来自 DDOS 2022-01-11 18:15 的文章

阿里云高防ip_ddos怎么防止_无限

阿里云高防ip_ddos怎么防止_无限

去年9月,美国网络安全和基础设施安全局(CISA)很少就特定漏洞发布指令,指示在其网络中使用Microsoft Windows Active Directory的政府机构立即修补所有域控制器。与Netlogon协议中名为Zerologon的漏洞CVE-2020-1472有关的问题。

Zerologon漏洞源于Netlogon身份验证机制中不可靠的加密算法。它允许已连接到公司网络或已感染其上计算机的入侵者攻击并最终控制域控制器。

该漏洞得分为CVSSv3等级的最大值10.0。微软早在8月份就发布了一个补丁,但这是荷兰网络安全公司Secura的一项深入研究,引起了人们对zerolong以及如何利用它的广泛关注。在文件发布的几个小时内,防御ntpddos攻击,研究人员开始发表他们自己的概念证明(PoC)。几天之内,GitHub上至少有四个开源代码样本可用,展示了如何实际使用该漏洞。

当然,公开的POC不仅吸引了infosec专家的注意,也吸引了网络犯罪分子的注意 — 只需将代码剪切粘贴到恶意软件中。例如,10月初,网站cc防御,微软报告称,TA505集团试图利用zerolong进行攻击。网络犯罪分子将恶意软件伪装成软件更新,并在受感染的计算机上编译攻击工具,利用该漏洞进行攻击。

另一个组织,即Ryuk勒索软件的幕后黑手,使用Zerologon在短短5小时内感染了一家公司的整个本地网络。在向一名员工发送了一封标准的网络钓鱼电子邮件后,国外高防cdn,该团伙等待该邮件被点击,计算机被感染,cdn高防和高防ip,然后使用Zerologon在网络中横向移动,向所有服务器和工作站分发勒索软件可执行文件。

利用Zerologon可能需要从本地网络内部对域控制器进行攻击。然而,事实上,网络犯罪分子早已能够利用各种方法在网络中劫持电脑,从而克服这一障碍。其中包括利用网络钓鱼,供应链攻击,甚至无人值守的网络插孔在办公区的访客。另一个危险来自远程连接(现在几乎所有公司都使用这种连接) — 尤其是如果员工能够从自己的设备连接到公司资源。

Zerologon的主要问题(以及其他假设的此类漏洞)是,ddos防御的保驾护航,它的利用看起来像是网络中的计算机和域控制器之间的标准数据交换;只有异常激烈的交流才会引起怀疑。因此,仅依赖端点安全解决方案的公司几乎没有机会检测到此类攻击。

处理此类异常的任务最好留给卡巴斯基管理的检测和响应(MDR)等专业服务。它实际上是一个外部安全中心,对网络犯罪策略有深入的了解,为客户提供详细的实用建议。

解决方案分为两个层次:MDR optimum和MDR expert。Zerologon的详细信息一经公布,卡巴斯基SOC专家就开始跟踪利用MDR服务中的漏洞的尝试,确保卡巴斯基管理的检测和响应两个版本都能对抗这种威胁。