如今日益復(fù)雜的網(wǎng)絡(luò)環(huán)境,企業(yè)IT安全和管理均受到巨大挑戰(zhàn)。根據(jù)ESG對(duì)北美和西歐620名IT專業(yè)人員的年度調(diào)查顯示,51%的受訪者稱他們的企業(yè)存在應(yīng)對(duì)安全威脅技能短缺的問題。Microsoft Azure提供了一套云原生的威脅防護(hù)和檢測系統(tǒng)——Azure Security Center,最大限度地減少和緩解整個(gè)環(huán)境中的威脅,并改善整體安全態(tài)勢(shì)。
Azure Security Center為Azure用戶提供免費(fèi)的云安全態(tài)勢(shì)管理,為用戶持續(xù)提供Azure資源評(píng)估和安全性建議。本文的重點(diǎn)是想和大家聊一聊Azure Security Center下的一項(xiàng)高級(jí)功能——Azure Defender。
在企業(yè)環(huán)境上,Azure Defender不僅可以為Azure資源提供保護(hù)、還可以對(duì)本地IDC和其他云中運(yùn)行的混合工作負(fù)載提供統(tǒng)一的安全管理和威脅防護(hù);
在資源類型上,Azure Defender除了對(duì)虛擬機(jī),還可以針對(duì)SQL數(shù)據(jù)庫、容器、Web應(yīng)用程序、網(wǎng)絡(luò)等提供持續(xù)保護(hù),并能夠與企業(yè)現(xiàn)有的安全解決方案(如SIEM)進(jìn)行集成。
今天通過兩組攻擊實(shí)驗(yàn),帶著大家感受一下Azure Defender對(duì)Windows和Linux VM的威脅檢測和高級(jí)防御功能。
上圖展示了黑客攻擊者典型的網(wǎng)絡(luò)殺傷鏈(Cyber Kill Chain),該擊殺鏈反映了攻擊者如何試圖通過各種攻擊手段對(duì)企業(yè)IT環(huán)境發(fā)起攻擊,并通過一系列的潛伏和橫向移動(dòng)入侵企業(yè)IT資產(chǎn),收集域內(nèi)用戶信息,不斷擴(kuò)大感染面,最終獲取特權(quán)用戶權(quán)限,對(duì)企業(yè)核心資產(chǎn)造成嚴(yán)重威脅,給企業(yè)帶來不同程度的經(jīng)濟(jì)和信譽(yù)損失。有調(diào)查研究表明,在網(wǎng)絡(luò)攻擊中企業(yè)遭受的平均經(jīng)濟(jì)損失超過100萬美金。
今天通過兩組模擬攻擊實(shí)驗(yàn)模擬攻擊者在擊殺鏈各階段的一系列行為,向大家直觀展示azure defender強(qiáng)大的安全威脅檢測和告警功能。
說明:實(shí)驗(yàn)中的模擬攻擊均為實(shí)驗(yàn)測試,不構(gòu)成實(shí)質(zhì)的攻擊操作。
Lab1:Azure Defender針對(duì)Windows VM的高級(jí)威脅檢測及告警
實(shí)驗(yàn)環(huán)境:
兩臺(tái)Windows Server 2012虛擬機(jī),一臺(tái)為“Attacker”(攻擊者),另一臺(tái)為“Target”(目標(biāo)主機(jī))。
實(shí)驗(yàn)中將使用以下幾種工具:
Tool1可以在本地或者遠(yuǎn)程管理計(jì)算機(jī)系統(tǒng),常被攻擊者用于在系統(tǒng)內(nèi)做橫向移動(dòng),進(jìn)行信息收集、探測、反病毒、虛擬機(jī)檢測、命令執(zhí)行、權(quán)限持久化等操作。
Tool2是sysinternals的一款強(qiáng)大的軟件,通過他可以提權(quán)和執(zhí)行遠(yuǎn)程命令,對(duì)于批量大范圍的遠(yuǎn)程運(yùn)維能起到很好的效果,尤其是在域環(huán)境下。
Tool3是一款可以抓取系統(tǒng)內(nèi)的明文密碼的工具,主要用于提升進(jìn)程權(quán)限以及讀取進(jìn)程內(nèi)存,當(dāng)然了,最重要的功能就是可以從lsass中獲取當(dāng)前Active系統(tǒng)的登錄密碼。
實(shí)驗(yàn)內(nèi)容:
登陸Azure Portal,在訂閱級(jí)別開啟Azure Security Center并打開Azure Defender功能,也支持針對(duì)指定資源開啟Azure Security Center。這里強(qiáng)烈建議從訂閱級(jí)別開啟Azure Security Center以獲取更全面的安全防護(hù)功能。
測試一:攻擊者在目標(biāo)機(jī)器上創(chuàng)建并執(zhí)行進(jìn)程
在內(nèi)網(wǎng)滲透中,當(dāng)攻擊者獲取到內(nèi)網(wǎng)某臺(tái)機(jī)器的控制權(quán)后,會(huì)以被攻陷的主機(jī)為跳板,通過收集 域內(nèi)憑證等各種方法,訪問域內(nèi)其他機(jī)器,進(jìn)一步擴(kuò)大資產(chǎn)范圍。通過此類手段,攻擊者最終可能獲得域控制器的訪問權(quán)限,甚至完全控制整個(gè)內(nèi)網(wǎng)環(huán)境,控制域環(huán)境下的全部機(jī)器。
假設(shè)你是攻擊者,在“Attacker”虛擬機(jī)上利用Tool1遠(yuǎn)程登陸到“Target”目標(biāo)機(jī)器上執(zhí)行CMD命令——?jiǎng)?chuàng)建并執(zhí)行新的進(jìn)程(scvhost.exe)。攻擊者可以利用該方式創(chuàng)建系統(tǒng)后門,或占用大量目標(biāo)系統(tǒng)的內(nèi)存,例如有些攻擊者會(huì)在用戶系統(tǒng)中運(yùn)行挖礦軟件病毒等惡意行為。
此時(shí),Azure Security Center利用Azure Defender功能會(huì)立刻檢測到被攻擊的Target虛擬機(jī)被執(zhí)行了可疑進(jìn)程,并進(jìn)行安全告警。
同時(shí),Azure Security Center中可以查看到詳細(xì)的可疑行為信息,例如執(zhí)行可疑行為的賬號(hào)信息、被執(zhí)行的可疑文件位置等。
測試二:攻擊者獲取內(nèi)存憑證并進(jìn)行橫向移動(dòng)
攻擊者使用Tool3在目標(biāo)主機(jī)上獲取內(nèi)存中的憑證信息,這些憑證信息用于對(duì)其他機(jī)器進(jìn)行身份驗(yàn)證,并在系統(tǒng)中進(jìn)行橫向移動(dòng)。
此時(shí)安全中心會(huì)立刻進(jìn)行告警,告知用戶該可疑行為的攻擊者意圖。通過安全告警的提示信息可以看出,該攻擊者試圖進(jìn)行憑據(jù)訪問,同時(shí)告知用戶攻擊者執(zhí)行的可疑操作具體信息,如下圖所示。
Lab2:Azure Defender針對(duì)Linux VM的高級(jí)威脅檢測及告警
實(shí)驗(yàn)環(huán)境:
攻擊者VM1為一款特殊的Linux操作系統(tǒng),常用于滲透測試等領(lǐng)域;目標(biāo)主機(jī)VM2使用Ubuntu 14.04 LTS系統(tǒng)。Azure Security Center支持多種Linux系統(tǒng),具體可以參考官網(wǎng):https://docs.microsoft.com/en-us/azure/security-center/security-center-os-coverage
實(shí)驗(yàn)準(zhǔn)備:
在實(shí)驗(yàn)中,為了演示攻擊者對(duì)目標(biāo)主機(jī)進(jìn)行密碼暴力破解的過程,需要在VM2目標(biāo)主機(jī)上事先創(chuàng)建5個(gè)用戶,信息如下:
實(shí)驗(yàn)內(nèi)容:
從訂閱級(jí)別開啟Azure Security Center并打開Azure Defender功能,也支持針對(duì)指定資源開啟Azure Security Center (具體操作方法見官方文檔)。這里強(qiáng)烈建議從訂閱級(jí)別開啟Azure Security Center以獲取更全面的安全防護(hù)功能。
測試一:攻擊者對(duì)目標(biāo)主機(jī)VM2發(fā)起SSH暴力破解
假設(shè)你是攻擊者,登陸VM1,使用內(nèi)置的用戶名和密碼列表對(duì)目標(biāo)主機(jī)發(fā)起暴力攻擊。具體的命令行操作如下,可以看到VM2的用戶賬戶和密碼被返回給攻擊者,完成了SSH暴力破解過程。
此時(shí),Azure Security Center會(huì)發(fā)出郵件告警并描述出安全威脅的具體信息,如下圖所示。
同時(shí),Azure用戶可以在Security Center中看到針對(duì)VM2的安全事件,從攻擊者嘗試進(jìn)行暴力破解但未成功開始,Azure安全中心便發(fā)起告警,因?yàn)閷?shí)驗(yàn)中使用的暴力破解wordlist很短,所以從攻擊者發(fā)起暴力破解攻擊到破解成功所需要的遍歷時(shí)間很短,在真實(shí)場景中,在攻擊者嘗試進(jìn)行暴力破解,到破解成功之前,通過Azure Security Center提供的告警信息,可以讓管理員進(jìn)行及時(shí)的響應(yīng)和處理。
測試二:攻擊者在目標(biāo)主機(jī)上下載惡意軟件
本實(shí)驗(yàn)攻擊者在通過暴力破解等方式,在內(nèi)網(wǎng)中找到突破口之后,會(huì)進(jìn)行一段時(shí)間的潛伏,并通過多種方式嘗試進(jìn)行橫向移動(dòng)。例如攻擊者會(huì)遠(yuǎn)程記錄目標(biāo)主機(jī)的鍵盤操作,或者使用一些工具進(jìn)行內(nèi)部偵察以枚舉服務(wù)器和域的具體信息,從而對(duì)一些服務(wù)器發(fā)起攻擊。例如在特定服務(wù)器上安裝惡意軟件。本測試攻擊者在目標(biāo)主機(jī)上,嘗試下載EICAR惡意軟件測試文件,從而驗(yàn)證Azure Security Center的面對(duì)安全威脅的高級(jí)功能,并不會(huì)對(duì)目標(biāo)主機(jī)產(chǎn)生任何惡意影響。
以上是實(shí)驗(yàn)中具體的操作命令行測試內(nèi)容,當(dāng)攻擊者遠(yuǎn)程在目標(biāo)主機(jī)上安裝惡意軟件之后,Azure Security Center立刻對(duì)受到的安全威脅產(chǎn)生告警,并給出詳細(xì)的安全威脅信息及需要采取的下一步行動(dòng)建議。
Azure defender為企業(yè)IT資源提供了一整套完整的高級(jí)安全防護(hù)功能,涉及智能告警、漏洞評(píng)估、合規(guī)性管理等內(nèi)容。本文僅通過兩個(gè)簡單的攻擊實(shí)驗(yàn),和各位讀者一起對(duì)Azure Defender做了一番初探,更多功能可以參考微軟官方Doc文檔:https://docs.microsoft.com/zh-cn/azure/security-center/azure-defender#azure-defender-advanced-protection-capabilities
感謝閱讀,歡迎交流學(xué)習(xí)。