系統管理工(gōng)具和合法協議原本是爲了給系統管理員(yuán)、信息安全專業人員(yuán)、開(kāi)發人員(yuán)和程序員(yuán)的日常工(gōng)作提供靈活性和高效性而設計的。然而,當被黑客、網絡犯罪分(fēn)子和其他惡意行爲者使用時,它們可以使惡意軟件融入正常的網絡流量,規避傳統的安全機制,同時留下(xià)很少的痕迹。
從2017年發生(shēng)一(yī)些安全事件來看,系統管理工(gōng)具和合法協議的意外(wài)暴露或者處于其他不安全狀态,都可能帶來大(dà)家昂貴的後果。
以下(xià)是我(wǒ)們爲大(dà)家帶來的一(yī)些在2017年發生(shēng)的安全事件中(zhōng)被普遍濫用的工(gōng)具和協議,以及與之相對應的預防措施:
Windows PowerShell 是一(yī)個包含腳本環境和命令行外(wài)殼程序的管理框架。它使系統管理員(yuán)能夠自動化任務和管理流程,包括啓動命令提示符、終止進程、定位文件夾和文件、安排命令并将其設置在後台、訪問應用程序接口(API)以及管理系統和服務器的配置。
PowerShell是許多惡意軟件的主要組成部分(fēn)之一(yī),尤其是“無文件”攻擊。例如,像Cerber和PowerWare等這樣的勒索軟件、FAREIT這樣的信息竊取程序、VAWTRAK這樣的銀行木馬程序以及後門程序,它們都通過将惡意PowerShell腳本嵌入到其可執行文件或宏病毒文件中(zhōng),以此來檢索和啓動有效負載。
鑒于PowerShell的性質,它通常被列入白(bái)名單,而攻擊者恰好能利用這一(yī)點來逃避防病毒軟件的安全檢測。
限制其使用是最直接的辦法,或将可能被濫用的命令解釋程序列入黑名單。這兩種措施都能夠提高安全性,但必然會影響其他系統功能。
另外(wài),則可以通過使用PowerShell本身來觸發腳本中(zhōng)的命令和參數,以此來檢測該腳本中(zhōng)是否含有惡意命令或參數。值得注意的是,PowerShell本身具有日志(zhì)功能,可以用來分(fēn)析系統内的可疑行爲。
PsExec是一(yī)個命令行工(gōng)具,可以讓用戶遠程啓動進程并執行命令或可執行文件,在登錄到系統的用戶權限内運行。
PsExec是多功能的,因爲它可以讓管理員(yuán)重定向系統之間的控制台輸入和輸出,也可以用來推出補丁或修補程序。
勒索軟件Petya、NotPetya以及HDDCryptor使用PsExec的惡意版本來訪問并感染遠程機器;“無文件”勒索軟件SOREBRECT則通過濫用PsExec實現了代碼注入功能。此外(wài),由于PsExec的靈活性,它也被濫用來劫持終端,成爲僵屍網絡的一(yī)部分(fēn)。據報道,PsExec也被用于目标數據洩露。
PsExec的開(kāi)發者Mark Russinovich 指出,在攻擊者的手中(zhōng),它可以提供橫向移動的方式。因此,首先需要限制用戶的寫入權限,以阻止通過網絡傳播的攻擊。其次,需要定期檢查分(fēn)配給每個用戶的權限。更重要的是,僅限于那些需要它的人使用。
命令行工(gōng)具,也稱爲命令語言解釋器。使用戶能夠與操作系統或應用程序/程序交互,并通過基于文本的命令執行任務。示例包括例子包括PowerShell、Windows Management Instrumentation 命令行 (WMIC)、Microsoft注冊服務器(regsvr32)以及命令提示符(CMD)。
管理員(yuán)、開(kāi)發人員(yuán)和程序員(yuán)可以使用命令行工(gōng)具來自動化任務,它們也是操作系統或應用程序中(zhōng)的重要組件。
勒索軟件Petya、NotPetya使用WMIC作爲安裝勒索軟件的自動防故障選項,以防其PsExec版本不成功。
黑客組織Cobalt濫用了三種命令行工(gōng)具來實現他們的有效負載:PowerShell;odbcconf.exe,它與Microsoft數據訪問組件相關以及regsvr32,用于在注冊表中(zhōng)注冊動态鏈接庫。
後門程序通常包括一(yī)個例程,在這個例程中(zhōng),CMD被啓動來發出惡意命令,比如執行額外(wài)的惡意軟件。
對于開(kāi)發人員(yuán)和程序員(yuán),在設計中(zhōng)應用安全性。大(dà)多數命令行工(gōng)具都内置在系統中(zhōng),所以管理員(yuán)應該隻在需要時啓用它們,并爲它們施加身份驗證和訪問策略。他們通常被列入白(bái)名單,因此,部署行爲監控機制可以阻斷對系統或文件的異常修改。
遠程桌面允許用戶遠程連接到其他客戶機(即虛拟桌面)。在Windows中(zhōng),遠程桌面通過遠程桌面協議(RDP)進行連接。RDP是一(yī)種網絡通信協議,内置于大(dà)多數Windows操作系統中(zhōng),提供了一(yī)個圖形用戶界面,用戶可以與其他系統進行遠程交互。
當遠程桌面沒有正确配置或沒有得到安全保護的情況下(xià)暴露在互聯網上時,它們就成爲攻擊媒介。例如,Crysis這樣一(yī)種勒索軟件,以暴力破解RDP客戶端和手動執行而聞名。另外(wài),POS機惡意軟件還使用遠程桌面來進行端點的非法訪問。
首先,如果不需要,請禁用或限制使用遠程桌面。其次,使用高強度密碼來防止其遭到暴力破解或詞典攻擊。最後,使用加密來阻止攻擊者竊聽(tīng)網絡流量并采用身份驗證和帳戶鎖定策略。
SMB是一(yī)種網絡通信協議(使用TCP端口445),可在所有Windows操作系統中(zhōng)使用,允許用戶通過網絡共享文件、打印機、串行端口和其他資(zī)源。用戶可以通過SMB訪問進行各種操作,比如可以打開(kāi)、讀取、寫入(創建或修改)、複制和删除遠程服務器上的文件或文件夾。
臭名昭着的勒索軟件WannaCry和“無文件”勒索軟件UIWIX,以及利用“永恒之藍(lán)(EternalBlue)”漏洞的加密貨币挖掘惡意軟件 Adylkuzz,利用SMB V1中(zhōng)的漏洞(CVE-2017-0144)傳播到其他系統。
黑客組織影子經紀人(Shadow Brokers)的其他漏洞也針對SMB漏洞,比如“永恒之石(EternalRocks)”、“永恒浪漫(EternalRomance)”和“永恒冠軍(EternalChampion)”等等。
勒索軟件壞兔子(Bad Rabbit)就使用了“永恒協作(EternalSynergy)”的自定義版本的進行傳播。
另外(wài),一(yī)個Linux系統中(zhōng)實施SMB的漏洞SambaCry被用來感染具有後門的網絡存儲(NAS)設備。
禁用SMB v1及其相關協議和端口是最直接的辦法。 如果在工(gōng)作場所使用SMB,則需要更新到最新版本,使用不需要和過時的協議隻會擴大(dà)系統的攻擊面。
選用具備主動監控網絡功能的網絡安全産品,比如防火(huǒ)牆、入侵檢測以及防禦系統在這方面會有所幫助,虛拟補丁則提供了針對老舊(jiù)系統或網絡中(zhōng)遺留漏洞的保護。
上一(yī)篇:網絡安全問題爲何頻(pín)繁?安全人員(yuán)存在巨大(dà)缺口
下(xià)一(yī)篇:2018年12月安全動态