freebuf近年来,网络安全已经上升到了国家高度,众多企业也更关注自身业务安全运行,纷纷部署了不同的安全产品进行安全防御。即便如此,在行业应用中,客户也会遇到不同的安全问题。今天,我们来分享一个AD域控服务器场景的安全防护案例,希望能给大家一些启发。
便捷&问题
某政企单位在内网中存在大量的域控服务器,利用域控服务器管理全国分支机构的十万多台主机终端,便捷了很多。但是,如果攻击者利用漏洞或者社工等方法获取了外网系统的控制权限,找到了和内网联通的通道,再进一步进行深入渗透,便形成了纵向渗透的通道。然后,攻击者通过mimikazt等工具利用票据传递等攻击手段,实现域控服务器的权限控制,从而访问任意域控下的目标进行数据窃取,最终完成目标突破工作。这将为该政企单位带来不可估量的损失。
1、在域控服务器的防范中,会遇到黄金票据被盗的问题,攻击者可以通过域控服务器进行匿名登录的操作,实现控制域控下所有主机的登录。2、该政企单位的域控服务器访问方式多种多样,有普通用户登录时的验证,有域控服务器相互间的访问,还有域控服务器下发策略时的访问,在这些访问中有很多都是业务需求,这种访问带来的安全风险也是存在的。3、同时,该政企单位还遇到了非域控服务器的匿名登录情况,作为校验身份的域控服务器把这些请求视为正常访问,存在域控服务器下hash盗取防护问题。
解决方案
在了解到该政企单位的痛点需求之后,安芯网盾为该客户部署了安芯智能内存保护系统,帮助客户更清晰、准确、快速地发现、拦截、追溯攻击者的攻击。
图 智能内存保护系统安全防御
通过分析内网渗透中常用的技术方法,技术甄别判断黄金票据、PTH、白银票据、暴力破解域用户名密码、内存dump等行为,解决域控票据留存及票据传递问题。
通过细粒度的监控内存读、写、执行行为,可实时检测内存中存在堆栈代码执行、内存数据覆盖等异常行为,结合拦截模块高效防御漏洞攻击。
通过实时监测并阻断针对域控服务器的域渗透攻击,以及实时上报异常登录等风险项。
通过策略调整,解决身份认证的黑白名单控制问题,实现用户自定义设置对域控服务器的安全访问机制。
价值体现
客户采用了安芯网盾的智能内存保护系统之后,解决了安全威胁,同时为客户带来了价值收益:
采用了安芯网盾的智能内存保护系统之后,帮助该政企单位拦截了远线程注入、无文件攻击等基于内存攻击的行为对域控服务器进行攻击,实时拦截。
安芯网盾智能内存保护系统帮助该政企客户检测拦截了攻击方利用Mimikazt攻击工具获取被攻击的域控服务器中的krbtgt账户的hash值的行为。
此外,还帮助该政企单位拦截了攻击者利用Mimikazt进行攻击机的票据hash值读取,获取保留在攻击机中的域控管理员账号信息和hash,进行被攻击机远程登录的行为。
通过安芯神甲Server端的域控策略配置,行为日志功能模块可以有效拦截域内普通PC机越权访问域控主机的行为,防止krbtgt账户hash值得泄露风险以及避免发生制作黄金票据的风险。
转载请注明来自网盾网络安全培训,本文标题:《案例|内存安全助力AD域控服务器安全问题防护》
