曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        黑客對域憑據的利用方法
        發布時間:2019-06-19 11:04:12   閱讀次數:

        攻擊者如何在組織的網絡中從一臺機器移動到另一臺機器。許多人認為攻擊者利用零日攻擊但事實并非如此。攻擊者可能不想或不能這樣做。

        黑客對域憑據的利用方法(圖1)

        攻擊者如何使用零日攻擊?

        良好的零日漏洞可以在各種不同版本的操作系統上運行,可以有效地執行代碼,竊取特權憑證,并獲得對關鍵系統和應用程序的訪問需要相當多的技巧和時間。它們需要大量工作才能有效實施和執行。


        假設攻擊者確實利用了零日攻擊,該人會用它做什么?攻擊者每次使用漏洞利用程序時都存在發現零補丁然后打補丁的風險。知道曝光最終是不可避免的,合乎邏輯的舉措是在選擇的場合使用零日,以獲得最少的關注,例如最初的網絡破壞或刪除其存在的痕跡。秘密使用的一個例子是網絡的初始滲透,在此期間他們建立了后門。安裝后門后,將刪除零日攻擊的代碼。如果后門不包含漏洞利用代碼的任何痕跡,那么安全團隊就不可能發現他們手上有零日漏洞。


        在偵察階段會發生什么?

        組織良好且仔細考慮如何滲透網絡的攻擊者將花時間了解可以利用的所有潛在弱點。經驗豐富的攻擊者會在發動利用整個網絡的活動之前花時間從單臺機器收集情報。在此期間,攻擊者將耐心地學習如何橫向移動網絡以查找對關鍵系統和應用程序的訪問。耐心是偵察階段的關鍵; 普通攻擊者在被發現之前會在網絡上停留256天。


        在發現之前,攻擊者希望能夠安靜地訪問關鍵機器和帳戶,一種方法是監控他們希望控制的人的登錄。


        當您登錄到計算機時,您將通過網絡的域控制器(DC)進行身份驗證,并且它將授予您一張允許您訪問網絡中的服務的票證(文件服務器,共享點,其他計算機)。在Windows計算機上,這些憑據與每次發生身份驗證過程時創建的令牌綁定在一起。因此,該令牌是用于對請求特定操作的用戶進行身份驗證的憑據的抽象(您可以在此處閱讀有關這些令牌的更多信息)。


        對于攻擊者,控制關鍵計算機意味著控制在網絡上執行某些操作的所有權限 - 更改訪問權限,訪問敏感數據等。如果攻擊者具有系統級權限,則每次都可以輕松提取身份驗證令牌該機器執行了一個動作。一旦他們有權訪問令牌,他們就可以自己請求機器執行冒充合法用戶的行為。這些新請求似乎源自在其活動目錄中具有正確管理權限的合法用戶憑據,這使得安全團隊很難發現惡意內部人員。


        攻擊者如何查找特權憑證?

        患者攻擊者知道特權用戶可能會在偵察階段的某個時間登錄,因為他們通常是網絡中的高級用戶。然后,可以在該登錄過程中提取來自特權用戶的令牌,并用于訪問其權限內的任何內容。特權用戶憑證是橫向移動網絡的最有效方式。例如,如果特權用戶恰好是域管理員,則攻擊者現在可以訪問域中的所有計算機以及域中的所有服務器和端點!


        特權用戶登錄計算機的頻率是多少?它因公司而異。根據部署和IT需求,攻擊者可能潛伏在陰影中很長一段時間。在此期間,攻擊者可能會控制網絡中的多臺計算機,以便他或她可以增加從特權用戶查找登錄的幾率。然而,他們仍然希望警惕不要暴露太多的足跡,因為他們越是在網絡中移動,他們被發現的機會就越大。在大多數網絡中,很難理解特權用戶在該環境中的位置,更不用說他們登錄特定計算機的頻率。


        擾亂攻擊者

        我們如何解決此類威脅并阻止潛在的攻擊者獲取對關鍵系統和應用程序的訪問權限?第一道防線是加強外圍:試圖阻止攻擊者在網絡中站穩腳跟。不同的防御機制是更新操作系統,設置防火墻和代理,使用端點保護軟件等。但是,如果細心的攻擊者使用零日攻擊,這場戰斗可能是徒勞的。


        另一種選擇是跟蹤整個網絡中的用戶活動。不正常的活動(例如IT專業人員從財務部門當前正在使用的計算機安裝新的Sharepoint服務器)應觸發警報。雖然這種方法有利于阻止橫向移動,但設置和保持動態可能非常復雜。管理員需要縮小攻擊者可以使用的機器范圍,然后花費大量精力來了解用戶操作,關聯計算機,公司策略,特權用戶等。


        更好的方法是驗證用戶執行的不正常操作實際上是由人而不是機器執行的。驗證實際人員發起的操作使得幾乎不可能自動重新使用憑證。原因如下:攻擊者將利用計算機掃描網絡以獲取特權用戶憑據。當他們從特權用戶訪問令牌時,他們將使用他們控制的計算機重新使用其他關鍵計算機或應用程序上的憑據。當他們發現可以訪問更多的網絡資源時,他們將擴大他們的立足點并完成他們的使命。通過識別訪問嘗試是來自人工帳戶還是來自計算機將有助于限制攻擊者嘗試重新使用合法用戶憑據。


        在與試圖利用網絡憑據的攻擊者打交道時,修補漏洞往往是降低風險的糟糕策略。試圖跟上并修補網絡弱點不會阻止攻擊者,因為他們只會耐心地等待發現下一個攻擊點。


        我們應該通過真正了解他們如何操作并使用他們的攻擊技術來打擊攻擊者。一種方法是區分執行身份驗證請求的人員或計算機。我們需要更多地了解攻擊者的解剖結構,并將確保政策放在一起,以保護我們免受攻擊。


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精