安恒EDR新版本本周发布|你还需要了解:攻防对抗之内网探测
前情提要
前三期,我们详细介绍了攻防对抗的前三个阶段单机扩展、隧道搭建、远控持久化,干货满满的文章让大家在学习攻防对抗知识的同时也对EDR在攻防对抗场景的应用价值有了更深刻的了解。
传送门:
攻防对抗中黑客步步为营、招招致命。在单机扩展和隧道搭建阶段重在本机信息的收集,摸索入侵的路径,定位到入侵的目标。远控持久化阶段则重在机器的提权,在单机中持久的潜伏,时刻寻找着渗透和扩散的机会。下一步黑客会怎么行动呢?这就是本期的重点啦。
本期主题,将重点谈一谈:内网探测
内网探测技术广泛应用于复杂的网络攻击中,特别是高级持续性威胁。攻击者使用这些技术在内网进行横向及纵向的渗透攻击,访问受感染系统中的其他主机,获取敏感资信息(如邮箱,共享文件夹或凭证)。这些敏感信息可以用于渗透其他机器、权限提升或者窃取更有价值的凭证。通过内网探测攻击可以拿到域控权限,进而控制域环境下的全部机器,最终达到控制业务获取业务数据的目的。
常见的内网渗透技术
横向移动渗透工具
攻击方式:利用渗透工具,可以做到在同一时间连接、攻击多台主机,获取数据库凭证,并且通过分析凭证去追踪具有管理员权限的用户,若攻击者收集到了内网中服务器的管理员账号、密码或者hash值,就可以利用该工具将本机作为跳板,对其他服务器进行远程代码执行攻击、把域密码策略dump下来,进行分析,横向扩展。
常见防护建议:建议查看渗透工具的上传时间,并查看在这个时间段有哪些服务器对本地服务器进行了访问,这些服务器中可能存在已经被攻击者控制的机器,对可疑的服务器进行访问限制,同时对本机进行访问限制,防止对内网中的其他服务器进行攻击。
内网漏洞利用
攻击方式:常见的内网渗透漏洞有远程代码执行漏洞和任意文件读取漏洞。对于有远程代码执行漏洞的服务器,攻击者可以通过注入实现远程代码执行,无需登录等操作,直接可以获得服务器的权限或者通过执行任意代码,向网站写WebShell控制整个网站甚至服务器。对于有文件读取漏洞的服务器,攻击者可通过该漏洞进行目录穿越,导致未授权的用户读取服务器任意文件,给服务器信息安全造成严重威胁。
常见防护建议:把系统升级到最新版本或安装最新的漏洞补丁,使用防火墙策略,防止端口暴露在互联网,设置精细化网络访问控制,同时开启认证功能,不要使用默认账号口令,配置自定义账号和强口令,防止暴力破解攻击事件。
哈希传递
攻击方式:哈希传递(pass-the-hash)在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务,而不用提供明文密码。通过哈希传递,攻击者可以通过已经获取的主机凭证去碰撞目标主机,如果内网内存在多个同一密码的主机,将都可能受到该攻击。攻击者可通过凭证连接远程主机的445、135端口,从而直接对远程计算机进行完全控制,且无需明文密码,进而访问局域网服务器特定资源,严重威胁内网服务器的信息安全。
常见防护建议:及时更新系统版本并部署防火墙等安全软件。禁止用户网络登录,阻止主机缓存内存中远程验证用户的凭据禁止缓存受保护用户不支持的凭据。建议定期修改密码,增加密码强度,每台服务器设置不同的密码。
ARP欺骗
攻击方式:ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术,通过欺骗局域网内访问者PC的网关MAC地址,使访问者PC错以为攻击者更改后的MAC地址是网关的MAC,导致网络流量经过攻击者。攻击者可在内网已沦陷的主机发起ARP劫持,通过ARP攻击控制目标流量,可以监控目标机器的通信情况、上网信息、明文传输的密码等敏感信息,还可以对目标访问的页面或者下载的文件进行恶意篡改、绑定恶意木马,或进行网络钓鱼等恶意行为。
常见防护建议:使用Https协议或其他有保密协议的连接进行访问,对传输数据进行加密。确保防火墙正常运行并开启相关ARP保护。安装个人防护软件绑定mac地址。
安恒EDR解决方案
对于内网探测黑客渗透工具,安恒EDR相关专家根据上百种ATT&CK攻击检测模型,研发高级威胁模块中的内网探测功能,全面提高威胁检测能力,对内网探测的恶意行为进行实时监控使得EDR不仅能够防止黑客渗透工具的产生,而且还能做到黑客渗透工具的防启动和防内网探测。
防生成:开启病毒防护功能中的文件产生时、存储介质连接时扫描,可在恶意渗透工具落地实时发现阻断并告警。详细记录生成的包括文件路径、工具名称、MD5等相关信息,用于排查和告警。
防启动:开启病毒防护功能中文件执行时扫描,可在恶意渗透工具启动时实时发现阻断并告警。详细记录生成的包括进程、进程命令行、父进程、父进程命令行等相关信息,用于清理处置。
防内网探测:开启高级威胁中的防内网探测功能模块,可在渗透工具进行内网内网探测时实时阻断并告警。详细记录生成的包括来源IP、进程树、风险评级等相关信息,用于追踪溯源。
安恒EDR是一款集成了丰富的系统防护与加固、网络防护与加固等功能的主机安全产品。业界独有的高级威胁模块,专门应对攻防对抗场景;自主研发的免疫引擎与专利级文件诱饵引擎,有着业界领先的勒索专防专杀能力;通过内核级东西向流量隔离技术,实现网络隔离与防护、流量画像;拥有补丁修复、外设管控、文件审计、违规外联检测与阻断等主机安全能力。目前产品广泛应用在服务器、桌面PC、虚拟机、工控系统、国产操作系统、容器安全等各个场景。
下期预告
安恒EDR新版本将重磅发布
敬请关注哦~
往期精选
围观
第三届杭州滨江国际人才节开幕 安恒信息获“抗疫·滨江力量”奖
热文
安恒主机卫士EDR入驻统信UOS应用商店 全方位主机安全防护“上线”
热文
直播回放| 云时代,中⼩企业如何“安全”逆袭?观点荟萃来了!