1.jpg

毫无疑问,任何一个组织或公司都有可能受到网络攻击。攻击者可能已经盯上你很久了,并策划对你的组织发动一场有针对性的攻击,或者说他们也有可能通过社工技术或网络钓鱼攻击来以“广撒网”的形式来攻击你。无论是通过哪一种方式,攻击者一旦进入了你的网络系统,他们就可以到处收集敏感数据、访问企业邮箱或搜索特权凭证等等。这种在成功入侵目标网络之后访问各种资源的行为被称为“横向渗透”,而一个组织或企业能否迅速检测并防止这种攻击活动的发生,就是至关重要的了。

BeyondTrust所发布的PowerBroker for Windows可以帮助各大组织监控并防止攻击者的“横向渗透”活动,IT管理员可以创建各种规则来识别可疑访问活动,并对目标活动进行标记以防止用户受到攻击。这个功能可以给我们的网络系统添加一层额外的安全保护,而这也是很多网络系统安全模式中所缺失的一层。

工具下载

PowerBroker for Windows:【点我下载

下面给出的是攻击者在进行横向渗透攻击中可能会使用到的一些攻击向量样本,并演示了PowerBroker for Windows如何帮助我们跟踪并防止这类攻击活动。

使用NETSTAT.EXE监控开放端口和通信连接

在成功获取到目标设备的访问权限之后,攻击者可能会尝试查看设备的开放端口以及通信连接,此时一般使用的都是“netstat -an”命令,运行之后系统会显示一个活动链接列表。这个命令是很多IT管理员常用的命令,但是很多普通用户并不会使用它。因此,这种命令的运行可能预示着某些安全事件的发生。

使用被动检测或白名单规则来监控netstat.exe的运行,可以帮助我们限制某些恶意操作,如果这些活动发生时,系统还可以向管理员发送提示信息。这样一来,当系统检测到了可疑活动或恶意操作时,管理员会在第一时间了解并监控这些活动。

使用ROUTE.EXE修改系统路由表

另一种普通用户不会去运行的就是Route命令了,而且目前安全社区中很少有产品或管理员会查看和修改系统的路由表。

跟上面netstat.exe的例子类似,你可以使用被动规则(包括使用PowerBroker forWindows)来监控这类活动,或使用拒绝规则来屏蔽这类操作。

使用PSExec.exe在远程系统中运行程序

对于很多系统管理员来说,PSExec绝对是一款功能强大的工具。虽然它功能很强大,但如果使用不当的话还是会给我们的系统造成巨大的破坏,因为很多攻击者已经开始利用PSExec来实施入侵攻击了。在大多数企业环境中,管理员都会阻止普通用户去使用这个应用程序。PowerBroker for Windows在之前的版本就已经拥有这个功能了,但是近期更新的版本还可以结合横向渗透规则来提升安全保护性能。

PowerBroker for Windows的报告功能

监控和防止横向渗透攻击是非常重要的,而收集并分析这些攻击活动信息同样也很重要。因此,PowerBroker for Windows还提供了报告功能,其中还整合了BeyondInsightIT风险管理平台,你可以在这个平台上报告你所检测到的攻击活动信息。

总结

上面给出的只是攻击者所能使用的三种攻击向量样本,但需要注意的是,当攻击者渗透进你的网络系统之后,他们还能进行成百上千中攻击操作,而PowerBroker可以帮助广大网络管理员在第一时间了解攻击活动(包括横向渗透)的具体细节。

* 参考来源:beyondtrust,FB小编Alpha_h4ck编译