Công cụ "Net Cease" là một kịch bản viết với PowerShell (PS) ngắn gọn mà có khả năng làm thay đổi quyền mặc định các phiên net (NetSessionEnum).
Quá trình được gọi tên là làm cứng này (hardening) sẽ ngăn chặn kẻ tấn công không để cho họ dễ dàng nhận được một số thông tin có giá trị để di chuyển ,phát triển theo chiều ngang trong mạng lưới của nạn nhân .( có thể là chúng ta ).
Làm Cứng máy chủ | Hardening our Servers
Làm Cứng một hệ thống là một quá trình mà một người quản trị hoặc nhà điều hành hệ thống thực hiện nhằm làm giảm cơ hội mà kẻ tấn công có thể đạt được quyền truy cập hoặc các thông tin từ một hệ thống. Bạn có thể làm cứng lại hệ thống của bạn để bảo vệ của BBS, người dùng mạng của bạn và những riêng tư của bạn với công cụ NetCease sau đây.
1. Khái quát chung.
Tiến
trình trinh sát nhanh-gọn là một giai đoạn
quan trọng trong chuỗi “kill-all” diệt các kẻ tấn công. Một khi kẻ tấn công đã vi phạm một
kết thúc duy nhất, họ cần phải khám phá ra mục tiêu tiếp theo của trong mạng
công ty của nạn nhân, đáng chú ý là hầu hết kẻ tấn công đều có mã chính thức giống
như một người dùng có đặc quyền của mạng này.
Một
khi kẻ tấn công đã "phóng to" trên người dùng được xem là mục tiêu, họ
cần phải tìm ra các máy tính mà kẻ lạ đã đăng nhập vào, để tuyên bố hoặc truyền
đạt tới cho họ những nguy cơ mới và đôi khi có thể sẽ phải thỏa hiệp thông tin
của họ.
Áp
dụng kiểu liệt kê phiên SMB qua các
phương pháp NetSessionEnum so với DC
(hoặc các máy chủ tập tin khác), cho phép những kẻ tấn công để có được thông
tin đó. Gần đây, một số khuôn khổ (ví dụ chó săn) đã tự động quá trình lập bản
đồ.
Theo
mặc định, phương pháp NetSessionEnum
có thể được thực hiện bởi bất kỳ người sử dụng nào đã được xác thực bao gồm cả
mạng kết nối riêng (private) của người sử dụng, (mà hiệu quả lại xấu) có nghĩa
là bất kỳ người sử dụng nào có tên miền riêng là có thể thực hiện việc này từ
xa.Vì chỉ có các phương pháp hiện hành để sửa đổi , và cho phép mặc định cho NetSessionEnum là bằng cách thủ công chỉnh
sửa mục nhập hex đăng ký, dó vậy TechNet Microsoft đã viết ra công cụ "NetCease",
một PowerShell (PS) là kịch bản
ngắn làm thay đổi các điều khoản mặc định. Cả quá trình làm cứng này nên sẽ
ngăn chặn các tác vụ tấn công dễ
dàng và nhận được thông tin trinh sát có
giá trị an ninh cho mạng.
2. Phiên làm việc Net Enumeration.
Phiên làm việc Net Enumeration đơn thuần chỉ là
một phương pháp sử dụng để lấy thông tin về buổi thành lập trên một máy chủ. Bất
kỳ người dùng tên miền nào cũng có thể truy vấn một máy chủ cho các buổi thiết
lập trước của nó và nhận được các thông tin sau:
·
Các địa chỉ tên / IP của máy tính.
·
Tên của người dùng thiết lập phiên làm
việc.
·
Số giây phiên đã hoạt động. (Kể từ khi truy vấn)
.
·
Số giây phiên đã được nhàn rỗi. (Kể từ khi truy vấn)
.Kể từ khi tất cả người dùng tên miền / máy tính được cập nhật Group Policy của họ trong khoảng 90 phút, họ
thiết lập một phiên vào DC và truy vấn cho một bản cập nhật.
Những phiên này có thể nhìn thấy tất cả người dùng
tên miền (domain) bằng NetSessionEnum trên
DC.Một số công cụ cung cấp tính năng mở rộng để thực hiện các truy vấn tốt hơn
nữa, bao gồm cả các công cụ NetSess.
Hình 1:Công cụ NetSess
cho kết quả mẫu.
MicrosoftATA phát hiện việc sử dụng các truy vấn như vậy và
cảnh báo cho người quản trị an ninh về nó .
Hình 2 MicrosoftATA cảnh
báo trên NetSessionEnum các lượt sử dụng.
3 . Quyền hạn của phiên NetSessionEnum
NetSessionEnum có quyền hạn và
phương pháp được kiểm soát bởi một khóa registry (key) theo đường dẫn như sau :
HKEY_LOCAL_MACHINE
/ SYSTEM / CurrentControlSet / Services / LanManServer / DefaultSecurity /
SrvsvcSessionInfo
Theo mặc định, giá trị SrvsvcSessionInfo nhị phân này là một Access Control List tùy ý (DACL) chứa 4 Access Control Entry (ACE) cho phép truy cập tới bất kỳ người dùng nào với ít nhất
là có một trong các đặc điểm sau đây:
• Thành viên của nhóm quản trị (Security
Identifier (Sid) S-1-5-32-544)
• Thành viên của nhóm máy chủ sử dụng (Sid
S-1-5-32-549)
• Thành viên của nhóm Power Users (Sid
S-1-5-32-547)
• Cuối cùng nhưng không phải là Authenticated
Users duy nhất (Sid S-1-5-11)
Bằng cách thực hiện một mạng xác thực thành
công chống lại một máy miền tham gia, người sử dụng (hoặc kẻ tấn công) có được
phép để thực thi NetSessionEnum trên máy đó, vì họ có những "Authenticated Users"
Sid thêm vào bối cảnh đã xác thực của họ.
4 . Các chi tiết về NetCease.
Các kịch bản NetCease
cứng truy cập vào các phiên phương pháp NetSessionEnum
bằng cách loại bỏ sự cho phép đã có thực hiện cho Authenticated nhóm người dùng
và thêm quyền hạn cho các phiên tương tác, dịch vụ và đăng nhập hàng loạt.
Điều này sẽ cho phép bất kỳ người quản trị,
điều hành hệ thống và người sử dụng điện thoại từ xa gọi vào phiên phương pháp
này, và bất kỳ / dịch vụ / phiên đăng nhập tương tác theo lô, gói để gọi tới
ngay tại địa phương.
Hình 3 NetSessionEnum DACL trong Registry
Hình a2: Quản trị viên gọi thành công NetSess từ xa trên một
máy chủ cứng.
Gọi NetSess trên một máy chủ làm cứng từ
xa,không dùng đặc quyền địa phương .
Hình a3:User1 (non-admin) gọi vào từ xa không thành công với máy NetSess
Gọi NetSess
trên máy được làm cứng tương tự như lần
trước bằng cách sử dụng cùng một người dùng nhưng ngay tại máy nội mạng địa
phương .
Figure
4:User1 (non-admin) successfully calls NetSess loca
5. Sử dụng NetCease.ps1
NetCease
rất
đơn giản để sử dụng. Chạy kịch bản PowerShell as administrator trên máy bạn muốn làm cứng (DC trong hầu hết các
trường hợp). Để cho những thay đổi có hiệu lực, khởi động lại dịch vụ
"Server".
Lưu ý rằng NetSession
làm cứng và cản trở 'tất cả các khả năng lạm dụng nó, nhưng không làm hỏng hậu
vệ'.Kẻ tấn công có khả năng sẽ phát hiện các cuộc tấn công, như MicrosoftATA sẽ không trinh sát và chỉ cố gắng dò
tìm là tốt.
Hình 7 MicrosoftATA phát hiện một nỗ lực dò thám bị
NetSessionEnum làm cho nó thất bại .
Tải về toàn bài dạng PDF công cụ NetCease trên
OneDrive.
Comments
Post a Comment