溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這篇文章給大家介紹ZeroLogon漏洞CVE-2020-1472的防御性指南是怎樣的,內容非常詳細,感興趣的小伙伴們可以參考借鑒,希望對大家能有所幫助。
2020年09月11日,安全研究專家Tom Tomvvort發布了一篇安全博文,并披露了關于Zerologon漏洞的詳細信息。隨后,微軟在八月份的補丁日也發布了針對CVE-2020-1472漏洞的修復補丁。根據研究人員的描述,由于Netlogon的加密實現中存在安全問題,導致攻擊者可以通過利用該漏洞來劫持企業環境下的服務器設備。該漏洞將允許攻擊者胃活動目錄域控制器的計算機賬號設置密碼,并從域控制器中導出憑證數據。針對該漏洞的原理及技術已經有很多研究人員分析過了,本文將主要介紹針對Zerologon攻擊的安全防御相關的內容。
雖然目前社區已經有很多針對Zerologon漏洞的利用工具了,但我本人還是選擇使用最新的Mimikatz版本。首先,我們來測試一下我們自己的系統是否受該漏洞影響:
接下來,執行漏洞利用代碼:
此時,我們將能夠執行一次DCSync攻擊,并從目標域控制器中導出敏感數據了。需要注意的是,這種攻擊行為將破壞域控制器的功能完整性,因此請謹慎而行。
在這里,事件5805會在Zerologon攻擊執行時生成,日志將存儲在Windows主機的系統日志信道內。我們可以通過Splunk查詢來找到這種類型的活動日志:
index=winlogs EventCode=5805 | table body,Name,dest
結果如下:
雖然在上面的樣例中,計算機名稱被設置成了mimikatz,這樣將導致NETLOGON無法通過域控制器驗證,這里我們將其修改為“Server2”。
事件代碼4624和4742同樣會在漏洞利用代碼執行時被觸發生成。這里我使用了EVTX樣本來執行下列查詢:
index= [evtx_location] EventCode=4624 OR EventCode=4742 Account_Name=”ANONYMOUS LOGON” | table name,MSADChangedAttributes,Source_Network_Address,Account_Name
結果如下:
我們可以看到,域控制器計算機賬號的密碼已經被修改了,并且記錄了一次成功的匿名登錄行為。
針對Zerologon攻擊的另一種檢測技術利用了Sysmon NetworkConnect事件和其強大Rule語句。當Zerologon事件發生時,攻擊設備的網絡連接將傳入目標域控制器的LSASS進程,我們就可以通過下列Sysmon配置代碼來監控這種類型的活動了:
<Rule name=“Incoming LSASS NetworkConnect” groupRelation=“and”> <Image condition=“image”>lsass.exe</Image> <Initiated condition=“is”>false</Initiated> </Rule>
Splunk查詢語句如下:
index=sysmon RuleName=”Incoming LSASS NetworkConnect” | table Protocol,Initiated,SourceIp,DestinationIp
結果如下:
我們可以看到,主機192.168.1.43就是我們的攻擊設備,它向192.168.1.156(目標域控制器)的LSASS進程建立了網絡連接。
除了主機層的監控之外,我們還可以通過抓包來檢測Zerologon攻擊。這里我選擇使用Moloch抓包工具,這種檢測邏輯同樣可以擴展到其他PCAP系統。如果我們分析攻擊活動中的PCAP,我們可以看到客戶端憑證的數據域會全部設置為0:
我們可以使用Moloch中的Hunt功能來查找我們PCAP數據中的十六進制字節,這里可以通過“protocols == dcerpc”查詢來查看RPC協議流量:
過濾掉我們的“0000000000000000ffff2f21220000c0”字節,然后執行Hunt,我們可以看到這里有七個會話匹配我們的Hunt邏輯:
我們可以打開Hunt來查看數據,這里將顯示大量的元數據和會話標簽,其中包含Hunt名稱和Hunt ID,以及Zerologon攻擊的網絡活動:
Zerologon漏洞應該引起廣大管理員的高度重視,任何受影響的系統都應該盡快修補。然而,由于補丁并不總是可行的,文章旨在使用本機Windows日志、Sysmon和PCAP來提供一些針對該嚴重漏洞的檢測指南。
關于ZeroLogon漏洞CVE-2020-1472的防御性指南是怎樣的就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
