登录
    最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台
    你的位置:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 > 网络安全 > 新的PsExec衍生产品可让黑客绕过网络安全防御

    新的PsExec衍生产品可让黑客绕过网络安全防御

    网络安全 快米云 来源:ZZQIDQ 161浏览

    安全研究人员已开发出 Sysinternals PsExec 实用程序的实现,该实用程序允许使用单个受监控较少的端口 Windows TCP 端口 135 在网络中横向移动。

    PsExec 旨在帮助管理员在网络中的机器上远程执行进程,而无需安装客户端。

    威胁参与者也采用了该工具,并经常在攻击的利用后阶段使用它在网络上传播、在多个系统上运行命令或部署恶意软件。

    PsExec 和它需要的 TCP 端口
    虽然最初的 PsExec 在 Sysinternals 实用程序套件中可用,但在一个名为 Impacket 的库中还有一个 Python 实现,它支持 SMB 和其他协议,如 IP、UDP、TCP,这些协议支持 HTTP、LDAP(轻量级目录访问协议)的连接) 和 Microsoft SQL Server (MSSQL)。

    原始版本和 Impacket 变体都以类似的方式工作。它们使用 SMB 连接并基于端口 445,需要打开该端口才能通过 SMB 网络文件共享协议进行通信。

    他们还通过远程过程调用 (RPC) 管理 Windows 服务(创建、执行、启动、停止),这是一种支持与操作系统进行高级通信的协议。

    但是,对于扩展功能,需要端口 135。但是,阻止此端口并不能阻止威胁参与者完成攻击,因此端口 445 对于 PsExec 的工作至关重要。

    正因为如此,防御者大多专注于阻塞端口 445,这对于 PsExec 执行命令或运行文件至关重要。这在大多数情况下有效,但还不够。

    新的 PsExec 实施
    基于 Impacket 库,提供自动化安全验证解决方案的公司Pentera的研究人员构建了一个仅在端口 135 上运行的 PsExec 工具的实现。

    这一成就为防御游戏带来了变化,因为仅阻止端口 445 以限制恶意 PsExec 活动不再是大多数攻击的可靠选择。

    Pentera 的高级安全研究员 Yuval Lazar 解释说:“我们发现 SMB 协议用于上传二进制文件并转发输入和输出。”

    Lazar 在与 BleepingComputer 共享的报告中补充说,命令是通过分布式计算环境/远程过程调用 (DCE/RPC) 执行的,并且进程“无论输出如何都运行”。

    通过端口 135 运行 PsExec 命令
    来源:Pentera Labs
    Pentera 的 PsExec 变体使用 RPC 连接,使研究人员能够创建一个运行任意命令的服务,而无需通过 SMB 端口 445 进行通信以进行传输或输出。

    Pentera 的 PsExec 实现无需 SMB
    源即可创建 DCE/RPC 连接:Pentera Labs
    需要全面监控
    Lazar 告诉 BleepingComputer,与 Sysinternals 套件中的原始 PsExec 不同,Pentera 的变体在网络中未被检测到的可能性更高,因为许多组织都关注端口 445 和 SMB。

    “我们注意到,虽然许多组织实施了许多基于 SMB 和端口 445 的缓解措施,但他们忽略了其他重要端口,例如 135” – Pentera 高级安全研究员 Yuval Lazar

    Lazar 提出的另一点是其他 PsExec 实现必须使用 SMB,因为它们是基于文件的。研究人员说,Pentera 的变种是无文件的,这将使其更难检测。

    Lazar 对 PsExec 的研究强调,虽然 PetitPotam [ 1 , 2 ] 和 DFSCoerce等安全漏洞 已引起人们对 RPC 带来的风险的关注,但缓解措施并不强调监控 DCE/RPC,而是关注 NTLM 中继预防。

    根据 Pentera 的观察,阻止或监控 RPC 流量在企业环境中并不常见。在许多情况下,原因是防御者不知道如果不加以控制,RPC 可能会给网络带来安全风险。

    “安全团队需要了解黑客如何使用不同的端口,以便他们知道监控它们的目的”——Yuval Lazar

    PsExec 基于 SMB 和 RPC 连接,需要端口 445、139 和 135。但是,Lazar 补充说,在 HTTP 之上有一个 RPC 实现,这意味着 PsExec 也可能在端口 80 上工作。

    PsExec 受到勒索软件攻击者的欢迎
    长期以来,黑客一直在使用 PsExec 进行攻击。勒索软件团伙尤其采用它来部署文件加密恶意软件。

    在仅持续一小时的攻击中,NetWalker 勒索软件使用 PsExec在域中的所有系统上运行其有效负载。

    在最近的一个例子中,Quantum 勒索软件团伙依靠PsExec 和 WMI 对系统进行加密,在通过 IcedID 恶意软件获得访问权限后仅用了两个小时就完成了攻击。

    微软 6 月份的一份报告详细介绍了来自 BlackCat 勒索软件的攻击,该勒索软件还使用 PsExec 分发其勒索软件有效载荷。

    另一个例子是最近披露的Cisco 漏洞,其中 Yanluowang 勒索软件团伙使用 PsExec 远程添加注册表值,允许威胁参与者利用 Windows 登录屏幕上可用的可访问性功能。

    转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 新的PsExec衍生产品可让黑客绕过网络安全防御

    与本文相关的文章