ddos盾_防ddos攻击能力_无限
域名
国内DDoS防御_香港高防IP防护DDoS攻击-寒冰互联
德尔网络
2020-07-22 18:27

第三版免费群众响应事件响应收集工具现已发布!这一次我们包含了一些插件来帮助收集Windows注册表数据,我们这次发布的灵感来自于那些永远不会消失的漏洞——Windows粘滞键。我们将演示如何识别此攻击,同时演示新添加的攻击。新插件@RegDump[-ds]RegDump递归地提取Windows注册表项和值数据。-d嵌套输出格式-s递归转储从注册表项开始转储有效的注册表配置单元名称为:HKLM、HKCU、HKCR、HKU和HKAU(表示所有用户的伪键)@RegFile[-scmh]RegFile搜索注册表字符串值(REG_SZ和REG_EXPAND zu SZ)并标识文件路径数据。如果文件存在于磁盘上,则会记录文件信息、哈希和数字签名详细信息。-s递归转储-c验证发现文件的数字签名-m Compute MD5哈希-h计算SHA256哈希启动转储的注册表项攻击粘滞密钥攻击是其中一个非常简单的漏洞,在大多数Windows环境中成功率很高,我们看到一些更先进的对手也在使用它并不奇怪,最初的粘滞键攻击包括替换C:\Windows\System32\sethc.exe文件二进制文件,可以提供对底层操作系统的访问,例如命令提示符。切换后,只需按五下Shift键登录屏幕和命令行.exe被执行。因为sethc.exe文件在登录前执行,攻击者无需进行身份验证就可以有效地获得shell。这减少了日志占用空间(不需要登录受损的帐户!)并提供了额外的好处,即提供一个具有本地系统特权的shell。随着新版本的Windows为System32文件夹引入了稍微更好的保护机制,出现了一个新的变体-setting命令行.exe作为调试器sethc.exe文件进程。一个简单的添加到Windows注册表和攻击工作与以前一样,只是不再需要执行文件替换。REG ADD"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution选项\粘滞键"/t REG_SZ/v Debugger/d"C:\windows\system32\命令提示符"/f另一个常见的变种利用了可访问性套件Utilman的不同部分sethc.exe文件上面看到的注册表调试器修改,除了现在的二进制文件Utilman.exe文件一个简单的Windows key+U组合将提供一个本地的系统特权shell。REG ADD"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution选项\utilman.exe文件"/t REG_SZ/v Debugger/d"C:\windows\system32\命令提示符"/f关于此漏洞的一个重要细节是,攻击者必须事先具有对系统的访问权限。这可以是通过管理员帐户(修改HKLM或将文件写入C:\Windows\System32所必需的),也可以是通过对计算机的物理访问,通过可引导的USB进行修改。因此,美国高防cdn节点,它在很大程度上与RDP结合使用,作为攻击者在网络中旋转或在密码重置后重新获得访问权限的便利手段。发现粘滞密钥攻击的证据可能会导致响应者对系统的初始破坏,但不会第一次发生恶意活动。发现粘滞键攻击文件替换使粘滞密钥攻击难以识别的一个聪明之处是文件替换使用了合法的Windows二进制文件(命令提示符)。因此,生成的文件仍将很好地匹配已知的良好哈希列表。当然,窍门不仅是比较哈希值,还要确保文件名与正确的匹配使用CrowdResponse@DirList插件,我们可以提取C:\Windows\System32文件夹中所有文件的文件名、哈希和数字签名。从CrowdResponse配置文件:@dirlist"%windir%\system32"-h-m-r-s-t-p 2-z 30-i"\(exe | dll | sys)$"有了输出(或在后端数据库中),cc基本上有策略防御,一个简单的查询sethc.exe文件或者命令行.exe可以构造哈希来轻松识别异常命令行.exe以及sethc.exe文件两者都有相同的(命令提示符)散列。注册表分析假设有一个工具可以转储所有您喜欢的注册表位置以供检查,同时验证这些注册表位置中引用的任何二进制文件。这个用例很好地涵盖了CrowdResponse新的@RegDump和@RegFile插件的功能。从CrowdResponse配置文件:@RegDump"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options"-s@RegFile"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options"-s-c-h-m@RegDump输出清楚地显示utilman.exe文件作为一个离群值(它是列表中唯一具有"调试器"值的)和@RegFile很好地标识了该注册表值中的完整路径,并提供了哈希和数字签名信息对于收集注册表中已知的热点(例如臭名昭著的"Run"键和其他基于注册表的ASEP)同样有用。雅拉你可能还记得CrowdResponse最早的功能之一就是能够扫描内存和磁盘上的任意YARA签名,还有一些很好的特征可以帮助你找到各种各样的邪恶,BSK咨询公司的florianroth分享了一个聪明的YARA特征来检测sethc.exe文件文件替换。签名在中查找已知字符串粘滞键,如果找不到,标记用于潜在文件替换的二进制文件。可将稍微修改的版本与CrowdResponse一起使用:众响应-o输出.xml@雅拉-m塞特希亚尔–fsethc.exe文件–t%windir%\System32内容塞特希亚尔:规则Sethc_替换{串:$s1="粘滞键"全字无条件$s2="粘滞键"宽nocase$s3="控制运行DLL访问.cpl"宽$s4="SETHC.EXE文件"宽}该命令使用CrowdResponse@YARA模块扫描任何名为sethc.exe文件在\Windows\System32文件夹中,如果不存在特定字符串,则标记二进制文件。扩大你的努力越来越有必要大规模收集和分析事件响应数据。将分析扩展到数百或数千个系统需要一个过程,该过程可以收集CrowdResponse等工具的结果,并将数据放入可搜索的存储库中。一旦完成,ddos与防御相关的论文题目,您可以通过类似于下面所示的搜索来轻松检测粘滞键攻击。在本例中,ddos攻击端口如何防御,一位了解粘滞键漏洞的分析员创建了一个简单的查询并识别出三个新的受损系统sethc.exe文件以及utilman.exe文件.补救一旦发现这起袭击,该怎么办?与许多Windows漏洞一样,最有效的缓解措施是防止对手获得管理权限。修改此攻击中所需的密钥或文件需要管理权限。除此之外,您还可以采取一些措施,使攻击变得稍微困难一些,并可能更容易检测到。将系统升级到至少Win7/Win2008R2。这不会消除漏洞,但至少会使文件替换稍微困难一些。通过注册表关闭粘滞键。这是一个显而易见的解决方案,但不幸的是,具有管理权限的攻击者可以很容易地重新启用。强制RDP连接的网络级身份验证。从Windows 7和Server 2008开始,NLA要求在建立RDP会话之前进行帐户身份验证。NLA可能是一个很好的解决方案,但具有管理权限的对手可以轻松禁用它。要求IPsec对RDP会话进行预身份验证。此解决方案减轻了粘滞密钥给攻击者带来的任何好处,但需要大量的前期工作。设置实时触发器,ddos防御国外,在安全工具中查找对文件系统或注册表的更改。调整端点监视或HIPS以查找文件替换和注册表修改的迹象。想自己试试吗?在这里下载最新版本的CrowdResponse。非常感谢Robin Keir和Danny Lungstrom为此次发布所做的工作。如果您想通过Crowdilla免费提供的信息和产品,请联系我们的Crowdilla产品开发团队。如需立即协助事故响应,可拨打1.855.CROWDIR(276-9347)联系CrowdStrike服务团队。