如今日益復(fù)雜的網(wǎng)絡(luò)環(huán)境����,企業(yè)IT安全和管理均受到巨大挑戰(zhàn)。根據(jù)ESG對北美和西歐620名IT專業(yè)人員的年度調(diào)查顯示���,51%的受訪者稱他們的企業(yè)存在應(yīng)對安全威脅技能短缺的問題����。Microsoft Azure提供了一套云原生的威脅防護和檢測系統(tǒng)——Azure Security Center��,最大限度地減少和緩解整個環(huán)境中的威脅�����,并改善整體安全態(tài)勢��。
如今日益復(fù)雜的網(wǎng)絡(luò)環(huán)境���,企業(yè)IT安全和管理均受到巨大挑戰(zhàn)��。根據(jù)ESG對北美和西歐620名IT專業(yè)人員的年度調(diào)查顯示���,51%的受訪者稱他們的企業(yè)存在應(yīng)對安全威脅技能短缺的問題。Microsoft Azure提供了一套云原生的威脅防護和檢測系統(tǒng)——Azure Security Center,最大限度地減少和緩解整個環(huán)境中的威脅�����,并改善整體安全態(tài)勢���。
Azure Security Center為Azure用戶提供免費的云安全態(tài)勢管理�,為用戶持續(xù)提供Azure資源評估和安全性建議�。本文的重點是想和大家聊一聊Azure Security Center下的一項高級功能——Azure Defender。
在企業(yè)環(huán)境上��,Azure Defender不僅可以為Azure資源提供保護��、還可以對本地IDC和其他云中運行的混合工作負載提供統(tǒng)一的安全管理和威脅防護�����;
在資源類型上��,Azure Defender除了對虛擬機����,還可以針對SQL數(shù)據(jù)庫、容器�、Web應(yīng)用程序、網(wǎng)絡(luò)等提供持續(xù)保護�����,并能夠與企業(yè)現(xiàn)有的安全解決方案(如SIEM)進行集成��。
今天通過兩組攻擊實驗��,帶著大家感受一下Azure Defender對Windows和Linux VM的威脅檢測和高級防御功能��。
上圖展示了黑客攻擊者典型的網(wǎng)絡(luò)殺傷鏈(Cyber Kill Chain)��,該擊殺鏈反映了攻擊者如何試圖通過各種攻擊手段對企業(yè)IT環(huán)境發(fā)起攻擊�����,并通過一系列的潛伏和橫向移動入侵企業(yè)IT資產(chǎn)����,收集域內(nèi)用戶信息,不斷擴大感染面�,最終獲取特權(quán)用戶權(quán)限,對企業(yè)核心資產(chǎn)造成嚴重威脅��,給企業(yè)帶來不同程度的經(jīng)濟和信譽損失�。有調(diào)查研究表明���,在網(wǎng)絡(luò)攻擊中企業(yè)遭受的平均經(jīng)濟損失超過100萬美金。
今天通過兩組模擬攻擊實驗模擬攻擊者在擊殺鏈各階段的一系列行為����,向大家直觀展示azure defender強大的安全威脅檢測和告警功能。
說明:實驗中的模擬攻擊均為實驗測試�����,不構(gòu)成實質(zhì)的攻擊操作�����。
Lab1:Azure Defender針對Windows VM的高級威脅檢測及告警
實驗環(huán)境:兩臺Windows Server 2012虛擬機�,一臺為“Attacker”(攻擊者),另一臺為“Target”(目標主機)���。
實驗中將使用以下幾種工具:
Tool1可以在本地或者遠程管理計算機系統(tǒng)�,常被攻擊者用于在系統(tǒng)內(nèi)做橫向移動�,進行信息收集、探測�����、反病毒、虛擬機檢測����、命令執(zhí)行�、權(quán)限持久化等操作。
Tool2是sysinternals的一款強大的軟件�����,通過他可以提權(quán)和執(zhí)行遠程命令���,對于批量大范圍的遠程運維能起到很好的效果���,尤其是在域環(huán)境下。
Tool3是一款可以抓取系統(tǒng)內(nèi)的明文密碼的工具��,主要用于提升進程權(quán)限以及讀取進程內(nèi)存����,當(dāng)然了,最重要的功能就是可以從lsass中獲取當(dāng)前Active系統(tǒng)的登錄密碼����。
實驗內(nèi)容:
登陸Azure Portal���,在訂閱級別開啟Azure Security Center并打開Azure Defender功能,也支持針對指定資源開啟Azure Security Center���。這里強烈建議從訂閱級別開啟Azure Security Center以獲取更全面的安全防護功能���。
測試一:攻擊者在目標機器上創(chuàng)建并執(zhí)行進程
在內(nèi)網(wǎng)滲透中,當(dāng)攻擊者獲取到內(nèi)網(wǎng)某臺機器的控制權(quán)后����,會以被攻陷的主機為跳板,通過收集 域內(nèi)憑證等各種方法��,訪問域內(nèi)其他機器�,進一步擴大資產(chǎn)范圍。通過此類手段�,攻擊者最終可能獲得域控制器的訪問權(quán)限,甚至完全控制整個內(nèi)網(wǎng)環(huán)境��,控制域環(huán)境下的全部機器�����。
假設(shè)你是攻擊者����,在“Attacker”虛擬機上利用Tool1遠程登陸到“Target”目標機器上執(zhí)行CMD命令——創(chuàng)建并執(zhí)行新的進程(scvhost.exe)�����。攻擊者可以利用該方式創(chuàng)建系統(tǒng)后門��,或占用大量目標系統(tǒng)的內(nèi)存,例如有些攻擊者會在用戶系統(tǒng)中運行挖礦軟件病毒等惡意行為�����。
此時���,Azure Security Center利用Azure Defender功能會立刻檢測到被攻擊的Target虛擬機被執(zhí)行了可疑進程�����,并進行安全告警���。
同時,Azure Security Center中可以查看到詳細的可疑行為信息����,例如執(zhí)行可疑行為的賬號信息�、被執(zhí)行的可疑文件位置等�。
測試二:攻擊者獲取內(nèi)存憑證并進行橫向移動
攻擊者使用Tool3在目標主機上獲取內(nèi)存中的憑證信息,這些憑證信息用于對其他機器進行身份驗證����,并在系統(tǒng)中進行橫向移動。
此時安全中心會立刻進行告警����,告知用戶該可疑行為的攻擊者意圖。通過安全告警的提示信息可以看出����,該攻擊者試圖進行憑據(jù)訪問,同時告知用戶攻擊者執(zhí)行的可疑操作具體信息�,如下圖所示。
Lab2:Azure Defender針對Linux VM的高級威脅檢測及告警
實驗環(huán)境:攻擊者VM1為一款特殊的Linux操作系統(tǒng)��,常用于滲透測試等領(lǐng)域����;目標主機VM2使用Ubuntu 14.04 LTS系統(tǒng)。Azure Security Center支持多種Linux系統(tǒng)�����,具體可以參考官網(wǎng):https://docs.microsoft.com/en-us/azure/security-center/security-center-os-coverage
實驗準備:
在實驗中,為了演示攻擊者對目標主機進行密碼暴力破解的過程�,需要在VM2目標主機上事先創(chuàng)建5個用戶,信息如下:
實驗內(nèi)容:
從訂閱級別開啟Azure Security Center并打開Azure Defender功能��,也支持針對指定資源開啟Azure Security Center (具體操作方法見官方文檔)����。這里強烈建議從訂閱級別開啟Azure Security Center以獲取更全面的安全防護功能。
測試一:攻擊者對目標主機VM2發(fā)起SSH暴力破解
假設(shè)你是攻擊者����,登陸VM1�,使用內(nèi)置的用戶名和密碼列表對目標主機發(fā)起暴力攻擊。具體的命令行操作如下�����,可以看到VM2的用戶賬戶和密碼被返回給攻擊者���,完成了SSH暴力破解過程����。
此時,Azure Security Center會發(fā)出郵件告警并描述出安全威脅的具體信息����,如下圖所示。
同時�����,Azure用戶可以在Security Center中看到針對VM2的安全事件��,從攻擊者嘗試進行暴力破解但未成功開始���,Azure安全中心便發(fā)起告警�,因為實驗中使用的暴力破解wordlist很短�����,所以從攻擊者發(fā)起暴力破解攻擊到破解成功所需要的遍歷時間很短�����,在真實場景中���,在攻擊者嘗試進行暴力破解���,到破解成功之前���,通過Azure Security Center提供的告警信息,可以讓管理員進行及時的響應(yīng)和處理��。
測試二:攻擊者在目標主機上下載惡意軟件
本實驗攻擊者在通過暴力破解等方式�����,在內(nèi)網(wǎng)中找到突破口之后����,會進行一段時間的潛伏,并通過多種方式嘗試進行橫向移動�。例如攻擊者會遠程記錄目標主機的鍵盤操作,或者使用一些工具進行內(nèi)部偵察以枚舉服務(wù)器和域的具體信息����,從而對一些服務(wù)器發(fā)起攻擊�����。例如在特定服務(wù)器上安裝惡意軟件����。本測試攻擊者在目標主機上���,嘗試下載EICAR惡意軟件測試文件,從而驗證Azure Security Center的面對安全威脅的高級功能���,并不會對目標主機產(chǎn)生任何惡意影響���。
以上是實驗中具體的操作命令行測試內(nèi)容,當(dāng)攻擊者遠程在目標主機上安裝惡意軟件之后���,Azure
Security Center立刻對受到的安全威脅產(chǎn)生告警�����,并給出詳細的安全威脅信息及需要采取的下一步行動建議���。
Azure defender為企業(yè)IT資源提供了一整套完整的高級安全防護功能,涉及智能告警���、漏洞評估��、合規(guī)性管理等內(nèi)容�����。本文僅通過兩個簡單的攻擊實驗����,和各位讀者一起對Azure Defender做了一番初探,更多功能可以參考微軟官方Doc文檔:
https://docs.microsoft.com/zh-cn/azure/security-center/azure-defender#azure-defender-advanced-protection-capabilities
感謝閱讀��,歡迎交流學(xué)習(xí)�����。
立即登錄��,閱讀全文
版權(quán)說明:
本文內(nèi)容來自于南山老農(nóng)��,本站不擁有所有權(quán)����,不承擔(dān)相關(guān)法律責(zé)任。文章內(nèi)容系作者個人觀點���,不代表快出海對觀點贊同或支持。如有侵權(quán)���,請聯(lián)系管理員(zzx@kchuhai.com)刪除���!
閩公網(wǎng)安備 35010202001226號
