“零号病人”如何防?Azure安全中心告诉你答案
“最小特权”就能高枕无忧?醒醒吧!...
![](/static/css/default/img/bg.gif)
(本文阅读时间:9分钟)
在医学领域有一个叫做“零号病人”的概念,这是指第一个得传染病并开始,扩散病毒的患者。而今天我们的故事就从it,安防领域的“零号病人”开始。
![](/static/css/default/img/bg.gif)
潜伏的威胁,你了解多少?
有经验的it,管理员通常会贯彻“最小特权”原则,一种常见做法是:给公司大部分普通员工创建只,包含完成工作所必需最小特权的帐号,这样不仅可以保证普通员工只能执行,工作需要的程序,访问工作需要用到的资源,借此顺利完成自己的工作;同时也保证了万一,这样的帐号被攻陷,可以尽可能将风险限制在,最小范围内,不至于扩散到其他重要地方。
所以很多员工可能经,常会遇到一些限制,例如无法自行安装某些需要高权限(高,权限)的软件,不能修改电脑上,的某些设置选项,无法访问某些高敏感度,的业务系统等,但完成自己的本职工作通常,都是没问题的。这是为了安全,大家都理解一下吧。
然而攻击手段也在进化,这样的“最小特权”原则在某些情况下,可能依然会失效。当攻击者在攻破企业环境中某,台机器后,可能会长时间潜伏起来,并在这一过程中对域内,情况进行摸排,了解并等待特权帐号。此外攻击者还可以通过暴力破解的方式,尝试获取特权凭据,为之后的横向移动和域,控制进行准备。
例如典型的这类攻击可能是按照如下时间,线的描述来发展的,从成功入侵到长期潜伏再到,最终达成目标,这期间可能会间隔上百天,甚至更久!
![](/static/css/default/img/bg.gif)
Azure安全中心,帮你找出潜藏的隐患
Azure安全中心是一种统一的基础结构安全管理系统,可以增强数据中心安全态势,并为云中(无论是否在Azure中)和本地的混合工作,负荷提供高级威胁防护能力。在该服务的帮助下,我们可以顺利应对三个,最重要的安全挑战:- 加强安全态势:安全中心会评估环境,并使我们了解资源,的状态以及它们是否安全。
- 防范威胁:安全中心会对工作负荷进行评估,并提出威胁防护建议和威胁检测警报。
- 更快地实现安全性:在安全中心中,一切操作都以云速度完成。由于它以本机方式集成,因此可以轻松部署安全中心,从而通过azure服务为我们提供自动,预配和保护。
范例场景简介
在这个虚构的场景中,我们将演示如何从一台普通域内计算机,拿到域控制服务器上特权帐号凭据的整个过程。但演示中我们并不会使用木马或其他的,病毒来对服务器进行破坏,而是会使用平时运维中经常,用到的工具。与此同时,我们会在整个环境中的服务器上都,开启azure安全中心,进而看看安全中心是如何理解整个行为,及对应的响应。下列实验用到的工具包括:
- Tool1:在内网渗透中非常,有用的一个工具。它可能让攻击者从,内存中抓到明文密码。一般情况下,只要有本地管理员权限,就能从内存中抓出密码。通常抓到密码之后就,可以进行横向移动和提权。
- Tool2:轻型Telnet替代工具,它可以在无需手动安装客户端软件即可执行,其他系统上的进程,并且可以获得与控制台应用程序相当,的完全交互性。Tool2最强大的功能之一是在远程系统和远程支持工具(如IpConfig)中启动交互式,命令提示窗口,以便显示无法通过其他方式显示的有关,远程系统的信息。
![](/static/css/default/img/bg.gif)
潜伏和攻击过程演练
在订阅中创建两台Windows Server 2012虚拟机,将其放置在同一个Vnet中,一台名为Attacker,一台名为Target,并确保两台虚拟机,可以互相ping通(Ping对方的内网IP,NSG不用做调整也可以Ping通)。
随后对整个订阅开启标准层的,安全中心服务,并自动给订阅中的,虚拟机安装microsoft Monitoring Agent。
这里需要注意:使用安全中心的windows,服务器上会自动启用microsoft Defender ATP传感器,并和Microsoft Defender ATP控制台联动,实时监控诸如Coin Miner挖矿病毒,或者较为复杂的如供应链攻击方式的跨,攻击生命周期的行为检测。
![](/static/css/default/img/bg.gif)
1. 环境勘察
首先,到了一个人生地不熟的域中,自然需要先对域内,的情况希望有所了解,比如在域内登录的,情况下可以查找domain controller目标主机的dns以及当前,dc中的admin group有哪些类别:
![](/static/css/default/img/bg.gif)
![](/static/css/default/img/bg.gif)
2. 凭据泄露
随后使用Attacker潜伏并等待Helpdesk前来访问。同时会不定期用本机管理员的,方式登录到电脑,使用tool1来窃取,helpdesk的哈希密码:
![](/static/css/default/img/bg.gif)
![](/static/css/default/img/bg.gif)
![](/static/css/default/img/bg.gif)
![](/static/css/default/img/bg.gif)
![](/static/css/default/img/bg.gif)
![](/static/css/default/img/bg.gif)
![](/static/css/default/img/bg.gif)
![](/static/css/default/img/bg.gif)
![](/static/css/default/img/bg.gif)
3. 威胁发现
在整个攻击过程中,azure安全中心又发现,了何种事件呢?
我们打开安全中心可以看到,早在Attacker虚机上安装好使用Tool1以后,就报了高危警报,并给出了此次高危警报,的具体目的为窃取凭据:
![](/static/css/default/img/bg.gif)
![](/static/css/default/img/bg.gif)
![](/static/css/default/img/bg.gif)
![](/static/css/default/img/bg.gif)
![](/static/css/default/img/bg.gif)
===
以上只是针对企业环境较为常见的,一种攻击方式,即通过拿到的非特权凭据尝试,进行域控制,从而建立属于攻击者自己的,特权帐号,借此对整个环境进行后续,更深入和更具威胁的攻击。在整个过程中,azure安全中心可以从攻击一开始就检测,到攻击者的目的,并汇聚成危险,事件汇报给管理员。
今天的内容,就介绍到这儿,更多信息,请大家参考Azure 安全中心兄弟篇《恶意软件不断升级,企业如何提升防御力》,详解azure安全中心在防御策略上,的超前能力,帮助公司从更多样的维度(时间维度),更细的颗粒度(文件路径级别)来降低公司服务器所,暴露的攻击面。
![](/static/css/default/img/bg.gif)
![](/static/css/default/img/bg.gif)
2019 Microsoft Ignite The Tour 即将到来!微软将把这场汇聚世界前沿科技的开发者,盛宴带到你的身边,本着“求知、求同、求索”的原则,为广大开发者、IT专业人士以及数据分析师提供为期两天的专属免费深度交流培训。
本次活动将在2020年1月13-14日深圳会展中心,2020年3月18-19日上海世博中心举办,开启难忘的Ignite中国之旅。
除了一如既往的专业技术交流,指导——350+专家现场零距离互动与100+深度技术研讨会及培训之外,更是首次实现了免费尊享,技术专家和开发者们,将全程免费参与。
Ignite the Tour·深圳站
已开启报名
即刻扫码注册,尊享超值礼遇!
![](/static/css/default/img/bg.gif)
Ignite the Tour·上海站
已开启报名
即刻扫码注册,尊享超值礼遇!
![](/static/css/default/img/bg.gif)
![](/static/css/default/img/bg.gif)
推荐阅读
Surface 新品预购,惊喜好礼相随!
微软专家说:从云到原力,现实中的《星战》“黑科技”
多些直白,少些“套路”,这样的基础架构谁不想拥有!
最新活动
玩转微软市场资讯?用这个就够了!
![](/static/css/default/img/bg.gif)
关注 微软科技
![](http://a-site.cn/static/down/wx_205x205.png)