只要窗还流行的攻击目标,研究人员和黑客将继续敲着平台揭开先进的战略,以颠覆微软的防御。
安全酒吧是比以前要高得多,因为微软在Windows 10中取出的攻击整个类增加了多台先进的缓解。而在黑客今年的黑帽大会由于拥有先进的开发技术,人们默认,在Windows 10上开发一项成功的技术现在要困难得多。通过操作系统漏洞入侵Windows比几年前更难了。
使用内置的反恶意软件工具
微软已经开发了反恶意软件扫描接口(AMSI)工具,可以在内存中抓到恶意脚本。任何应用程序可以调用它,任何注册的反恶意软件引擎可以处理提交AMSI的内容,Nikhal米塔尔,渗透测试和准顾问NoSoSecure,在他的黑帽会议的与会者说。Windows Defender和AVG目前使用AMSI,应该更加广泛地采用。
“AMSI是对在Windows阻止基于脚本的攻击了一大步,”米塔尔说。
网络罪犯越来越依赖于基于脚本的攻击,特别是那些执行脚本的攻击电源外壳作为他们竞选活动的一部分。组织很难发现使用PowerShell的攻击,因为它们很难区别于合法行为。它也很难恢复,因为PowerShell脚本可以用于触及系统或网络的任何方面。现在几乎每个Windows系统都预装了PowerShell,基于脚本的攻击变得越来越常见。
犯罪分子开始使用PowerShell并在内存中加载脚本,但是辩护者花了一段时间才理解。“直到几年前,没有人关心PowerShell,”米塔尔说。“我们的脚本根本没有被检测到。杀毒软件供应商只是在过去三年才开始使用它。”
虽然很容易检测到磁盘上保存脚本,它不是那么容易从执行保存到内存中停止脚本。AMSI试图在主机级,这意味着输入法赶上脚本 - 无论是保存在磁盘上,存储在内存中,或交互推出 - 没关系,使其成为一个“游戏规则改变者”,因为米塔尔说。
然而,AMSI不能单独作为实用性依赖于其他安全方法。这是非常困难的基于脚本的攻击,而不会产生日志的执行,所以它的定期监测自己的PowerShell日志Windows管理员很重要。
AMSI并不是完美的——它对于检测模糊的脚本或从不寻常的地方(如WMI名称空间、注册表键和事件日志)加载的脚本没有太大帮助。不使用PowerShell .exe(网络策略服务器等工具)执行的PowerShell脚本也会使AMSI出错。有一些方法可以绕过AMSI,比如更改脚本的签名,使用PowerShell版本2,或者禁用AMSI。无论如何,米塔尔仍然认为AMSI是“Windows管理的未来”。
保护活动目录
Active Directory是Windows管理的基石,随着组织不断将工作负载转移到云上,它正成为一个更加关键的组件。AD不再用于处理内部企业网络的身份验证和管理,现在可以在微软Azure中帮助进行身份验证和身份验证。
Windows管理员、安全专家和攻击者对Active Directory都有不同的看法,Sean Metcalf,一位通过微软认证的Active Directory专家和安全公司Trimarc的创始人告诉黑帽与会者。对于管理员来说,重点在于正常运行时间和确保AD在合理的窗口内响应查询。安全专业人员监视域管理组成员和跟上软件更新。攻击者通过查看企业的安全状况来发现弱点。梅特卡夫说,这些组织都不了解情况的全貌。
Metcalf在谈话中说,所有通过身份验证的用户都对Active Directory中的大部分对象和属性有读访问权。标准用户帐户可能危及整个Active Directory域,因为不正确地将修改权限授予了域链接的组策略对象和组织单元。Metcalf说,通过自定义的OU权限,用户可以在没有提升权限的情况下修改用户和组,或者他们可以通过SID History (AD用户帐户对象属性)来获得提升权限。
如果Active Directory中不固定,然后AD妥协变得更加容易。
Metcalf概述了帮助企业避免常见错误的策略,并将其归结为保护管理员凭证和隔离关键资源。保持软件更新,特别是解决特权升级漏洞的补丁,并分割网络,使攻击者更难通过横向移动。
安全专家应该找出谁拥有了AD和托管虚拟域控制器,以及对谁可以登录到域控制器的虚拟化环境的管理员权限。他们应该扫描Active Directory域,AdminSDHolder对象,以及不适当的自定义权限的组策略对象(GPO),以及确保域管理员(AD管理员)从未登录到不可信系统,如用自己的数字证书工作站。服务帐户的权利也应受到限制。
获取AD担保权,许多常见的攻击缓解或变得不那么有效,梅特卡夫说。
通过虚拟化来遏制攻击
微软推出了基于虚拟化的安全性(VBS),一组安全功能,烘焙到虚拟机管理程序,在Windows 10的VBS的攻击面是与其他虚拟化实施的不同,拉法尔Wojtczuk,在Bromium首席安全设计师说。
“尽管其范围有限,VBS是有用 - 它防止那些没有它直接的某些攻击,” Wojtczuk说。
Hyper-V的拥有root分区控制,它可以实现额外的限制,并提供安全服务。VBS时启用,Hyper-V的创建一个专用的虚拟机具有高信任级别来执行安全指令。不像其他的虚拟机,这种机器专门保护从根分区。视窗10可以强制用户模式的二进制文件和脚本代码的完整性,并VBS处理内核模式代码。VBS旨在不允许从内核上下文中执行任何未签名代码,即使内核已经被入侵。从本质上讲,值得信赖的特殊虚拟机上运行的代码授予执行到存储签名的代码页在根分区的扩展页表(EPT)的权利。由于页不能同时可写和可执行的同时,恶意软件无法进入内核模式的方式。
由于整个概念取决于即使根分区被破坏也能继续运行的能力,因此Wojtczuk从已经侵入根分区的攻击者的角度对VPS进行了研究——例如,攻击者是否绕过安全引导来加载一个木马化的hypervisor。
“VBS的安全状态看起来不错,而且提高了系统的安全性 - 当然,这需要额外的非常平凡的努力找到合适的漏洞允许旁路,” Wojtczuk在伴随白皮书写道。
现有文档建议需要安全启动,和VTd的和可信平台模块(TPM)是可选的用于使VBS,但事实并非如此。管理员需要同时拥有VTd的和TPM,以防止被盗用root分区管理程序。只需启用凭据保护是不够的VBS。其他配置,以确保凭证没有在根分区中明确显示是必要的。
微软已经投入了大量的努力,使VBS尽可能的安全,但不寻常的攻击面仍令人担忧,Wojtczuk说。
安全条高
断路器,其中包括罪犯,研究人员,并希望看到他们可以做什么黑客,从事与微软精心设计的舞蹈。只要断路器的方式找出绕过Windows的防御,微软关闭安全漏洞。通过实施创新的安全技术,使攻击更难,微软的力量断路器深入挖掘,让他们身边。的Windows 10是目前最安全的Windows有史以来,感谢那些新功能。
犯罪分子是忙于工作,而恶意软件祸害不显示很快放缓的迹象,但值得注意的是,大多数攻击时下的修补程序的软件,社会工程,或错误配置的结果。没有软件应用程序可以完全无缺陷,但在内置的防御使其难以利用现有的弱点,那就是为守军的胜利。微软已经做了很多,在过去的几年里,以阻止操作系统的攻击,和Windows 10是这些变化的直接受益者。
考虑到微软加强了它的隔离技术Windows 10周年更新,客场成功利用了现代的Windows系统看起来更加强硬。
这个故事,“尊重:10的Windows安全令人印象深刻黑客”原本是由出版InfoWorld的 。