Azure Security Center 如何使用管理工具檢測漏洞

撰 /  Azure 安全中心高級軟體工程師 Dotan Patrich 和 Azure 安全中心安全軟件工程師實習生 Yossi Weizman 撰寫。 譯 / Fu-Hsuan Liu 2017 年早些時候,Rob Mead 撰寫了一篇關於 Azure 安全中心用於檢測威脅的技術的大文章。在本文中,我們將詳細討論一個這樣的示例,使 Azure 安全中心能夠檢測 backdoor user 帳戶創建的使用情況。 backdoor user 帳戶是由攻擊者創建的作為攻擊一部分的帳戶,稍後用於獲取對網絡中其他資源的訪問權限,打開網絡的新入口點並實現持久性。 MITRE 將創建賬戶策略列為階段的憑證訪問意向的一部分,並列出了使用此技術的多個工具包。 乍看之下,檢測這種惡意賬戶創建行為很容易,但通常情況並非如此,因為創建新賬戶主要是合法行政操作的一部分。因此,安全產品通常不會對此提醒,因為大多數組織都難以應付需要進行分類的警報量。這使得賬戶創建策略成為強大的對手戰術。 本月早些時候,Azure 安全中心發布了一項新的分析,以檢測可能用作 backdoor user 帳戶的可疑帳戶創建操作。該分析包括幾個標準,用於區分良性行政賬戶創建和需要提醒的可疑活動。其中一些來源於許多租戶的規模。 與所有作為 Azure 安全中心一部分發布的安全分析一樣,正在對其進行監控並進行調查,以查看其噪聲比,性能和正確性。監控用戶創建分析揭示了一個有趣的案例,表明如果沒有通過良性工具完成,創建的帳戶也可能有系統漏洞的症狀。由於沒有對主機採取惡意行為,因此該漏洞不會被其他類型的安全警報標記,但用戶必須知道其環境中存在潛在的高風險漏洞。 深入了解 Azure 安全中心最近提出的這類警報,展示了用指令行創建用戶帳戶的情況,該指令行包含純文本中的用戶名和密碼。更令人感興趣的是,對這些事件的深入研究表明,用戶創建操作不是由對手執行的,而是由來自知名供應商的技術支持軟件執行的。 對該軟件的進一步調查顯示,它不僅在不同的安裝中使用相同的用戶名,而且還使用相同的密碼。 惡意攻擊者可能會探測不同的機器並嘗試使用這些憑據登錄。在主機配置為允許遠程管理連接的情況下,使用 PowerShell、WMI 或遠程桌面等,進而進入網絡的入口點。在惡意攻擊者已經在網絡上紮根的情況下,他可以使用這些憑證,在網絡上橫向移動到任何安裝了支持工具的機器,從而暴露這些機器上的所有信息,包括登錄到那些機器的任何其他帳戶。鑑於此帳戶是由支持工具創建的,管理員很可能會安裝它,因此這些主機可能會緩存可能被利用的高權限帳戶的憑據。 而且,當我們將軟件安裝在作為域控制器的計算機上時,創建的帳戶被設置為域用戶。這代表在這樣的情況,軟件的安裝會導致整個域的安全漏洞。 關鍵是要確保審查和評估網絡中的任何帳戶創建操作,包括本地帳戶。 此外,評估每個工具安裝所做的配置更改對於評估和減輕與其相關的任何風險至關重要。 通過 Azure 安全中心,可以更輕鬆地自動執行評估帳戶創建操作的過程,並通過異常用戶創建警報檢測異常配置。 因此,如果您在…

0

使用 Sysmon 和 Azure 安全中心檢測內存中的攻擊

撰 / Tim Burrell, Principal Security Engineering Manager, Microsoft Threat Intelligence Center 據報導,內存中的攻擊正在增加並引起越來越多的關注,例如,在這些帖子中,SentinelOne 報導包含:內存中的攻擊越來越強大,留下的蹤跡很少、在尋找內存中的攻擊 ,以及尋找內存中的 .NET 攻擊。 這些攻擊涉及攻擊者完全在內存中執行惡意活動,而不是將文件寫入磁盤 – 正如許多惡意軟件感染中發現的更傳統的木馬或植入物所常見的那樣。 CSO 的文章標題為“黑客如何入侵系統而不安裝軟件”提供了一個很好的概述。 檢測可能是十分具有挑戰性的,因為內存中的攻擊通常在很多標準操作系統事件日誌中幾乎沒有佔用空間。雖然許多防病毒解決方案都支持某種級別的內存保護,但它們通常是在檢測磁盤上惡意文件中的威脅方面效率最高 – 而內存方案中也沒有這種方法。 在本文中,我們將介紹兩種內存中的攻擊技術,並展示如何使用 Sysmon 和 Azure 安全中心檢測這些攻擊技術。 攻擊 在此案中攻擊策略如下: 這個攻擊鏈的前兩個階段涉及內存技術: 初始妥協 – 流程注入 受害者被誘騙點入通過電子郵件發送的 Microsoft Office Word 文檔中的 macro。 #Hancitor就是這樣的一個威脅 – 它使用一個 macro 來注入 verclsid.exe。 惡意代碼直接複製到verclsid.exe 進程空間中,因此永遠不會觸及該磁盤。 由於 verclsid.exe 是一個值得信賴的 Windows 進程,因此它的活動不太可能被入侵檢測產品阻止。 消除未來的檢測 -…

0

使用 Azure Security Center 檢測最新的勒索軟件威脅(又名 Bad Rabbit)

撰 / Tim Burrell, Principal Security Engineering Manager, Microsoft Threat Intelligence Center   Windows Defender 團隊最近用新的勒索軟件威脅 Ransom:Win32 / Tibbar(也被稱為 Bad Rabbit)更新了惡意軟件百科全書。 此更新包含有關緩解新威脅的全面指導。 微軟反惡意軟件解決方案(包括 Windows Defender Antivirus 和 Azure 服務和虛擬機的 Microsoft 反惡意軟件)進行了更新,以檢測並防範此威脅。 本文總結了您可以採取的其他措施,以通過 Azure 安全中心防止和檢測在 Azure 中運行的工作負載遭遇這種威脅。 獲取有關啟用 Azure 安全中心的更多信息。   預防 Azure 安全中心會掃描您的虛擬機和服務器以評估端點保護狀態。 計算後確定那些沒有受到充分保護的議題,將同時被給予相關的建議。     深入“Compute”窗格或概覽建議窗格中會顯示更多詳細信息,包括 Endpoint Protection 安裝建議,如下所示:     點擊此按鈕會導出一個對話框,允許您選擇和安裝端點保護解決方案,包括 Microsoft 自己的Azure 服務和虛擬機的反惡意軟件解決方案,這些將有助於防範此類勒索軟件威脅。  …

0

Azure Security Center 如何自動偵測網路攻擊

撰 /Rob Mead, Senior Software Engineer – Microsoft Threat Intelligence Center 今年早些時候,Greg Cottingham 撰寫了一篇偉大的文章,打破了Azure 安全中心發現的針對SQL Server 的攻擊案例。在這篇文章中,我們將更詳細地介紹安全中心如何分析數據以檢測這些類型的攻擊,以及這些方法的輸出如何用於轉向其他共享某些常用技術的入侵。 隨著攻擊技術的迅速發展,許多組織都在努力跟上步伐。安全人才的稀缺加劇了這種情況,公司不能僅僅依靠人類的檢測手段。通過烘焙算法中人類安全分析師的直覺,Azure 安全中心可以自動適應不斷變化的攻擊模式。 讓我們看看安全中心如何使用這種方法來檢測針對 SQL Server 的攻擊。通過分析MSSQLSERVER 帳戶執行的進程,我們發現它在正常情況下非常穩定 – 它幾乎始終執行一組固定的操作。這個帳戶的穩定性使我們能夠建立一個模型,以檢測在發生攻擊時發生的異常活動。 建立模型 在安全中心可以構建此數據的模型之前,它會執行一些前處理來折疊減少相似目錄的流程執行。 否則,模型會將這些視為不同的過程。它在流程目錄上使用距離函數進行聚類,然後匯整流程名稱共享的流行程度。 下面可以看到這個過程的一個例子:   這可以簡化為單個摘要狀態:   它還處理數據以捕獲託管執行程序,例如 regsvr32.exe 和 rundll32.exe,它們本身可能很常見,但可用於運行其他文件。 通過將自己作為執行文件運行的文件視為由此機制運行的任何代碼,都可以獲得洞察。 使用此規範化數據,Azure 安全中心檢測引擎可以繪製訂閱中由 MSSQLSERVER 執行的流程普遍性。 由於帳戶的穩定性,這種簡單的方法會根據進程名的稱和位置生成一個正常行為的健壯模型。 這個模型的可視化可以在下面的圖中看到:       發現異常 當像 SQL Server 這樣的攻擊目標被鎖定時,攻擊者的前幾個動作會受到高度限制。他們可以嘗試各種策略,這些策略都會留下流程執行事件的痕跡。 在下面的示例中,我們使用安全中心使用來自訂閱的數據在遇到 SQL Server 攻擊時顯示相同的模型。…

0