兩名微軟安全研究人員(Itay Grady和Tal Be'ery)于上周發布了一款名叫NetCease的新工具,旨在幫助系統管理員保護他們的網絡不受到偵查攻擊。“偵查攻擊”(reconnaissance attack)可簡單理解為“網絡掃描”,此時攻擊者多處于尋找入口點的早期階段,但在摸透了本地網絡的敏感點之后,即有可能導致嚴重的數據泄露。
作為一個PowerShell腳本,這款工具可以應對攻擊者通過中小企業里存在的NetSessionEnum手段,從本地設備收集數據。在企業網絡中,大多數計算機是通過一個核心域控制器(DC)來互相連接的。
任何用戶(包括網絡中未經身份驗證的用戶),都可在聯網后通過NetSessionEnum查詢其它用戶,并獲取計算機名稱、IP地址、通過DC建立會話的用戶名、以及會話活動/閑置的時長。
鑒于會話建立的時間為90分鐘,攻擊者可以大體上摸清這個網絡,以及可以攻擊的其它目標,而且可以通過BloodHound等自動化pen-testing工具實現,簡化了攻擊者的工作(一鍵掃描)。
研究人員解釋到,管理員可以在網絡所有計算機上運行這個PowerShell腳本,它可以變更一個“控制誰能查詢本地計算機DC會話數據權限”的本地Windows注冊表鍵值。
在NetCease工具更改了這個注冊表鍵值之后,未經授權和低權限用戶就不再能夠查詢相關數據。Grady說到:
鑒于當前唯一能夠變更默認NetSessionEnum許可的手段是‘手動編輯十六進制的注冊表項目’,我們特意撰寫了這款‘NetCease’工具。
這是一個短巧的PowerShell腳本,能夠改動這些默認的權限,以組織攻擊者輕松獲得有價值的偵查信息。
NetCease現已可在微軟TechNet門戶下載,感興趣的網友可移步查看文檔詳情:
https://gallery.technet.microsoft.com/Net-Cease-Blocking-Net-1e8dcb5b
京公網安備 11010502049343號