中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

ZeroLogon漏洞CVE-2020-1472的防御性指南是怎樣的

發布時間:2021-12-28 17:27:27 來源:億速云 閱讀:139 作者:柒染 欄目:安全技術

這篇文章給大家介紹ZeroLogon漏洞CVE-2020-1472的防御性指南是怎樣的,內容非常詳細,感興趣的小伙伴們可以參考借鑒,希望對大家能有所幫助。

關于Zerologon(CVE-2020-1472)

2020年09月11日,安全研究專家Tom Tomvvort發布了一篇安全博文,并披露了關于Zerologon漏洞的詳細信息。隨后,微軟在八月份的補丁日也發布了針對CVE-2020-1472漏洞的修復補丁。根據研究人員的描述,由于Netlogon的加密實現中存在安全問題,導致攻擊者可以通過利用該漏洞來劫持企業環境下的服務器設備。該漏洞將允許攻擊者胃活動目錄域控制器的計算機賬號設置密碼,并從域控制器中導出憑證數據。針對該漏洞的原理及技術已經有很多研究人員分析過了,本文將主要介紹針對Zerologon攻擊的安全防御相關的內容。

執行攻擊

雖然目前社區已經有很多針對Zerologon漏洞的利用工具了,但我本人還是選擇使用最新的Mimikatz版本。首先,我們來測試一下我們自己的系統是否受該漏洞影響:

ZeroLogon漏洞CVE-2020-1472的防御性指南是怎樣的

接下來,執行漏洞利用代碼:

ZeroLogon漏洞CVE-2020-1472的防御性指南是怎樣的

此時,我們將能夠執行一次DCSync攻擊,并從目標域控制器中導出敏感數據了。需要注意的是,這種攻擊行為將破壞域控制器的功能完整性,因此請謹慎而行。

漏洞&攻擊檢測

事件代碼5805

在這里,事件5805會在Zerologon攻擊執行時生成,日志將存儲在Windows主機的系統日志信道內。我們可以通過Splunk查詢來找到這種類型的活動日志:

index=winlogs EventCode=5805

| table body,Name,dest

結果如下:

ZeroLogon漏洞CVE-2020-1472的防御性指南是怎樣的

雖然在上面的樣例中,計算機名稱被設置成了mimikatz,這樣將導致NETLOGON無法通過域控制器驗證,這里我們將其修改為“Server2”。

事件代碼4624+4742

事件代碼4624和4742同樣會在漏洞利用代碼執行時被觸發生成。這里我使用了EVTX樣本來執行下列查詢:

index=  [evtx_location] EventCode=4624 OR EventCode=4742

Account_Name=”ANONYMOUS LOGON”

| table name,MSADChangedAttributes,Source_Network_Address,Account_Name

結果如下:

ZeroLogon漏洞CVE-2020-1472的防御性指南是怎樣的

我們可以看到,域控制器計算機賬號的密碼已經被修改了,并且記錄了一次成功的匿名登錄行為。

Sysmon事件ID 3

針對Zerologon攻擊的另一種檢測技術利用了Sysmon NetworkConnect事件和其強大Rule語句。當Zerologon事件發生時,攻擊設備的網絡連接將傳入目標域控制器的LSASS進程,我們就可以通過下列Sysmon配置代碼來監控這種類型的活動了:

<Rule name=“Incoming LSASS NetworkConnect” groupRelation=“and”>

<Image condition=“image”>lsass.exe</Image>

    <Initiated condition=“is”>false</Initiated>

</Rule>

Splunk查詢語句如下:

index=sysmon RuleName=”Incoming LSASS NetworkConnect”

| table Protocol,Initiated,SourceIp,DestinationIp

結果如下:

ZeroLogon漏洞CVE-2020-1472的防御性指南是怎樣的

我們可以看到,主機192.168.1.43就是我們的攻擊設備,它向192.168.1.156(目標域控制器)的LSASS進程建立了網絡連接。

Moloch抓包

除了主機層的監控之外,我們還可以通過抓包來檢測Zerologon攻擊。這里我選擇使用Moloch抓包工具,這種檢測邏輯同樣可以擴展到其他PCAP系統。如果我們分析攻擊活動中的PCAP,我們可以看到客戶端憑證的數據域會全部設置為0:

ZeroLogon漏洞CVE-2020-1472的防御性指南是怎樣的

我們可以使用Moloch中的Hunt功能來查找我們PCAP數據中的十六進制字節,這里可以通過“protocols == dcerpc”查詢來查看RPC協議流量:

ZeroLogon漏洞CVE-2020-1472的防御性指南是怎樣的

過濾掉我們的“0000000000000000ffff2f21220000c0”字節,然后執行Hunt,我們可以看到這里有七個會話匹配我們的Hunt邏輯:

ZeroLogon漏洞CVE-2020-1472的防御性指南是怎樣的

我們可以打開Hunt來查看數據,這里將顯示大量的元數據和會話標簽,其中包含Hunt名稱和Hunt ID,以及Zerologon攻擊的網絡活動:

ZeroLogon漏洞CVE-2020-1472的防御性指南是怎樣的

Zerologon漏洞應該引起廣大管理員的高度重視,任何受影響的系統都應該盡快修補。然而,由于補丁并不總是可行的,文章旨在使用本機Windows日志、Sysmon和PCAP來提供一些針對該嚴重漏洞的檢測指南。

關于ZeroLogon漏洞CVE-2020-1472的防御性指南是怎樣的就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

葫芦岛市| 嘉义市| 革吉县| 石台县| 金溪县| 介休市| 阜康市| 荣昌县| 塔河县| 中江县| 仙游县| 青铜峡市| 吉首市| 福清市| 两当县| 宝山区| 开阳县| 东至县| 合江县| 波密县| 葵青区| 卢龙县| 宁国市| 衢州市| 正镶白旗| 顺昌县| 天台县| 姜堰市| 滦平县| 柏乡县| 墨竹工卡县| 监利县| 龙泉市| 宜兰市| 枣阳市| 鄂托克旗| 杭锦旗| 宜宾县| 鹰潭市| 乌兰浩特市| 庄浪县|