只要窗户仍然是一个受欢迎的攻击目标,研究人员和黑客将继续击中平台来揭示高级策略以颠覆微软的防御。
由于Microsoft在Windows 10中添加了删除了整个攻击的Windows 10中的多个高级缓解,那么安全性远高得多。虽然黑客在今年的黑帽会议尽管Windows 10配备了复杂的开发技术,但人们已经默认,现在在Windows 10上开发一种成功的技术要困难得多。通过操作系统漏洞进入Windows系统比几年前更难了。
使用内置的反恶意软件工具
Microsoft开发了可以在内存中捕获恶意脚本的AntimalWare扫描界面(AMSI)工具。任何申请都可以调用它,任何注册的antimalware引擎都可以处理提交给AMSI的内容,说明尼克尔·米塔尔,渗透的测试仪和丧偶顾问在他的黑帽会议上的与会者。Windows Defender和AVG目前使用AMSI,它应该变得更广泛地采用。
“amsi是阻止基于脚本的攻击在Windows中的一步,”米特尔说。
网络罪犯越来越依赖基于脚本的攻击,尤其是那些在电源外壳作为他们竞选活动的一部分。组织很难发现使用PowerShell的攻击,因为它们很难与合法行为区分开来。它也很难恢复,因为PowerShell脚本可以用于触及系统或网络的任何方面。现在几乎每个Windows系统都预装了PowerShell,基于脚本的攻击变得越来越普遍。
犯罪分子开始使用PowerShell并在内存中加载脚本,但防御者花了一段时间才明白过来。米塔尔表示:“直到几年前,才有人关心PowerShell。“我们的脚本根本没有被检测到。防病毒厂商只是在过去三年才开始使用它。”
虽然它很容易检测到磁盘上保存的脚本,但它并不是那么容易停止将脚本保存到内存中的执行。AMSI试图在主机级别捕获脚本,这意味着输入方法 - 无论是在存储器中存储的磁盘,还是交互式启动 - 无关紧要,使其成为“游戏更换者”,因为米特拉尔说。
然而,AMSI不能单独存在,因为其实用性依赖于其他安全方法。在不生成日志的情况下执行基于脚本的攻击非常困难,因此Windows管理员定期监视其PowerShell日志非常重要。
AMSI并不完美——它在检测从WMI名称空间、注册表项和事件日志等不寻常位置加载的模糊脚本或脚本时不太有用。不使用PowerShell .exe(网络策略服务器之类的工具)执行PowerShell脚本也会绊倒AMSI。有一些方法可以绕过AMSI,比如改变脚本的签名,使用PowerShell版本2,或者禁用AMSI。无论如何,米塔尔仍然认为AMSI是“Windows管理的未来”。
保护活动目录
Active Directory是Windows管理的基石,随着企业不断将工作负载转移到云上,它将成为一个更加重要的组件。AD不再用于处理内部企业网络的身份验证和管理,现在可以在Microsoft Azure中帮助进行身份验证和身份验证。
微软Active Directory认证大师、Trimarc安全公司创始人Sean Metcalf告诉黑帽会议的与会者,Windows管理员、安全专家和攻击者对Active Directory都有不同的看法。对于管理员来说,重点是正常运行时间和确保AD在合理的窗口内响应查询。安全专业人员监控Domain Admin组成员并保持软件更新。攻击者从企业的安全态势中寻找弱点。梅特卡夫说,没有一家公司能全面了解情况。
Metcalf在谈话中说,所有经过认证的用户都可以读取Active Directory中的大部分(如果不是全部的话)对象和属性。标准用户帐户可能会危及整个Active Directory域,因为不正确地授予与域链接的组策略对象和组织单元的修改权限。Metcalf说,通过自定义OU权限,用户可以修改没有提升权限的用户和组,或者通过SID History(一个AD用户帐户对象属性)来获得提升权限。
如果Active Directory不安全,则广告泄露的可能性更大。
Metcalf概述了帮助企业避免常见错误的策略,并将其归结为保护管理员凭证和隔离关键资源。保持对软件更新的掌握,特别是针对特权升级漏洞的补丁,并对网络进行分段,使攻击者更难横向移动。
安全专业人员应确定谁拥有AD和托管虚拟域控制器的虚拟环境的管理员权限,以及谁可以登录到域控制器。他们应扫描active directory域、AdminsHolder对象和组策略对象(GPO)对于不适当的自定义权限,以及确保域管理员(AD管理员)从不使用其敏感凭据登录不受信任的系统,如工作站。还应限制服务帐户权限。
梅特卡夫说,如果广告安全措施得当,许多常见的攻击就会得到缓解或变得不那么有效。
虚拟化来遏制攻击
Microsoft在Windows 10中引入了基于虚拟化的安全性(VBS),这是一组烘焙到虚拟机监控程序中的安全功能。Bromium首席安全架构师Rafal Wojtczuk说,VBS的攻击面不同于其他虚拟化实现。
Wojtczuk说:“尽管VBS的范围有限,但它还是很有用的——它可以防止某些没有它的攻击。”。
Hyper-V对根分区进行了控制,它可以实现额外的限制并提供安全服务。启用VBS时,Hyper-V具有高信任级别的专用虚拟机以执行安全命令。与其他VM不同,此专用计算机受到根分区的保护。Windows 10可以强制执行用户模式二进制文件和脚本的代码完整性,VBS处理内核模式代码。VBS旨在不允许任何未签名的代码在内核上下文中执行,即使内核已被泄露。基本上,在特殊的VM授予在根分区的扩展页表(EPT)中执行权限的可信代码,以存储签名代码的页面。由于页面不能同时可写和可执行,因此恶意软件无法以这种方式进入内核模式。
由于整个概念取决于即使根分区已被破坏也能继续运行的能力,Wojtczuk从已经侵入根分区的攻击者的角度来研究VPS——例如,如果攻击者绕过安全引导来加载木马管理程序。
“VBS的安全姿势看起来很好,它提高了系统的安全 - 当然需要额外的高度非暴力努力来找到允许旁路的合适漏洞,”Wojtczuk在伴随的白皮书中写道。
现有文档建议需要安全启动,而VTD和可信平台模块(TPM)是可选的,用于启用VB,但不是这种情况。管理员需要拥有VTD和TPM来保护虚拟机管理程序免受受损的根分区。只需启用凭据警卫就不足以vbs。其他配置,以确保凭据在根分区中的清除中未显示凭据是必要的。
微软已经努力使vbs尽可能安全,但不寻常的攻击表面仍然是令人担忧的,Wojtczuk说。
安全栏更高
包括犯罪分子,研究人员和黑客对看到他们能做的事情的破坏者,从事微软的精心舞蹈。一旦断路器弄脏了绕过窗户防御的方法,微软将关闭安全漏洞。通过实施创新的安全技术来攻击更加努力,微软迫使破碎机深入挖掘它们。由于这些新功能,Windows 10是有史以来最安全的窗口。
犯罪分子忙于工作,恶意软件灾祸并没有显示出很快放缓的迹象,但值得注意的是,当今大多数攻击都是未修补软件、社会工程或错误配置的结果。任何软件应用程序都不可能完全没有bug,但当内置防御系统使得利用现有弱点变得更加困难时,这是防御者的胜利。在过去几年中,微软在阻止对操作系统的攻击方面做了很多工作,而Windows10是这些变化的直接受益者。
考虑到微软加强了隔离技术Windows 10周年更新,成功利用现代Windows系统的道路看起来更加强硬。
这个故事“尊重:Windows 10安全性印象黑客”最初发布infoworld. 。