欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

卡巴斯基2017年企业信息系统的安全评估报告

来源:本站整理 作者:佚名 时间:2018-09-12 TAG: 我要投稿
获取域管理员权限的最简单攻击向量的示例:
攻击者通过NBNS欺骗攻击和NTLM中继攻击拦截管理员的NetNTLM哈希,并利用该哈希在域控制器上进行身份验证;
利用HP Data Protector中的漏洞CVE-2011-0923,然后从lsass.exe进程的内存中提取域管理员的密码
获取域管理员权限的最小步骤数

下图描述了利用以下漏洞获取域管理员权限的更复杂攻击向量的一个示例:
使用包含已知漏洞的过时版本的网络设备固件
使用弱密码
在多个系统和用户中重复使用密码
使用NBNS协议
SPN账户的权限过多
获取域管理员权限的示例

第一步
利用D-Link网络存储的Web服务中的漏洞。该漏洞允许以超级用户的权限执行任意代码。创建SSH隧道以访问管理网络(直接访问受到防火墙规则的限制)。
漏洞:过时的软件(D-link)
第二步
检测到思科交换机和一个可用的SNMP服务以及默认的社区字符串“Public”。思科IOS的版本是通过SNMP协议识别的。
漏洞:默认的SNMP社区字符串
第三步
利用思科IOS的版本信息来发现漏洞。利用漏洞CVE-2017-3881获取具有最高权限的命令解释器的访问权。
漏洞:过时的软件(思科)
第四步
提取本地用户的哈希密码
第五步
离线密码猜测攻击。
漏洞:特权用户弱密码
第六步
NBNS欺骗攻击。拦截NetNTLMv2哈希。
漏洞:使用NBNS协议
第七步
对NetNTLMv2哈希进行离线密码猜测攻击。
漏洞:弱密码
第八步
使用域帐户执行Kerberoasting攻击。获得SPN帐户的TGS票证
第九步
从思科交换机获取的本地用户帐户的密码与SPN帐户的密码相同。
漏洞:密码重用,账户权限过多
关于漏洞CVE-2017-3881(思科IOS中的远程代码执行漏洞)
在CIA文件Vault 7:CIA中发现了对此漏洞的引用,该文档于2017年3月在维基解密上发布。该漏洞的代号为ROCEM,文档中几乎没有对其技术细节的描述。之后,该漏洞被分配编号CVE-2017-3881和cisco-sa-20170317-cmp。
该漏洞允许未经授权的攻击者通过Telnet协议以最高权限在思科IOS中执行任意代码。在CIA文档中只描述了与开发漏洞利用程序所需的测试过程相关的一些细节; 但没有提供实际漏洞利用的源代码。尽管如此,卡巴斯基实验室的专家Artem Kondratenko利用现有的信息进行实验研究重现了这一高危漏洞的利用代码。
关于此漏洞利用的开发过程的更多信息,请访问 https://kas.pr/fk8g, https://kas.pr/amv7。
最常用的攻击技术
通过分析用于在活动目录域中获取最高权限的攻击技术,我们发现:
用于在活动目录域中获取最高权限的不同攻击技术在目标企业中的占比

NBNS/LLMNR欺骗攻击

我们发现87%的目标企业使用了NBNS和LLMNR协议。67%的目标企业可通过NBNS/LLMNR欺骗攻击获取活动目录域的最大权限。该攻击可拦截用户的数据,包括用户的NetNTLMv2哈希,并利用此哈希发起密码猜测攻击。
安全建议:
建议禁用NBNS和LLMNR协议
检测建议:
一种可能的解决方案是通过蜜罐以不存在的计算机名称来广播NBNS/LLMNR请求,如果收到了响应,则证明网络中存在攻击者。示例:https://blog.netspi.com/identifying-rogue-nbns-spoofers/,https://github.com/Kevin-Robertson/Conveigh 。
如果可以访问整个网络流量的备份,则应该监测那些发出多个LLMNR/NBNS响应(针对不同的计算机名称发出响应)的单个IP地址。
NTLM中继攻击

在NBNS/LLMNR 欺骗攻击成功的情况下,一半的被截获的NetNTLMv2哈希被用于进行NTLM中继攻击。如果在NBNS/LLMNR 欺骗攻击期间拦截了域管理员帐户的NetNTLMv2哈希,则可通过NTLM中继攻击快速获得活动目录的最高权限。
42%的目标企业可利用NTLM中继攻击(结合NBNS/LLMNR欺骗攻击)获取活动目录域的最高权限。47%的目标企业无法抵御此类攻击。
安全建议:
防护该攻击的最有效方法是阻止通过NTLM协议的身份验证。但该方法的缺点是难以实现。
身份验证扩展协议(EPA)可用于防止NTLM中继攻击。
另一种保护机制是在组策略设置中启用SMB协议签名。请注意,此方法仅可防止针对SMB协议的NTLM中继攻击。
检测建议:
此类攻击的典型踪迹是网络登录事件(事件ID4624,登录类型为3),其中“源网络地址”字段中的IP地址与源主机名称“工作站名称”不匹配。这种情况下,需要一个主机名与IP地址的映射表(可以使用DNS集成)。
或者,可以通过监测来自非典型IP地址的网络登录来识别这种攻击。对于每一个网络主机,应收集最常执行系统登录的IP地址的统计信息。来自非典型IP地址的网络登录可能意味着攻击行为。这种方法的缺点是会产生大量误报。
利用过时软件中的已知漏洞

上一页  [1] [2] [3] [4] [5] [6] [7] [8]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载