近日微軟研究人員Itay Grady和Tal Be’ery發布了Powershell腳本Net Cease,它可以防止攻擊者在企業內網中獲取到突破點后,繼續橫向擴展獲取敏感信息。
Net Cease的作用
在Net Cease在目標機器上部署后,非管理用戶想要遠程調用NetSess時就會被阻止。這種類型的手法,一般是通過執行SMB會話枚舉,借助NetSessionEnum方法去探測域控DC,然后再獲取其他目標的信息。
事實上,現在已經有滲透工具能實現這種自動化的信息探測。然而Net Cease則會修改默認的NetSessionEnum方法的權限,限制能遠程執行該方法的域用戶數量。
開發者解釋道:
“NetCease腳本提升了NetSessionEnum的訪問門檻,它會移除認證用戶組的執行權限,并且為交互、服務和批處理登陸會話添加權限。
Net Cease使用后的結果
管理員和系統操作員和power用戶是能夠遠程調用NetSessionEnum方法的。另外,任何交互、服務和批處理登陸會話也可以本地調用它。”
值得一提的是,Net Cease腳本在win7/8/10和windows server 2003/2008/2012系統上,能夠非常良好地運行。
研究人員補充道:
“注意,強化后的NetSession并不會妨礙防火墻檢測攻擊的能力,MicrosoftATA也會檢查失敗的探測嘗試。”
下載地址戳這里。
京公網安備 11010502049343號