Công cụ mạnh mẽ về an ninh mạng NetCease, tải về ngay.

Công c"Net Cease" là một kịch bản viết vi PowerShell (PS) ngắn gn mà có kh năng làm thay đổi quyền mặc định các phiên net (NetSessionEnum).
Quá trình đưc gi tên là làm cứng này (hardening) s ngăn chặn kẻ tấn công không đ cho h dễ dàng nhận được một số thông tin có giá trđể di chuyển ,phát trin theo chiều ngang trong mạng lưới của nạn nhân .( có thể là chúng ta ).



Làm Cứng máy ch | Hardening our Servers

Làm Cứng một hệ thống là một quá trình mà một người quản trị hoặc nhà điều hành hệ thống thc hin nhm làm giảm cơ hội mà kẻ tấn công có thđạt được quyền truy cập hoặc các thông tin từ một hệ thống. Bạn có thlàm cng lại hệ thống của bạn để bảo vệ của BBS, người dùng mng của bạn và nhng riêng tư của bạn với công cụ NetCease sau đây.
 
1. Khái quát chung.
Tiến trình trinh sát nhanh-gọn  là một giai đoạn quan trọng trong chuỗi “kill-all” diệt các  kẻ tấn công. Một khi kẻ tấn công đã vi phạm một kết thúc duy nhất, họ cần phải khám phá ra mục tiêu tiếp theo của trong mạng công ty của nạn nhân, đáng chú ý là hầu hết kẻ tấn công đều có mã chính thức giống như một người dùng có đặc quyền của mạng này.

Một khi kẻ tấn công đã "phóng to" trên người dùng được xem là mục tiêu, họ cần phải tìm ra các máy tính mà kẻ lạ đã đăng nhập vào, để tuyên bố hoặc truyền đạt tới cho họ những nguy cơ mới và đôi khi có thể sẽ phải thỏa hiệp thông tin của họ.

Áp dụng kiểu liệt kê phiên SMB  qua các phương pháp NetSessionEnum so với DC (hoặc các máy chủ tập tin khác), cho phép những kẻ tấn công để có được thông tin đó. Gần đây, một số khuôn khổ (ví dụ chó săn) đã tự động quá trình lập bản đồ.
 
Theo mặc định, phương pháp NetSessionEnum có thể được thực hiện bởi bất kỳ người sử dụng nào đã được xác thực bao gồm cả mạng kết nối riêng (private) của người sử dụng, (mà hiệu quả lại xấu) có nghĩa là bất kỳ người sử dụng nào có tên miền riêng là có thể thực hiện việc này từ xa.Vì chỉ có các phương pháp hiện hành để sửa đổi , và cho phép mặc định cho NetSessionEnum là bằng cách thủ công chỉnh sửa mục nhập hex đăng ký, dó vậy TechNet Microsoft đã viết  ra công cụ "NetCease", một PowerShell (PS) là kịch bản ngắn làm thay đổi các điều khoản mặc định. Cả quá trình làm cứng này nên sẽ ngăn chặn các tác  vụ tấn công dễ dàng  và nhận được thông tin trinh sát có giá trị an ninh cho mạng.
2. Phiên làm việc Net Enumeration.
Phiên làm việc Net Enumeration đơn thuần chỉ là một phương pháp sử dụng để lấy thông tin về buổi thành lập trên một máy chủ. Bất kỳ người dùng tên miền nào cũng có thể truy vấn một máy chủ cho các buổi thiết lập trước của nó và nhận được các thông tin sau:
·         Các địa chỉ tên / IP của máy tính.
·         Tên của người dùng thiết lập phiên làm việc.
·         Số giây phiên đã hoạt động. (Kể từ khi truy vấn) .
·         Số giây phiên đã được nhàn rỗi. (Kể từ khi truy vấn) .Kể từ khi tất cả người dùng tên miền / máy tính được cập nhật Group Policy của họ trong khoảng 90 phút, họ thiết lập một phiên vào DC và truy vấn cho một bản cập nhật.
Những phiên này có thể nhìn thấy tất cả người dùng tên  miền (domain) bằng NetSessionEnum trên DC.Một số công cụ cung cấp tính năng mở rộng để thực hiện các truy vấn tốt hơn nữa, bao gồm cả các công cụ NetSess.
Hình 1:Công cụ NetSess cho kết quả mẫu.

MicrosoftATA phát hiện việc sử dụng các truy vấn như vậy và cảnh báo cho người quản trị an ninh về nó .

Hình 2 MicrosoftATA cảnh báo trên NetSessionEnum  các lượt sử dụng.

3 . Quyền hạn của phiên NetSessionEnum
NetSessionEnum có quyền hạn và phương pháp được kiểm soát bởi một khóa registry (key) theo đường dẫn như sau :
HKEY_LOCAL_MACHINE / SYSTEM / CurrentControlSet / Services / LanManServer / DefaultSecurity / SrvsvcSessionInfo
Theo mặc định, giá trị SrvsvcSessionInfo nhị phân này là một Access Control List tùy ý (DACL) chứa 4 Access Control Entry (ACE) cho phép truy cập tới bất kỳ người dùng nào với ít nhất là có một trong các đặc điểm sau đây:
• Thành viên của nhóm quản trị (Security Identifier (Sid) S-1-5-32-544)
• Thành viên của nhóm máy chủ sử dụng (Sid S-1-5-32-549)
• Thành viên của nhóm Power Users (Sid S-1-5-32-547)
• Cuối cùng nhưng không phải là Authenticated Users duy nhất (Sid S-1-5-11)
Bằng cách thực hiện một mạng xác thực thành công chống lại một máy miền tham gia, người sử dụng (hoặc kẻ tấn công) có được phép để thực thi NetSessionEnum trên máy đó, vì họ có những "Authenticated Users" Sid thêm vào bối cảnh đã xác thực của họ.
4 . Các chi tiết về NetCease.
Các kịch bản NetCease cứng truy cập vào các phiên phương pháp NetSessionEnum bằng cách loại bỏ sự cho phép đã có thực hiện cho Authenticated nhóm người dùng và thêm quyền hạn cho các phiên tương tác, dịch vụ và đăng nhập hàng loạt.
Điều này sẽ cho phép bất kỳ người quản trị, điều hành hệ thống và người sử dụng điện thoại từ xa gọi vào phiên phương pháp này, và bất kỳ / dịch vụ / phiên đăng nhập tương tác theo lô, gói để gọi tới ngay tại địa phương.
Hình 3 NetSessionEnum DACL trong Registry
Hình a2: Quản trị viên gọi thành công NetSess từ xa trên một máy chủ cứng.

Gọi NetSess trên một máy chủ làm cứng từ xa,không dùng đặc quyền địa phương .
 

Hình a3:User1 (non-admin) gọi  vào từ xa không thành công với máy NetSess

Gọi NetSess trên máy được làm  cứng tương tự như lần trước bằng cách sử dụng cùng một người dùng nhưng ngay tại máy nội mạng địa phương .

Figure 4:User1 (non-admin) successfully calls NetSess loca

5. Sử dụng NetCease.ps1


NetCease rất đơn giản để sử dụng. Chạy kịch bản PowerShell as administrator trên máy bạn muốn làm cứng (DC trong hầu hết các trường hợp). Để cho những thay đổi có hiệu lực, khởi động lại dịch vụ "Server".
Lưu ý rằng  NetSession làm cứng và cản trở 'tất cả các khả năng lạm dụng nó, nhưng không làm hỏng hậu vệ'.Kẻ tấn công có khả năng sẽ phát hiện các cuộc tấn công, như MicrosoftATA sẽ không trinh sát và chỉ cố gắng dò tìm là tốt.  

Hình 7 MicrosoftATA phát hiện một nỗ lực dò thám bị NetSessionEnum làm cho nó  thất bại .
Tải về toàn bài dạng PDF công cụ NetCease trên OneDrive.
 Bản quyền vi-vn thực hiện biên dịch bởi Diy-Antoanvn🛡.com | feb 2017.

Comments