20199308 2019-2020-2「ネットワーク攻撃と防御の実践」第7週の割り当て

（： 」∠）_

• この課題が属するコース：2019-2020-2-1991＆1993 "Network Attack and Defense Practice"
• この操作の要件：Windows OSのセキュリティ攻撃と防御の7番目の操作
• コースの目的：ネットワークの攻撃と防御の実践を学ぶ
• この割り当ては、どのようにして目標を達成するのに役立ちますか？Windowsオペレーティングシステムのセキュリティ攻撃と防御の第VII章

1.練習内容

1.ウィンドウズオペレーティングシステムの基本的なフレームワーク

• Windowsオペレーティングシステムの基本構造の概略図
  

• Windowsオペレーティングシステムカーネルの基本モジュール：

基本モジュール	効果
Windowsエグゼクティブ	Windowsカーネルコアファイルntoskrnl.exeの上部インターフェイスには、プロセスとスレッドの管理、メモリ管理、I / O管理、ネットワーク接続、プロセス間通信、セキュリティサービスなどの基本的なオペレーティングシステムカーネルサービスが含まれています。
Windowsカーネル	つまり、Windowsカーネルコアファイルntoskrnl.exeの関数実装およびハードウェアアーキテクチャサポートコードは、スレッドスケジューリング、割り込みおよび例外分散処理、マルチプロセッサ同期メカニズムなどの基盤となるオペレーティングシステム関数を実装し、カーネルの例のセットも提供します。エグゼクティブが高レベルの機能サービスを実装するのに役立つプロセスと基本オブジェクト。
デバイスドライバー	ユーザーI / O操作を特定のハードウェアデバイスI / O要求にマップするハードウェアデバイスドライバー、およびファイルシステムとネットワークデバイスドライバーを含みます。この部分は、デジタル署名認証をカーネルに渡して実行したサードパーティのハードウェアメーカーのハードウェアデバイスドライバーのロードをサポートします。
ハードウェアアブストラクションレイヤー	hal.dllファイルは、Windowsカーネルとプラットフォームハードウェアの違いを保護するために使用される基本的なコードです。
Windowsウィンドウとグラフィカルインターフェイスインターフェイスのカーネル実装コード	すなわちwin32k.sysファイル

• Windowsオペレーティングシステムのユーザーコードモジュール：

コードモジュール	効果
システムサポートプロセス	ログインユーザーのID認証を担当するログオンプロセスやセッション管理プロセスなど、Windowsの起動時に自動的に開始されるシステムの組み込みサービスプロセス。
環境サブシステムサービスプロセス	オペレーティングシステムの動作環境をサポートするサービスプロセス。WindowsXPはWindows環境サブシステムのみをサポートし、POSIX規格に準拠する環境サブシステムはUNIX製品の無料サービスとして提供されます。
サービスプロセス	タスクスケジューラタスクマネージャーサービス、Microsoft SQL Serverネットワークサービスなど、Windowsサービス管理メカニズムを通じて開始される一連のシステムサービスとネットワークサービス。
ユーザーアプリケーションソフトウェア	ユーザーモードで実行されるさまざまなユーザーアプリケーションソフトウェア。
コアサブシステムDLL	ユーザーモードサービスプロセスとアプリケーションソフトウェアおよびオペレーティングシステムカーネル間の対話型インターフェイスとして、ユーザーモードプログラムによって呼び出されるシステムAPI関数は、Windowsの対応する1つ以上の内部システムサービスコールにマップされます。

• Windowsプロセスとスレッド管理メカニズム
  

• span style = "color：＃800080"> Windowsメモリ管理メカニズム
  Windowsシステムの32の場合、2GB _{4GB間隔はシステムコアメモリであり、0GB} 2GB間隔はユーザーモードメモリです。

  • システムコアメモリは、カーネル、HAL、Win32k.sysなどのカーネル実行モジュールをマップし、ユーザーモードプログラムから直接アクセスできないカーネルメモリオブジェクトを格納するために使用されますが、カーネルで実行される特権コードの場合、DKOMテクノロジを使用して、列挙して操作します。
  • ユーザーモードメモリには、ユーザープログラムのコードセグメントとデータセグメントが含まれ、各スレッドにはスタックとヒープがあります。

• Windowsファイル管理メカニズム

  • NTFSファイルシステムはACLアクセス制御リストに基づいており、ファイルリソースの読み取り/書き込みのセキュリティを確保します。これは、FATよりも安全であり、パフォーマンス、信頼性、およびディスク使用効率が向上します。
  • Windowsの実行ファイルはPE形式を採用しており、その構造は下図のようになっており、主にDoSヘッダー、PEヘッダー、セグメントテーブル、特定のコードセグメントとデータセグメントで構成されています。
    

• Windowsレジストリ管理メカニズム

レジストリはWindowsオペレーティングシステムのコアと呼ばれ、その動作原理は本質的に巨大なデータベースであり、コンピューターのハードウェアに関する構成情報、システムとアプリケーションソフトウェアの初期化情報、アプリケーションソフトウェアとドキュメントファイルの関係、およびハードウェアデバイスが格納されます。 Windowsの動作中に常に引用される情報を含む、説明とさまざまなステータス情報およびデータ。

• Windowsネットワークメカニズム

  • Windowsネットワークコンポーネントモジュール：

コンポーネントモジュール	効果
ネットワークカードハードウェアのデバイスドライバー	OSI参照モデルの物理層で、サードパーティのハードウェアメーカーが開発および提供
NDISライブラリはミニポートドライバです	OSIリンク層にあるカプセル化インターフェースは、さまざまなネットワークアダプタードライバーとTDIトランスポート層の間に構築されます。
TDIトランスポート層	通常、OSIネットワーク層とトランスポート層に対応するネットワークプロトコルドライバーになり、TCP / IP、NetBEUI、IPXおよびその他のプロトコルスタックを実装し、上位TDIクライアントのIRP要求を受け入れ、NDISライブラリで提供されるネットワークカードアダプタードライバー関数を呼び出してネットワーク転送を行います。 。TDIトランスポート層は、断片化と再構成、配置の確認、再送信などの一連のメッセージ操作を透過的に実行して、上位層のネットワークアプリケーションに便利なサポートを提供します。
ネットワークAPI DLLおよびTDIクライアント	セッション層とプレゼンテーション層は、特定のプロトコルに依存しないネットワークの相互作用と実装を提供します。
Webアプリケーションとサービスプロセス	OSIアプリケーション層に対応して、通常、さまざまなネットワークAPI DLLがネットワークの相互作用および通信機能の実装に使用されます。

2. Windowsオペレーティングシステムのセキュリティアーキテクチャとメカニズム

• Windowsセキュリティアーキテクチャ

Windowsオペレーティングシステムは、参照モニターモデルに基づく基本的なオブジェクトセキュリティモデルを実装しています。

• Windows ID認証メカニズム

  • Windowsシステムでは、セキュリティサブジェクトの概念には、システムリソースアクセス要求を行うすべてのエンティティオブジェクトが含まれます。ユーザー、ユーザーグループ、およびコンピューターの3つのカテゴリがあります。各セキュリティサブジェクトには、時間と空間でグローバルに一意のSIDセキュリティ識別子が使用されます。識別のため。
  • Windowsは、これらのセキュリティサブジェクトがプログラムコードを実行するための実行環境として、管理する各ユーザーおよびコンピューターのアカウントをセットアップします。アカウント権限の基本的な役割は、これらのアカウントで実行されるプログラムによるシステムリソースオブジェクトへのアクセスを制限することです。
  • Windows ID認証メカニズムの実装原理：
    

• Windows認証およびアクセス制御メカニズム

  • Windowsは、システムで保護されるすべてのリソースをオブジェクトに抽象化します。特定のタイプには、ファイル、ディレクトリ、レジストリキー、カーネルオブジェクト、同期オブジェクト、プライベートオブジェクト、パイプ、メモリ、通信インターフェイスが含まれます。 SDセキュリティ記述子であるオブジェクトセキュリティ記述子は、次の主要な属性で構成されています。

の属性	効果
所有者SID	オブジェクト所有者のSIDセキュリティ識別子
グループSID	オブジェクトが配置されている基本ユーザーグループのSIDセキュリティ識別子
DACL自律アクセスコントロールリスト	どのセキュリティプリンシパルがどのようにオブジェクトにアクセスできるかを示す
SACLシステム監査アクセス制御リスト	監査する必要のあるサブジェクトによって開始されたアクセス操作を示します

• Windowsセキュリティ監査メカニズム

  • LSASサービスは監査戦略を保存し、オブジェクトセキュリティ記述子のSACLリストに保存します
  • セキュリティセンターには、ファイアウォール、自動パッチ更新、ウイルス保護メカニズムもあります。
  • IPSec加密与验证机制、EFS加密文件系统、windows文件保护机制等。

3.Windows远程安全攻防技术

• Windows远程攻击技术的分类

  • 远程口令猜测与破解攻击
  • 攻击Windows网络服务
  • 攻击Windows客户端及用户

• 针对特定目标的渗透测试攻击过程

  • 1、漏洞扫描测试
  • 2、查找针对发现漏洞的渗透代码
  • 3、实施渗透测试

• 使用Metasploit软件实施渗透测试

  • Metasploit软件采用开发框架和模块组件的可扩展模型，软件结构图如下（盗孙启龙童鞋的一张图）
    
  • 模块组件是真正实施渗透攻击的代码，包括：

模块	作用
Exploits	利用安全漏洞
Auxiliary	进行扫描、查点等其他辅助任务
Payloads	在目标系统上植入和运行Shellcode攻击负载
Encoders	对攻击负载进行编码以躲避检测
Nops	对攻击负载进行填充

• Metasploit常用命令

4.Windows本地安全攻防技术

• windows本地特权提升

  • 溢出提权、windows错误系统配置、计划任务提权
  • 措施：及时打补丁、及时跟进厂家的安全警告

• windows敏感信息窃取

  • windows系统口令字密文提取技术、windows系统口令字破解技术、用户敏感信息窃取等

  • 措施：使用安全度高、能抵挡破解的口令

• windows消灭踪迹

  • 关闭审计功能、清理事件日志

  • 措施：实现配置好系统审计和网络服务审计功能，并将日志传输到安全服务器中。

• 远程控制与后门

  • 向受控主机中植入第三方的远程控制与后门程序
  • 措施：采用一些后门检测软件来尝试发现攻击者隐藏的后门程序。

二、实践过程

动手实践：Metasploit Windows Attack

任务：使用metasploit软件进行windows远程渗透统计实验.
具体任务内容：使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击，获取目标主机的访问权.

过程如下：

实践作业1：取证分析实践：解码一次成功的NT系统破解攻击

来自213.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net)，要求提取并分析攻击的全部过程。
1、攻击者使用了什么破解工具进行攻击
2、攻击者如何使用这个破解工具进入并控制了系统
3、攻击者获得系统访问权限后做了什么
4、我们如何防止这样的攻击
5、你觉得攻击者是否警觉了他的目标是一台蜜罐主机？如果是，为什么？

过程如下：

实践作业2：团队对抗实践：Windows系统远程渗透攻击与分析

攻防对抗实践内容：
攻击方：使用metaploit选择漏洞进行攻击，获得控制权。
防守方：使用wireshark监听获得的网络数据包文件，并结合wireshark/snort分析攻击分析攻击过程，获取攻击者IP地址、目标IP和端口、攻击发起时间、攻击利用漏洞、攻击使用shellcode，以及攻击成功后 在本地执行的命令输入等信息。

过程如下：