欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

卡巴斯基2017年企业信息系统的安全评估报告

来源:本站整理 作者:佚名 时间:2018-09-12 TAG: 我要投稿

过时软件中的已知漏洞占我们实施的攻击向量的三分之一。
大多数被利用的漏洞都是2017年发现的:
思科IOS中的远程代码执行漏洞(CVE-2017-3881)
VMware vCenter中的远程代码执行漏洞(CVE-2017-5638)
Samba中的远程代码执行漏洞(CVE-2017-7494 – Samba Cry)
Windows SMB中的远程代码执行漏洞(MS17-010)
大多数漏洞的利用代码已公开(例如MS17-010、Samba Cry、VMwarevCenter CVE-2017-5638),使得利用这些漏洞变得更加容易
常见的内部网络攻击是利用Java RMI网络服务中的远程代码执行漏洞和Apache Common Collections(ACC)库(这些库被应用于多种产品,例如思科局域网管理解决方案)中的Java反序列化漏洞实施的。反序列化攻击对许多大型企业的软件都有效,可以在企业基础设施的关键服务器上快速获取最高权限。
Windows中的最新漏洞已被用于远程代码执行(MS17-010 永恒之蓝)和系统中的本地权限提升(MS16-075 烂土豆)。在相关漏洞信息被公开后,全部企业的60%以及接受渗透测试的企业的75%都存在MS17-010漏洞。应当指出的是,该漏洞不仅在2017年第一季度末和第二季度在这些企业中被发现(此时检测到该漏洞并不令人惊讶,因为漏洞补丁刚刚发布),而且在2017年第四季度在这些企业中被检测到。这意味着更新/漏洞管理措施并没有起到作用,并且存在被WannaCry等恶意软件感染的风险。
安全建议:
监控软件中被公开披露的新漏洞。及时更新软件。使用包含IDS/IPS模块的终端保护解决方案。
检测建议:
以下事件可能意味着软件漏洞利用的攻击尝试,需要进行重点监测:
触发终端保护解决方案中的IDS/IPS模块;
服务器应用进程大量生成非典型进程(例如Apache服务器启动bash进程或MS SQL启动PowerShell进程)。为了监测这种事件,应该从终端节点收集进程启动事件,这些事件应当包含被启动进程及其父进程的信息。这些事件可从以下软件收集得到:收费软件EDR解决方案、免费软件Sysmon或Windows10/Windows 2016中的标准日志审计功能。从Windows 10/Windows 2016开始,4688事件(创建新进程)包含了父进程的相关信息。
客户端和服务器软件的不正常关闭是典型的漏洞利用指标。请注意这种方法的缺点是会产生大量误报。
在线密码猜测攻击

在线密码猜测攻击最常被用于获得Windows用户帐户和Web应用管理员帐户的访问权限。
密码策略允许用户选择可预测且易于猜测的密码。此类密码包括:p@SSword1, 123等。
使用默认密码和密码重用有助于成功地对管理接口进行密码猜测攻击。
安全建议:
为所有用户帐户实施严格的密码策略(包括用户帐户、服务帐户、Web应用和网络设备的管理员帐户等)。
提高用户的密码保护意识:选择复杂的密码,为不同的系统和帐户使用不同的密码。
对包括Web应用、CMS和网络设备在内的所有系统进行审计,以检查是否使用了任何默认帐户。
检测建议:
要检测针对Windows帐户的密码猜测攻击,应注意:
终端主机上的大量4625事件(暴力破解本地和域帐户时会发生此类事件)
域控制器上的大量4771事件(通过Kerberos攻击暴力破解域帐户时会发生此类事件)
域控制器上的大量4776事件(通过NTLM攻击暴力破解域帐户时会发生此类事件)
离线密码猜测攻击

离线密码猜测攻击常被用于:
破解从SAM文件中提取的NTLM哈希
破解通过NBNS/LLMNR欺骗攻击拦截的NetNTLMv2哈希
Kerberoasting攻击(见下文)
破解从其它系统上获取的哈希
Kerberoasting攻击

Kerberoasting攻击是针对SPN(服务主体名称)帐户密码的离线暴力破解攻击,其Kerberos TGS服务票证是加密的。要发起此类攻击,只需要有域用户的权限。如果SPN帐户具有域管理员权限并且其密码被成功破解,则攻击者获得了活动目录域的最高权限。在20%的目标企业中,SPN帐户存在弱密码。在13%的企业中(或在17%的获得域管理员权限的企业中),可通过Kerberoasting攻击获得域管理员的权限。
安全建议:
为SPN帐户设置复杂密码(不少于20个字符)。
遵循服务帐户的最小权限原则。
检测建议:
监测通过RC4加密的TGS服务票证的请求(Windows安全日志的记录是事件4769,类型为0×17)。短期内大量的针对不同SPN的TGS票证请求是攻击正在发生的指标。
卡巴斯基实验室的专家还利用了Windows网络的许多特性来进行横向移动和发起进一步的攻击。这些特性本身不是漏洞,但却创造了很多机会。最常使用的特性包括:从lsass.exe进程的内存中提取用户的哈希密码、实施hash传递攻击以及从SAM数据库中提取哈希值。
使用此技术的攻击向量的占比

从lsass.exe进程的内存中提取凭据

由于Windows系统中单点登录(SSO)的实现较弱,因此可以获得用户的密码:某些子系统使用可逆编码将密码存储在操作系统

上一页  [1] [2] [3] [4] [5] [6] [7] [8]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载