2017年常被惡意濫用的系統管理工具和協定

系統管理工具和正常使用協定可以讓管理員、資安專家和開發人員更加具備靈活度和效率。但如果被攻擊者、網路犯罪分子和其他惡意份子利用,就會讓惡意軟體融入正常的網路流量來躲避傳統的安全機制,留下更少的足跡。正如2017年知名的威脅所顯示的那樣,讓它們被暴露或未加防護,甚至無意間被加以利用都可能產生嚴重的後果。

 

以下是2017年一些常被濫用的工具和協定,以及企業能夠用來對付利用這些工具進行攻擊的最佳實作

PowerShell

它是什麼:Windows PowerShell是包含腳本語言和命令列shell的管理框架。它讓系統管理員可以自動化任務和管理流程。包括:啟動命令列、終止程序、找到資料夾和檔案、設定命令在背景排程執行、存取應用程式介面(API)以及管理系統和伺服器設定。

它如何被濫用:PowerShell是許多惡意軟體的主要部分,特別是無檔案威脅。像是CerberPowerWare等勒索軟體,像FAREIT這樣的資料竊取程式,像VAWTRAK這樣的銀行木馬以及將惡意PowerShell腳本嵌入可執行檔或巨集病毒文件後門程式。這些腳本被用來取得和啟動/執行惡意軟體。因為PowerShell的性質,它常會被加入白名單;攻擊者利用它來躲避防毒(AV)偵測。

最佳實作:限制其使用,或將可能被濫用的指令加入黑名單 – 這可以提高安全性,但也可能影響其他系統功能。管理員也可以利用PowerShell本身,使用觸發器來偵測常被用於惡意PowerShell腳本的指令或參數。PowerShell還具備日誌功能,可以用來分析系統內的可疑行為。微軟也提供如何安全使用PowerShell的最佳實作建議。

 

PSEXEC

它是什麼:PsExec是可以讓使用者遠端啟動程序及執行命令或可執行檔的命令列工具。它使用登入到系統的使用者權限執行。PsExec有多種用途,它可以讓管理員重新導向系統間的控制台輸入和輸出。PsExec也可以用來派送修補程式。

它如何被濫用:Petya/NotPetya勒索病毒會利用PsExec的修改過版本來存取和感染遠端機器。磁碟加密HDDCryptor也用類似的方式使用它。無檔案加密惡意軟體SOREBREC利用PsExec來加強其程式碼注入能力。PsExec的靈活性也讓它被用來劫持端點成為殭屍網路的一部分,並且安裝端點銷售(PoS)惡意軟體。據報PsExec也被用在Target資料外洩事件中。

最佳實作:PsExec的創造者Mark Russinovich也指出落在攻擊者手中可以被用來進行橫向移動。因此要強制執行最低權限原則:限制使用者的寫入權限來阻止透過網路散播的攻擊。定期檢查分配給每個使用者的權限。更重要的是,只給予真正需要的人。

 

命令列工具

它們是什麼:命令列介面(CLI)讓使用者可以透過文字命令和作業系統或應用程式互動。包括了PowerShell、Windows Management Instrumentation命令列(WMIC)、Microsoft註冊伺服器(regsvr32)和命令提示符號(cmd)。管理員和開發人員利用命令列工具來自動化工作,而且是作業系統或應用程式中的重要元件。

它們如何被濫用:Petya/NotPetya利用WMIC作為安裝勒索病毒的備用選項,以防使用PsExec沒有成功。Cobalt駭客組織利用三個命令列工具來傳送他們的惡意軟體:PowerShell,odbcconf.exe(跟Microsoft Data Access Components有關)和regsvr32(用來註冊DLL到註冊表中)。後門程式通常會做一個動作,就是啟動cmd來執行惡意命令,比方說執行額外的惡意軟體。

最佳實作:對於開發人員來說,在設計應用程式時就要考慮到安全性。大多數命令列工具都內建在系統中,所以管理員應該只在需要時啟用。為這些工具強制進行身份驗證和存取政策。這些工具通常會被加入白名單,部署行為監控機制可以阻止對系統或檔案的異常修改。

 

遠程桌面

它是什麼:遠端桌面可以讓使用者遠端連到其他機器(即虛擬桌面)。在Windows中,遠端桌面透過遠端桌面協定(RDP)進行連線,RDP是一種網路通訊協定,提供圖形使用者介面讓使用者跟其他系統進行遠端互動。RDP內建於多數的Windows作業系統中。

它如何被濫用:如果遠端桌面沒有被正確設定或防護,並且暴露在網際網路上時,就可能成為攻擊媒介。勒索病毒(如Crysis)會暴力破解RDP客戶端和手動執行系統內的惡意軟體。端點銷售(PoS)惡意軟體也會使用遠端桌面來非法存取端點系統。

最佳實作:如果沒有用到就請停用或限制使用遠端桌面。強制密碼強度來對抗暴力破解。使用加密來阻止駭客竊聽它們的網路流量。採用身份認證和帳號鎖定政策。

伺服器訊息區塊(SMB)

它是什麼:SMB是一種可以讓使用者透過網路分享檔案、印表機、序列埠和其他資源的網路通訊協定(使用TCP端口445)。讓使用者透過SMB存取代表使用者(或客戶端應用程式)可以在遠端伺服器上打開、讀取、寫入(建立或修改)、複製和刪除檔案或資料夾。SMB可以在所有的Windows作業系統中使用。

它如何被濫用:惡名昭彰的WannaCry無檔案勒索病毒UIWIX以及數位貨幣挖礦惡意軟體Adylkuzz使用了EternalBlue來散播到其他系統,這是利用了SMB v1的漏洞(CVE-2017-0144)。Shadow Brokers團隊也流出了其他針對SMB漏洞的攻擊碼:EternalRocks、EternalRomance和EternalChampion等。Bad Rabbit勒索病毒使用客製化的EternalSynergy進行散播。SambaCry(Linux系統實施SMB的一個漏洞)被用來感染具有後門的網路儲存設備(NAS)。

最佳實作:停用SMB v1及其相關協定和端口;如果工作時會用到SMB,則要升級到最新版本。使用不需要和過時的協定只會擴大系統的受攻擊面。主動監控網路的可疑活動。防火牆和入侵偵測和防禦系統在這方面都有幫助。虛擬修補技術可以保護終止支援/老舊系統或網路內的漏洞。

 

@原文出處:2017’s Notably Abused System Administration Tools and Protocols