ZeroLogon漏洞(CVE-2020-1472)防御性指南
关于Zerologon(CVE-2020-1472)
2020年09月11日,安全研究专家Tom Tomvvort发布了一篇安全博文,并披露了关于Zerologon漏洞的详细信息。随后,微软在八月份的补丁日也发布了针对CVE-2020-1472漏洞的修复补丁。根据研究人员的描述,由于Netlogon的加密实现中存在安全问题,导致攻击者可以通过利用该漏洞来劫持企业环境下的服务器设备。该漏洞将允许攻击者为活动目录域控制器的计算机账号设置密码,并从域控制器中导出凭证数据。针对该漏洞的原理及技术已经有很多研究人员分析过了,本文将主要介绍针对Zerologon攻击的安全防御相关的内容。
执行攻击
虽然目前社区已经有很多针对Zerologon漏洞的利用工具了,但我本人还是选择使用最新的Mimikatz版本。首先,我们来测试一下我们自己的系统是否受该漏洞影响:
接下来,执行漏洞利用代码:
此时,我们将能够执行一次DCSync攻击,并从目标域控制器中导出敏感数据了。需要注意的是,这种攻击行为将破坏域控制器的功能完整性,因此请谨慎而行。
漏洞&攻击检测
事件代码5805
在这里,事件5805会在Zerologon攻击执行时生成,日志将存储在Windows主机的系统日志信道内。我们可以通过Splunk查询来找到这种类型的活动日志:
index=winlogs EventCode=5805
| table body,Name,dest
结果如下:
虽然在上面的样例中,计算机名称被设置成了mimikatz,这样将导致NETLOGON无法通过域控制器验证,这里我们将其修改为“Server2”。
事件代码4624+4742
事件代码4624和4742同样会在漏洞利用代码执行时被触发生成。这里我使用了EVTX样本来执行下列查询:
index= [evtx_location] EventCode=4624 OR EventCode=4742
Account_Name=”ANONYMOUS LOGON”
| table name,MSADChangedAttributes,Source_Network_Address,Account_Name
结果如下:
我们可以看到,域控制器计算机账号的密码已经被修改了,并且记录了一次成功的匿名登录行为。
Sysmon事件ID 3
针对Zerologon攻击的另一种检测技术利用了Sysmon NetworkConnect事件和其强大Rule语句。当Zerologon事件发生时,攻击设备的网络连接将传入目标域控制器的LSASS进程,我们就可以通过下列Sysmon配置代码来监控这种类型的活动了:
<Rule name=“Incoming LSASS NetworkConnect” groupRelation=“and”>
<Image condition=“image”>lsass.exe</Image>
<Initiated condition=“is”>false</Initiated>
</Rule>
Splunk查询语句如下:
index=sysmon RuleName=”Incoming LSASS NetworkConnect”
| table Protocol,Initiated,SourceIp,DestinationIp
结果如下:
我们可以看到,主机192.168.1.43就是我们的攻击设备,它向192.168.1.156(目标域控制器)的LSASS进程建立了网络连接。
Moloch抓包
除了主机层的监控之外,我们还可以通过抓包来检测Zerologon攻击。这里我选择使用Moloch抓包工具,这种检测逻辑同样可以扩展到其他PCAP系统。如果我们分析攻击活动中的PCAP,我们可以看到客户端凭证的数据域会全部设置为0:
我们可以使用Moloch中的Hunt功能来查找我们PCAP数据中的十六进制字节,这里可以通过“protocols == dcerpc”查询来查看RPC协议流量:
过滤掉我们的“0000000000000000ffff2f21220000c0”字节,然后执行Hunt,我们可以看到这里有七个会话匹配我们的Hunt逻辑:
我们可以打开Hunt来查看数据,这里将显示大量的元数据和会话标签,其中包含Hunt名称和Hunt ID,以及Zerologon攻击的网络活动:
总结
Zerologon漏洞应该引起广大管理员的高度重视,任何受影响的系统都应该尽快修补。然而,由于补丁并不总是可行的,本文旨在使用本机Windows日志、Sysmon和PCAP来提供一些针对该严重漏洞的检测指南。
- 浅谈DNS
- silverlight寻奇 - Graphite
- 程序运算性能测量
- 2018年比特币的真正瓶颈在这里
- 玩转 React 服务器端渲染
- WCF版的PetShop之二:模块中的层次划分[提供源代码下载]
- 我的WCF之旅(3):在WCF中实现双工通信
- 我的WCF之旅 (11): 再谈WCF的双向通讯-基于Http的双向通讯 V.S. 基于TCP的双向通讯
- 更新弹幕系统的心得体会
- 我的WCF之旅(6):在Winform Application中调用Duplex Service出现TimeoutException的原因和解决方案
- 我的WCF之旅 (11): 再谈WCF的双向通讯-基于Http的双向通讯 V.S. 基于TCP的双向通讯
- 我的WCF之旅(6):在Winform Application中调用Duplex Service出现TimeoutException的原因和解决方案
- 扩展mysql - 手把手教你写udf
- scrapy初体验 - 安装遇到的坑及第一个范例
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- 数据可视化 | Pandas vs Plotnine
- laravel里使用chunk的一个坑
- 一个小小的签到功能,到底用 MySQL 还是 Redis ? ?
- 下载丨9月数据库技术通讯:Redo日志丢失,重建遭遇ORA-16433处理
- knative serving 组件分析
- 在 minikube 上部署 knative
- 认识 JS 静态类型检查工具 Flow
- PostgreSQL中如何实现密码复杂度检查?
- JS/TS 对数组中的对象按对象的值进行去重
- JS/TS 对数组中的对象按相同值进行分组
- CSS 实现输入框从右往左和反向倒序输入
- SAP Spartacus PagelayoutComponent里的template
- Python实战 | 送亲戚,送长辈,月饼可视化大屏来帮忙!
- SAP Spartacus PagelayoutComponent里的section和slot
- SAP Spartacus ComponentData的提前subscription