程序这种先进的持久威胁攻击的一个特点就是能够使用任何密码作为网络上的任何用户进行身份验证,即身份验证"骨架密钥"。这是通过驻留在受害者环境中一个或多个域控制器内存中的特洛伊木马程序获得的。包括我们的PowerBroker Endpoint Protection在内的多家AV供应商都具有阻止已知版本的此特洛伊木马的签名。但是,怎么防御ddos打打公网ip,ddos流量攻击防御,这些产品需要配置为扫描整个内存,而不仅仅是磁盘上的文件,因为戴尔记录的攻击只使用内存驻留代码,这样就不会给离线取证留下痕迹。对于PowerBroker Endpoint Protection,选项如下:(此屏幕位于:BeyondInsight->配置->保护策略->策略名称->编辑策略->规则名称->管理)AV签名的缺点是许多特洛伊木马、蠕虫和病毒(包括这一个)都是多态的,可以通过改变来避免AV签名。因此,使用AV阻止特洛伊木马运行不应是相关管理员采用的唯一防御措施。阻止特洛伊木马程序启动在戴尔和赛门铁克的报告中,所描述的恶意软件肯定是特洛伊木马,而不是蠕虫。这意味着它需要由参与者手动启动,要么是威胁参与者,要么是不知情的管理员。在戴尔的writeup中,linux防御cc,这个启动器是微软的psexec实用程序。如果您不熟悉psexec的使用,我们强烈建议您阅读Microsoft Technet文章,以了解这个功能强大的系统管理工具。(APT参与者通常会重复使用标准的系统管理工具,以避免在目标环境中的许多系统上安装自定义工具包,并帮助避免系统管理员检测到。)Psexec有一个独特的功能,允许软件以"LocalSystem"的形式启动—内核和系统驱动程序是同一个帐户经常作为。这使得许多防御工具很难从系统中删除特洛伊木马。BeyondTrust的PowerBroker for Windows软件不仅可以用来阻止此工具,而且可以阻止许多此类工具的运行。服务器上的PowerBroker for Windows可以要求管理员为其运行的每个活动提供原因,但它也可以防止已知的危险工具,即使它们有很好的用途,例如psexec。PowerBroker for Windows规则完全阻止psexec的示例如下所示:尽管psexec.exe文件是由Microsoft签名的,并且我们可能有一个允许所有Microsoft签名的软件运行的规则,我们仍然可以阻止这个特定的工具,无论它存在于服务器的硬盘驱动器的哪个位置。阻止访问Active Directory域控制器一旦APT攻击者进入网络,cc防御会拦截蜘蛛,他们通常会使用标准的系统管理工具在网络中横向移动。在骨架密钥攻击的情况下,使用标准\servernameadmin$共享和被盗凭据将文件复制到域控制器。虽然一些安全系统认为admin$共享本身就是一个漏洞,但对于许多集中管理系统来说,它也是必需的。Retina Network Security scanner这样的漏洞扫描程序可以识别具有过度开放管理员组(只有本地管理员组可以访问Admin$共享)的服务器,如下所示。通过使用权限最小的委派和从内置的Administrators组中删除用户(通过运行PowerBroker for Windows等产品,只限制预先允许的软件更容易),可以帮助防止psexec命令在远程系统上远程运行。阻止对网络的初始访问许多长期运行的攻击(如Skeleton Key)的起点是网络的易受攻击的入口点。虽然确保网络上的最低权限是一个必要的安全步骤,但发现和修复攻击者用于进入的漏洞同样重要。无论入口点是带有格式错误的PDF或自行运行的Word宏(例如最近使用的CryptoRansom变体)的spear fishing电子邮件,找到易受攻击的端点并将这些漏洞与最低权限访问和升级相结合,将减少攻击者首先可利用的进入网络的区域。罗伯特·奥赫