细数那些在2017年被黑客滥用的系统管理工具和协议

“用指尖改变世界”

系统管理工具和合法协议原本是为了给系统管理员、信息安全专业人员、开发人员和程序员的日常工作提供灵活性和高效性而设计的。然而,当被黑客、网络犯罪分子和其他恶意行为者使用时,它们可以使恶意软件融入正常的网络流量,规避传统的安全机制,同时留下很少的痕迹。

从2017年发生一些安全事件来看,系统管理工具和合法协议的意外暴露或者处于其他不安全状态,都可能带来大家昂贵的后果。

以下是我们为大家带来的一些在2017年发生的安全事件中被普遍滥用的工具和协议,以及与之相对应的预防措施:

PowerShell

它是什么?

Windows PowerShell 是一个包含脚本环境和命令行外壳程序的管理框架。它使系统管理员能够自动化任务和管理流程,包括启动命令提示符、终止进程、定位文件夹和文件、安排命令并将其设置在后台、访问应用程序接口(API)以及管理系统和服务器的配置。

它如何被滥用?

PowerShell是许多恶意软件的主要组成部分之一,尤其是“无文件”攻击。例如,像Cerber和PowerWare等这样的勒索软件、FAREIT这样的信息窃取程序、VAWTRAK这样的银行木马程序以及后门程序,它们都通过将恶意PowerShell脚本嵌入到其可执行文件或宏病毒文件中,以此来检索和启动有效负载。

鉴于PowerShell的性质,它通常被列入白名单,而攻击者恰好能利用这一点来逃避防病毒软件的安全检测。

有什么防御措施?

限制其使用是最直接的办法,或将可能被滥用的命令解释程序列入黑名单。这两种措施都能够提高安全性,但必然会影响其他系统功能。

另外,则可以通过使用PowerShell本身来触发脚本中的命令和参数,以此来检测该脚本中是否含有恶意命令或参数。值得注意的是,PowerShell本身具有日志功能,可以用来分析系统内的可疑行为。

PsExec

它是什么?

PsExec是一个命令行工具,可以让用户远程启动进程并执行命令或可执行文件,在登录到系统的用户权限内运行。

PsExec是多功能的,因为它可以让管理员重定向系统之间的控制台输入和输出,也可以用来推出补丁或修补程序。

它如何被滥用?

勒索软件Petya、NotPetya以及HDDCryptor使用PsExec的恶意版本来访问并感染远程机器;“无文件”勒索软件SOREBRECT则通过滥用PsExec实现了代码注入功能。此外,由于PsExec的灵活性,它也被滥用来劫持终端,成为僵尸网络的一部分。据报道,PsExec也被用于目标数据泄露。

有什么防御措施?

PsExec的开发者Mark Russinovich 指出,在攻击者的手中,它可以提供横向移动的方式。因此,首先需要限制用户的写入权限,以阻止通过网络传播的攻击。其次,需要定期检查分配给每个用户的权限。更重要的是,仅限于那些需要它的人使用。

Command-line Tools

它是什么?

命令行工具,也称为命令语言解释器。使用户能够与操作系统或应用程序/程序交互,并通过基于文本的命令执行任务。示例包括例子包括PowerShell、Windows Management Instrumentation 命令行 (WMIC)、Microsoft注册服务器(regsvr32)以及命令提示符(CMD)。

管理员、开发人员和程序员可以使用命令行工具来自动化任务,它们也是操作系统或应用程序中的重要组件。

它如何被滥用?

勒索软件Petya、NotPetya使用WMIC作为安装勒索软件的自动防故障选项,以防其PsExec版本不成功。

黑客组织Cobalt滥用了三种命令行工具来实现他们的有效负载:PowerShell;odbcconf.exe,它与Microsoft数据访问组件相关以及regsvr32,用于在注册表中注册动态链接库。

后门程序通常包括一个例程,在这个例程中,CMD被启动来发出恶意命令,比如执行额外的恶意软件。

有什么防御措施?

对于开发人员和程序员,在设计中应用安全性。大多数命令行工具都内置在系统中,所以管理员应该只在需要时启用它们,并为它们施加身份验证和访问策略。他们通常被列入白名单,因此,部署行为监控机制可以阻断对系统或文件的异常修改。

Remote Desktop

它是什么?

远程桌面允许用户远程连接到其他客户机(即虚拟桌面)。在Windows中,远程桌面通过远程桌面协议(RDP)进行连接。RDP是一种网络通信协议,内置于大多数Windows操作系统中,提供了一个图形用户界面,用户可以与其他系统进行远程交互。

它如何被滥用?

当远程桌面没有正确配置或没有得到安全保护的情况下暴露在互联网上时,它们就成为攻击媒介。例如,Crysis这样一种勒索软件,以暴力破解RDP客户端和手动执行而闻名。另外,POS机恶意软件还使用远程桌面来进行端点的非法访问。

有什么防御措施?

首先,如果不需要,请禁用或限制使用远程桌面。其次,使用高强度密码来防止其遭到暴力破解或词典攻击。最后,使用加密来阻止攻击者窃听网络流量并采用身份验证和帐户锁定策略。

Server Message Block (SMB)

它是什么?

SMB是一种网络通信协议(使用TCP端口445),可在所有Windows操作系统中使用,允许用户通过网络共享文件、打印机、串行端口和其他资源。用户可以通过SMB访问进行各种操作,比如可以打开、读取、写入(创建或修改)、复制和删除远程服务器上的文件或文件夹。

它如何被滥用?

臭名昭着的勒索软件WannaCry和“无文件”勒索软件UIWIX,以及利用“永恒之蓝(EternalBlue)”漏洞的加密货币挖掘恶意软件 Adylkuzz,利用SMB V1中的漏洞(CVE-2017-0144)传播到其他系统。

黑客组织影子经纪人(Shadow Brokers)的其他漏洞也针对SMB漏洞,比如“永恒之石(EternalRocks)”、“永恒浪漫(EternalRomance)”和“永恒冠军(EternalChampion)”等等。

勒索软件坏兔子(Bad Rabbit)就使用了“永恒协作(EternalSynergy)”的自定义版本的进行传播。

另外,一个Linux系统中实施SMB的漏洞SambaCry被用来感染具有后门的网络存储(NAS)设备。

有什么防御措施?

禁用SMB v1及其相关协议和端口是最直接的办法。 如果在工作场所使用SMB,则需要更新到最新版本,使用不需要和过时的协议只会扩大系统的攻击面。

选用具备主动监控网络功能的网络安全产品,比如防火墙、入侵检测以及防御系统在这方面会有所帮助,虚拟补丁则提供了针对老旧系统或网络中遗留漏洞的保护。

本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。

本文来自企鹅号 - 黑客视界媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安恒网络空间安全讲武堂

RFID技术|门禁卡破解|IC卡破解学习过程

安全不仅仅包含网络上的安全,在我们实际生活中也同样存在很多个安全相关的事物,可以说跟科技扯上关系的事物都会有安全问题,无线,蓝牙,手机,无人机,汽车。真正有问题...

47.6K50
来自专栏用户2442861的专栏

支付宝即时到帐接口的python实现,示例采用django框架

http://blog.csdn.net/hornbills/article/details/40338949

38810
来自专栏FreeBuf

Palo Alto Networks:新型恶意软件家族Reaver与SunOrcal存在一定联系

概要 Unit 42安全小组已经发现了一种新的恶意软件家族,并将其命名为“Reaver”。研究人员表示,这一新型恶意软件与在2016年针对中国台湾地区的黑客攻击...

26850
来自专栏FreeBuf

Metasploit的简单木马免杀技术及后渗透面临的问题

PS:本文仅用于技术交流与分享,严禁用于非法用途 ? 一. 配置ngrok准备内网穿透 内网穿透的必要性和原理就不用说了,直接说操作。首先到ngrok官网去注册...

49640
来自专栏施炯的IoT开发专栏

Windows 10 IoT Serials 1 - 针对Minnow Board MAX的Windows 10 IoT开发环境搭建

目前,微软针对Windows IoT计划支持的硬件包括树莓派2,Minnow Board MAX 和Galileo (Gen 1和Gen 2)。其中,Galil...

20160
来自专栏FreeBuf

漫谈攻击链:从WebShell到域控的奇妙之旅

做渗透测试时遇到的域环境经常就是要么太复杂我们搞不定,要么太简单进去就拿到域控没啥意思,这些显然都无法满足我们实践已掌握知识的刚需。同时为了给我们道格安全技术小...

26050
来自专栏Seebug漏洞平台

Mozilla Firefox UAF 漏洞 - Seebug 每周一洞-2016-04-15

image.png 漏洞概要 这个模块利用了一个 Mozilla Firefox 3.6.16use-after-free 漏洞。 一个对象元素, mChan...

43870
来自专栏安恒信息

"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑

一、概述   这个周末,对于网络安全圈来说可以用“血雨腥风”来形容。北京时间5月12日开始,全球范围内爆发了基于Windows网络共享协议进行攻击传播的“永恒之...

358100
来自专栏FreeBuf

马老师聊安全 | 弱密码的防御与检测

弱密码一直是广大安全人员的痛。web管理页面、公网服务连接密码(如邮件、sql等)、内网终端、服务器登录等都是弱密码的重灾区。一旦被人利用成功,损失巨大。

14240
来自专栏walterlv - 吕毅的博客

在 GitHub 公开仓库中隐藏自己的私人邮箱地址

2018-08-05 08:56

25510

扫码关注云+社区

领取腾讯云代金券