华山论剑,谁是真英雄——从渗透角度实测终端安全软件
写在前面的话
为测试不同终端安全产品在渗透攻击下的真实反应,我组织技术部的同事针对市场上常见的几款终端安全产品进行了攻击测试,测试产品包括卡巴斯基KES11、360天擎、360EDR、金山、趋势、天融信等。
本次对所选产品进行的测试都保留有测试视频,所有环境和结果可以重现。所做结论也只是针对本次测试,所有测评不为产品进行性能排序,不对产品好坏进行评价。仅仅站在一个安全从业者的角度进行测试,如果您所喜爱的产品测试结果不尽如您意,也请嘴下留情,您也可以自己进行类似的对比测试。
其他产品的测试结果会陆续发出。
之后,我还会对主动防御等其他功能进行同样的测试。敬请关注。
本文所测产品的负责测试人为邵博。
一、测试说明:
笔者在跟一些客户交流的时候,经常听客户这么说,防病毒软件功能都一样,差别不大 ,主要看价格,事实真的如此吗?为了验证客户的说法,笔者利用目前仍在流行的MS17-010永恒之蓝漏洞测试了几款知名的防病毒软件,从渗透的角度试探终端安全产品的防护效果。
笔者使用业内流行的kali linux作为渗透测试平台,其中包含永恒之蓝漏洞扫描脚本以及MSF渗透测试工具,此外使用一台Windows 2008 server R2虚拟机(未安装MS17-010补丁)作为本次实验的靶机。作为终端安全产品的功能性测试,测试采用内网白盒渗透测试方式。
二、未安装终端防护前的渗透过程
首先,笔者在kali上使用永恒之蓝的漏洞扫描器,对子网进行全局扫描,扫描结果如下:
在内网中共发现5个IP地址开有445共享端口,其中192.168.50.92该主机发现有ms17-010漏洞,其余4个未发现漏洞。(这4个是笔者的Linux计算机)
发现漏洞之后笔者使用MSF渗透工具,成功利用永恒之蓝漏洞,并使用反弹木马,建立起远程shell连接,如上图所示
建立shell连接后,使用提权命令,成功获取到靶机的管理员权限并获取到了系统信息,同时利用mimikatz密码工具,获取到当前管理员用户的密码,如上图。
到此,模拟渗透过程完成。
总结来说,黑客渗透过程大概有10个步骤:
- 确定目标范围
- 目标信息收集
- 目标发现
- 目标信息枚举
- 漏洞扫描
- 社会工程学利用
- 漏洞利用
- 提权
- 权限维持
- 达到目的后清理痕迹
本次测试主要涉及其中目标信息枚举、漏洞扫描、漏洞利用、提权、权限维持几个常规渗透步骤,之后我们下面进一步分析终端安全产品的防护性能。
三、终端安全产品的防护性测试
测试的终端安全产品使用卡巴斯基企业级终端安全防护产品---KES11最新版本,测试前开启靶机上的KES11的全部防护模块,防护模块如下图所示:
KES11全部防护模块开启后,笔者仍然先执行MS17-010漏洞端口扫描程序,扫描结果显示未发现靶机和相关漏洞,如下图所示:
笔者判断应该是卡巴斯基KES11防火墙模块默认关闭了靶机的445端口,因此笔者下一步关闭靶机的KES11防火墙模块。(此处说明KES11的防火墙防护有效)如下图:
关闭KES11的防火墙模块后,继续进行MS17-010漏洞端口扫描,发现靶机IP地址,存在漏洞,如下图:
之后笔者使用MSF工具利用MS17-010漏洞建立反弹shell连接,结果显示漏洞利用失败,如下图:
继续查看卡巴斯基KES11的防护模块,尽管已经关闭了防火墙,但是被卡巴斯基网络威胁防护检测到攻击行为,成功阻断,并且显示出了攻击来源。如下图:
笔者关闭网络威胁防护模块,再进行测试,如下图:
此时,已经把防火墙和网络威胁防护关闭,继续运行MSF,发现进入漏洞已经成功,但是反弹shell连接未能建立。如下图:
于是,再次查看靶机上的KES11模块,原来反弹shell触发了漏洞利用防护模块,直接将反弹木马阻止。如下图:
誓不罢休,我们继续关闭卡巴斯基KES11漏洞利用防御模块,如下图:
此时,我们已经关闭了卡巴斯基KES11的防火墙、网络威胁防护、漏洞利用防御三大主要功能模块,继续进行测试,运行MSF,这下终于获取到了shell连接,成功植入后门,如下图:
之后,笔者开始提权以及mimikatz获取用户名密码,成功获取,但是没过几分钟,shell连接突然关闭中断,显示Died。如下图:
继续查看靶机上的卡巴斯基KES11,原来植入的后门被文件威胁防护发现,触发了病毒扫描任务,导致留下的后门木马被直接查杀掉了。如下图:
再往下关闭模块没有任何意义,至此,KES11防护测试结束。
四、总结
从这一次测试结果来看,卡巴斯基做为一个老牌专业的安全厂商,其表现令人满意,卡巴斯基终端安全产品,利用层层保护,防范黑客攻击:
第一道防线,通过防火墙功能,关闭危险端口,禁止黑客通过445、3389等危险端口连接。
第二道防线,通过防网络攻击功能,检测和阻止网络攻击行为。
第三道防线,利用漏洞利用防御功能,防止黑客利用系统漏洞发起的攻击,即使在未打补丁的情况下,也可以阻止黑客对漏洞的利用。
第四道防线,当以上防线都被攻破(关闭)的情况下,当黑客攻入系统,植入木马或者勒索病毒,执行破坏性操作的时候,触发文件反病毒或主动防御功能,对恶意程序进行清除或删除操作。
从本次测试彻底打破了笔者对传统防病毒软件的理解,到目前为止还有很多防病毒测试都采用静态病毒样本扫描,进行病毒库比对查杀结果。根据真实情况来看,这种测试方式并不科学。一款好的防病毒软件不仅仅是查杀病毒率高,而是在攻击发生时,结合自身的防火墙、流量分析(网络威胁分析)、漏洞利用防护等功能,即便未安装系统应用补丁的情况下,将攻击源阻断,通过综合防御模块确保主机系统安全。因此,现在有些防病毒软件严格意义上说已经不再是传统杀毒软件(AV),而是终端安全产品(EPP),从多角度防护主机系统安全。
传统的杀毒软件,就如同笔者最后一个测试,当病毒已经驻留在系统上,传统的文件病毒扫描模式往往发现的比较晚,需要一个触发时间和查杀过程,此时,就如同一个癌症晚期病人一样,需要大量的化疗放疗,采用杀敌一千自损八百的防护模式,牺牲性能进行查杀。
我接触过一些用户,有人认为有了防火墙,IPS\IDS,WAF、防毒墙甚至态势感知等等硬件不再需要终端防护。但事实真的如此么?有安全机构专门做过统计,有近75%的攻击发生在主机系统层面,主机终端防护是根本。
因此不论网络规模是大是小,网络安全设备部署的是多是少,终端安全防护是整个网络安全最重要的一道防线。
原文由微信公众号:大兵说安全