[TOC]
序文
この課題はどのコースに属していますか:https : //edu.cnblogs.com/campus/besti/19attackdefenseこの課題の要件はどこにありますか:https : //edu.cnblogs.com/campus/besti/19attackdefense/homework/10612私はここにいますこのコースの目標は、ネットワーク攻撃と防御技術の関連知識とスキルを学ぶことです。この割り当ての特定の側面が私の目標を達成するのにどのように役立ちましたか:Windows OSのセキュリティ攻撃と防御技術の予備調査。
1.練習内容
1.1オペレーティングシステムの基本フレームワークの概要
1.1.1 Windowsオペレーティングシステムの開発とステータス
1.1.2 Windowsオペレーティングシステムの基本構造
Windowsオペレーティングシステムの基本構造は次のとおりです。
これは、プロセッサ特権モード(ring0)で実行されるオペレーティングシステムカーネルと、プロセッサ非特権モード(ring3)で実行されるユーザー空間コードに分かれています。
Windowsオペレーティングシステムカーネルの基本モジュールには、次のものがあります。
- Windowsエグゼクティブ:Windowsカーネルコアファイルntoskml.exeの上位インターフェイス。これには、プロセスとスレッドの管理、メモリ管理、I / O管理、ネットワーク接続、プロセス間通信、セキュリティサービスなどの基本的なオペレーティングシステムカーネルサービスが含まれます。
- Windowsカーネルボディ:Windowsカーネルのコアファイルntoskmnl.exeの関数実装およびハードウェアアーキテクチャサポートコード。スレッドスケジューリング、割り込みおよび例外分散処理、複数の同期メカニズムなどのオペレーティングシステム機能を実装します。また、幹部が高レベルの機能サービスを実現するのに役立つカーネルルーチンと基本オブジェクトのセットを提供します。
- デバイスドライバー:ユーザーI / O操作を特定のハードウェアデバイスIO要求にマップするハードウェアデバイスドライバー、およびファイルシステムとネットワークデバイスドライバーが含まれます。この部分は、デジタル署名認証をカーネルに渡して実行したサードパーティのハードウェアメーカーのハードウェアデバイスドライバーのロードをサポートします。
- ハードウェアアブストラクションレイヤー:hal.dllファイルは、Windowsカーネルとプラットフォームハードウェアの違いを保護するために使用される基本的なコードです。
- Windowsウィンドウとグラフィカルインターフェイスインターフェイスカーネルの実装コード:win 32k.sysファイル。
ユーザーモードのWindowsオペレーティングシステムのコードモジュールには、次のものがあります。
- システムサポートプロセス:ログインユーザーのID認証を担当するログオンプロセスやセッション管理プロセスなど、Windowsの起動時に自動的に開始されるシステム組み込みサービスプロセス。
- 環境サブシステムサービスプロセス:オペレーティングシステムのオペレーティング環境をサポートするサービスプロセス。WindowsXPはWindows環境サブシステムのみをサポートし、POSIX規格に準拠する環境サブシステムはUNIX製品の無料サービスとして提供されます。
- サービスプロセス:TaskSchedulerタスクマネージャーサービス、Microsoft SQL Serverネットワークサービスなど、Windowsサービス管理メカニズムを通じて開始される一連のシステムサービスとネットワークサービス。
- ユーザーアプリケーションソフトウェア:ユーザーモードで実行されるすべての種類のユーザーアプリケーションソフトウェア。
- コアサブシステムDLL:つまり、kernel32.d1l / user32.dll / gdi32.dll / advapi32.dllおよびその他のダイナミックリンクライブラリファイル。ユーザーモードサービスプロセスとアプリケーションソフトウェアおよびオペレーティングシステムカーネル(ユーザーモードプログラムを呼び出すシステム)間のインタラクティブインターフェイスとしてAPI関数は、Windows内の対応する1つ以上のシステムサービスコールにマップされます。
1.2 Windowsオペレーティングシステムのセキュリティアーキテクチャとメカニズム
1.2.1 Windowsセキュリティアーキテクチャ
Windowsオペレーティングシステムのセキュリティ設計の目標は、マシン上の複数のユーザー間でプロセス、メモリ、デバイス、ファイル、ネットワークなどのさまざまな種類のシステムリソースを安全に共有できる、一貫性のある堅牢なオブジェクトベースのセキュリティモデルを採用することです。ビジネスユーザーのセキュリティニーズを満たすために、NT5.xカーネルを備えたWindows 2000オペレーティングシステムは、CCセキュリティ評価標準のEVAL4レベルに合格し、通常の商用アプリケーションの要件を満たしています。Windowsオペレーティングシステムは、リファレンスモニターモデル(リファレンスモニター)に基づく基本的なオブジェクトセキュリティモデルを実装しています。参照モニターモデルは、安全なオペレーティングシステムの設計のためのクラシックモデルです。図7-6に示すように、システム内のすべてのサブジェクトは、参照モニターを介してオブジェクトにアクセスし、参照モニターはセキュリティアクセス制御戦略を実行します承認されたアクセス。すべてのアクセスレコードは、参照モニター監査ログによっても生成されます。
リファレンスモニターの従来のセキュリティモデルに基づいて、Windowsオペレーティングシステムは、図7-7に示すセキュリティアーキテクチャを使用して、基本的なセキュリティメカニズムを設計および実装します。そのコアは、カーネルにあるSRM(セキュリティリファレンスモニター)セキュリティリファレンスモニタリングです。また、ユーザーモードにあるLSASS(Local Security Authority Subsystem Service)セキュリティサービス。Winlogon/ NetlogonやEventlogなどのサービスと共に、対象ユーザーの認証メカニズム、すべてのリソースオブジェクトのアクセス制御メカニズム、およびセキュリティ監査メカニズムにアクセスします。
- LSASSのWinlogonプロセスとNetlogonは、それぞれWindowsローカルおよびリモートログインユーザーのID認証を担当します。LSASSが提供するID検証サービスは、セキュリティプリンシパルのIDの信頼性を判断するために使用されます。
- カーネルのセキュリティ参照モニターは、Windowsリソーストレジャーハウスのゲートキーパーとして機能します。LSASSサービスによって構成されたセキュリティアクセス制御ポリシーに従って、すべてのセキュリティサブジェクトの承認されたアクセス制御を担当して、Windowsリソースオブジェクトにアクセスします。
- セキュリティ参照モニターは、LSASSサービスによって構成されたセキュリティ監査戦略に従ってアクセスプロセス中に関係するイベントを記録し、EventLogはシステム監査ログを生成します。
1.2.2 Windows ID認証メカニズム
Windowsオペレーティングシステムのセキュリティプリンシパルの概念には、システムリソースアクセス要求を行うすべてのエンティティオブジェクトが含まれます。ユーザー、ユーザーグループ、およびコンピューターの3つのカテゴリがあります。各セキュリティプリンシパルには、時間と空間におけるグローバルに一意のSIDセキュリティ識別子識別のため、SIDは "S-1-5-21-13124455-12541255-61235125-500"という形式の文字列です。ここで、Sは固定文字、1はバージョン番号、3番目の桁は48ビットの値で、識別を示します。オペレーター権限(5はWindowsセキュリティ権限を表します)に続けて、複数の32ビット数値サブ権限IDが続き、最後の部分はRIDと呼ばれます。通常、管理者アカウントのRIDは500です。Windowsは、これらのセキュリティカード本体のプログラムコードの実行環境として、管理する各ユーザーおよびコンピューターのアカウントをセットアップします。アカウント権限の基本的な役割は、システムリソースオブジェクトのアクセスをこれらのアカウントで実行されているプログラムに制限することです。Windowsシステムには、最高の権限を持つローカルAdministratorアカウント、システムプロセス環境を自動的に実行するSYSTEM / L ocalSystemアカウント、比較的少ないアクセス許可を持つGuestゲストユーザー、IUSR。_Machinename IISサービスなど、いくつかの組み込みアカウントがあります。匿名ネットワークアクセスアカウントなど ハッカーの目には、ローカルの管理者アカウントとSYSTEMアカウントが最も高い権限を持ち、攻撃の最終的な標的になります。ユーザーグループは、ユーザー管理を簡略化するために導入されたユーザーアカウントコンテナーです。ユーザーアカウントを特定のユーザーグループに追加することにより、ユーザーはユーザーグループによって構成されたすべての権限を持つことができ、ユーザーグループを効果的に使用してシステム管理者が権限制御の構成作業負荷が大幅に軽減されます。Windowsの組み込みユーザーグループには次のものがあります。ローカルの最高特権ユーザーグループAdministrators、アカウント/バックアップ/サーバー/印刷オペレーター、および一方的なシステム権限を持つその他の操作グループ、サービスアカウントを収容するためのNetwork ServiceおよびLocal Serviceユーザーグループ、すべてのユーザーアカウントが配置されているUsersグループなど 同様に、ハッカーは多くの場合、システムの最高の権限を取得するために、自作のバックドア]アカウントをAdministratorsユーザーグループに追加したいと考えています。Windowsユーザーアカウントのパスワードは暗号化され、SAMまたはActive Directory ADに格納されます。ローカルユーザーアカウントのパスワード情報は、不可逆的な128ビットランダムキーハッシュによって暗号化され、SAM(Security Accouns Manager)ファイルに格納されます。SAMは、 At%systemroot%\ system32lconfiglsamファイルシステムパスの場所、およびレジストリにHKEY LOCAL MACHINESAMのコピーがありますが、WindowsカーネルはSAMファイルに永続的なファイルロックを追加するため、管理者アカウントでもSAMは通常のチャネルを介して直接読み取ることはできず、LocalSystemアカウントのアクセス許可のみを読み取ることができますが、ハッカーはメモリからSAMコンテンツをダンプするさまざまな手法を提案しており、それによりSAM暗号化パスワードのブルートフォースクラッキングが可能になります。Windowsドメインアカウントのパスワード情報は、ドメインコントローラーのADに格納されます。暗号化の方法は、スタンドアロンプラットフォームと同じです。ストレージファイルシステムの場所は、ドメインコントローラーの%systemroot% 'Intds \ ntds.ditパスです。ADのパスワード暗号文情報は、さまざまな手法でメモリからダンプすることもできます。また、オフラインのブルートフォースパスワードクラッキング攻撃をサポートします。Windowsシステムを使用しようとするユーザーやリモートコンピューターなどのセキュリティサブジェクトの場合、Windowsはいくつかの秘密情報(保存されたパスワード、登録済みの指紋など)を使用して、セキュリティサブジェクトの真の合法的なIDを認証し、ユーザーID認証を実行します。Windowsは、ローカルシステムログインとリモートネットワークアクセスの本体の正当性を確認するために、ローカルID認証とネットワークID認証の2つの方法をそれぞれサポートしています。Winlogonプロセス、GINAグラフィカルログインウィンドウ、LSASSサービスが連携して、ローカルID認証プロセスを完了します。Winlogonプロセスは、システムの起動時に自動的に実行され、Ctrl + Alt + Delキーの組み合わせのユーザー入力に応答して、GINAグラフィカルログインウィンドウGINAを開始しますユーザーが入力したパスワード情報を抽出した後、WinlogonはそれをLSASSサービスに転送し、LSASSが提供するID検証サービスを使用してユーザーのIDの信頼性を確認し、システムにログインして、検証済みのユーザーアカウントの実行権限を取得します。ネットワークID認証プロセスは、LSASSサービスのNetlogonモジュールによって支配されています。WindowsクライアントがリモートWindowsネットワークサーバーリソースにアクセスすると、クライアントLSASSサービスのNetlogonモジュールは、サーバーのNetlogonを使用して「チャレンジ/レスポンス」ベースの認証プロトコルプロセスを実行しますクライアントのユーザーIDを確認します。
1.2.3 Windows認証およびアクセス制御メカニズム
Windowsの承認およびアクセス制御メカニズムは、参照モニターモデルに基づいています。これは、カーネルのSRMモジュールとユーザーモードのLSASSサービスによって実装されます。SRMは、セキュリティサブジェクトが設定されたアクセス制御リストに従ってターゲットリソースにアクセスするときの仲介者として使用されます。アクセスを許可します。
ユーザーなどのセキュリティプリンシパルが認証された後、Windowsシステムはユーザーにアクセストークンを提供します。アクセストークンには、ログインしているユーザーアカウントに関連するセキュリティサブジェクトSID識別子のリストが格納されます。グループのSIDリストには、ユーザーが所有するいくつかのシステム権限のリストも含まれています。
Windowsは、システムで保護されるすべてのリソースをオブジェクト(オブジェクト)に抽象化します。特定のタイプには、ファイル、ディレクトリ、レジストリキー、カーネルオブジェクト、同期オブジェクト、プライベートオブジェクト、パイプ、メモリ、通信インターフェイスなどが含まれます。オブジェクトは、SDセキュリティ記述子(セキュリティ記述子)に関連付けられます。オブジェクトセキュリティ記述子は、次の主要な属性で構成されます。
- OwnerSID:オブジェクト所有者のSIDセキュリティ識別子。
- グループSID:オブジェクトが配置されている基本ユーザーグループのSIDセキュリティ識別子(POSIXと互換性があります)
- DACL自律アクセス制御リスト:どのセキュリティプリンシパルがどのようにオブジェクトにアクセスできるかを示します図7-10は、ファイルオブジェクトアクセス制御リストの設定例を示しています。
- SACLシステム監査アクセス制御リスト:どのサブジェクトによって開始されたどのアクセス操作を監査する必要があるかを示します。
セキュリティコンテキスト情報がWindowsの本体とオブジェクトオブジェクトのアクセストークンとセキュリティ記述子で定義された後、Windowsの承認されたアクセス制御メカニズムは非常に単純で明確になります。つまり、カーネルのSRMセキュリティ参照モニターです。モジュールは、サブジェクトが特定のオブジェクトへの要求されたアクセス権を持っているかどうかを判断し、そうであればアクセス権を付与します。このプロセスは、Windowsシステムの基本的なアクセス制御メカニズムとオブジェクトセキュリティモデルを構成します。
1.2.4 Windowsセキュリティ監査メカニズム
Windowsセキュリティ監査メカニズムの実装も比較的明確です。システム監査戦略は、システムが記録するイベントを決定するために、ローカルセキュリティ戦略でシステム管理者によって定義されます。Windowsシステム監査戦略の構成を図7-12に示します。LSASSサービスは監査戦略を保存し、オブジェクトが監査機能を開始した後、オブジェクトセキュリティ記述子のSACLリストに保存します。SRMセキュリティ参照モニターがオブジェクトで機能していますアクセスが承認されると、指定されたオブジェクトアクセスおよび操作イベントの監査レコードも、オブジェクトのSACLリスト構成に従ってLSASSサービスに送信されます。監査レコードの詳細がLSASSサービスによって補足された後、これらの監査レコードはイベントログイベントに送信されますログサービス。EventLogサービスは、最終的にイベントログをログファイルに書き込み、イベントビューアツールを介してシステム管理者に表示します。また、入力データソースを分析するサードパーティの監査ログ分析ツールとしても使用できます。Windowsシステム監査イベントログビューアを図に示します。
1.2.5 Windowsの他のセキュリティメカニズム
- Windowsセキュリティセンター:統合ファイアウォール、自動パッチ更新、ウイルス保護
- IPSec暗号化および認証メカニズム
- EFS暗号化ファイルシステム
- Windowsファイル保護メカニズム
- バンドルされているIEブラウザーによって提供されるシークレット保護とブラウジングのセキュリティ保護メカニズム
次のように、ほとんどのWindowsセキュリティポリシー構成は、グループポリシー構成インターフェイスに集中しています。
1.3 Windowsリモートセキュリティ攻撃および防御技術
Windowsリモート攻撃テクノロジは、次のカテゴリに分類できます。
- リモートパスワードの推測とクラッキング攻撃:パスワードの総当たり攻撃、辞書ベースの推測、および中間者認証詐欺手法が含まれます。
- Windowsネットワークサービスへの攻撃:SMB、MSRPC、NETBIOSなどのWindows固有のネットワークサービス、またはWindowsシステム上のさまざまなインターネットサービス(IIS、MSSQLなど)の特定のサービスインスタンスにかかわらず、必然的にリモートコード実行が存在します。攻撃者はリスクの高いセキュリティの脆弱性であり、これらの脆弱性を利用してWindowsネットワークサービスにリモート侵入攻撃を実行し、それによってWindowsシステムへのアクセスを獲得しています。
- Windowsクライアントとユーザーへの攻撃:Windowsシステムとその独自のサービスのセキュリティが最近効果的に改善されたため、Webブラウザーとサードパーティのアプリケーションソフトウェアに対するクライアント侵入攻撃が普及しています。
1.3.2 Windowsリモートパスワードの推測およびクラッキング攻撃
- リモートパスワードの推測とクラッキング防止対策
- TCP SMBポート139/445、WMIポートTCP 135、TSターミナルポートTCP 3389、MS SQL ServerポートTCP 1433など、リモートパスワード推測攻撃に対して脆弱な不要なオープンネットワークサービスを閉じようとします。
- サービスを上記のポートに制限するようにホストファイアウォールを構成します。ユーザーがこれらのサービスを引き続き使用する必要があるが、リモートパスワードの推測に対するこれらのサービスの保護を強化したい場合は、ホストファイアウォールを構成できます。
- これらのサービスへのアクセスを制限するには、ネットワークファイアウォールを使用してください。
- リモートパスワード交換通信の盗聴およびクラッキング攻撃に対処する最も基本的な方法は、古くて本質的に欠陥のあるLanManおよびNTLMを無効にすることですが、セキュリティが強化されたNTLMv2およびKerberos認証プロトコルのみを使用し、Windowsアップデートを自動的に更新し、 NTLMv2プロトコルで見つかったセキュリティの脆弱性にパッチが適用されていることを確認します(MS08-068およびMS10-012パッチ)。
- ユーザーが特定の長さと複雑さの要件を満たすパスワードを設定できるように、強力なパスワード戦略を策定して実装します。
1.4 Windowsローカルセキュリティ攻撃および防御技術
1.4.2 Windowsの機密情報の盗難
含む:Windowsシステムパスワードの暗号文抽出技術、Windowsシステムパスワードのワードクラッキング技術、ユーザーの機密データの盗難
ローカルの機密情報の盗難に対する予防策:より安全なパスワードを使用する
1.4.3ウィンドウが消える
- 含む:監査機能をオフにし、イベントログ、方法、および消失の対策をクリーンアップします。
1.4.4 Windowsリモートコントロールとバックドアプログラム
攻撃者は、サードパーティのリモートコントロールとバックドアプログラムを制御されたシステムに埋め込むことがよくあります。これらは主に、コマンドラインリモートコントロールのパブリックツールとグラフィカルリモートコントロールツールの2つのカテゴリに分類されます。
バックドアプログラムの防止策:いくつかのバックドア検出ソフトウェアを使用して、攻撃者によって隠されたバックドアプログラムを見つけようとします。一般的に使用される検出ソフトウェアには、ウイルス対策ベンダーが提供するウイルス対策ソフトウェアや、SysinternalsのRootkitRevealerなどの専門的なバックドアおよびルートキット検出ソフトウェアが含まれます。 、国内IceSwordアイスブレードなど。
2.実践プロセス
2.1実践的な実践:Metaploit Windows Attack
Metaploit3を有効にしmsfconcole、?いくつかのコマンドを表示するにはEnterキーを押してください
search ms08_067ミッションで必要なMS08_067脆弱性の攻撃モジュールを見つけるために使用します
使用可能な攻撃モジュールの名前、レベル、説明を確認できます。素晴らしいモジュールや優れたモジュールを使用することをお勧めします。通常など を使用する場合、ターゲットモジュールを使用するためのエフェクト入力がない場合があります。use windows/smb/ms08_067_netapi
Enterキーshow payloadsを押して効果的な攻撃ペイロードを選択します。ペイロードの主な目的は、攻撃者とターゲットの間に安定した接続を確立してシェルに戻ることです
その後、入力show targetsして、攻撃モジュールが使用できるターゲットシステムモデルを表示できますもちろん、この実験のターゲットマシンwindow2k_server_SP0_tagetは、このモジュールに確実に適用できます。
上記のペイロードから使用するペイロードを選択した後set payload generic/shell_reverse_tcp、タスクはペイロードがリモートシェルであることを必要とします。通常、リバースはリバース接続です。つまり、ターゲットマシンは攻撃マシンに逆に接続され、バインドはフォワードに接続されます。
リバース接続を選択した後、ターゲットIPとポート、および攻撃マシンのIPを設定する必要があります
設定完了後、進入exploit・run攻撃可能
シェルを介してターゲットマシンの情報を取得できることがわかります。これは、ターゲットマシンの表示と一致しています。
2.2チーム対立事件
私は個人的な実験なので、 攻撃者と 防御者の両方の役割を果たします。最初に、攻撃者はmetaploit3コンソールプログラムをnmap -sV 192.168.200.125使用します。最初に、nmapを使用して、ターゲットマシンが攻撃のターゲットになることができるポートとサービスを確認します。
サービスを探して、metaploit3に対応する攻撃モジュールがあるかどうかを確認してください。それはApacheです。search Apache
優れた攻撃モジュールを確認し、思い切って試しuse linux/http/piranha_passwd_exec 、有用なペイロードがあるかどうかを確認してください
普通だけ、大丈夫!やってみよう! 次に、以前のようにパラメータを設定します
exploitやってみる
???セッションはありません。次に、セッションを作成します。set session 1
まだ違います。。ここでは確認できませんが、インターネットによると、ターゲットマシンにはこの抜け穴はなく安全です。。はい、変えましょう
同じ操作をもう一度Sambaに変更します
接続に成功し、ハックを構築する
上記の攻撃を行っている間に、ネットワークを盗聴するためにWiresharkを開きました
最初にarpを見て、誰が誰を攻撃したかを判別します
参照が放送されている192.168.200.3照会192.168.200.125 の設定ip.src ==192.168.200.3 && ip.dst == 192.168.200.125を確認するには
2つの黒いもの[tcp dup ack xxxx#1]があり、正面にある灰色の赤いものの山は、ターゲットマシンの開いているポートを探している攻撃者として知られている可能性があり、この側の2つは、データがtcpを失ったことを示しています。現時点では、攻撃機が対象機を攻撃したことによるネットワークの混雑がこの時点で理解できますか?また、前に2つのSMBメッセージがあり、Baiduは、SMBがクライアントとサーバー間のWeb接続と情報通信に使用されていることを知っています。後続のメッセージは、攻撃マシンのポート4444から[PSH,ACK]送信されます。メッセージを見てみましょう。PSHは、メッセージにデータが含まれていることを意味します。
攻撃元のマシンがifconfigコマンドを送信し、ターゲットマシンが対応する情報を返したことから、攻撃者の攻撃が成功したことがわかります。 次に、それらの間のメッセージの内容はシェルコードである必要があります
次に、以前にSMBメッセージ配信があることを知っています
有効な接続はターゲットマシンのポート139に対して起動された攻撃のポート4444からのみである ことを考えると、攻撃者はポート139のサービスを介してSMBチャネルの脆弱性を攻撃していると考えられます。
2.3フォレンジック分析の実践:成功したNTシステムクラッキング攻撃のデコード。
213.116.251.162の攻撃者がrfpによってデプロイされたハニーポットホスト172.16.1.106(ホスト名:lab.wiretrip.net)を正常にキャプチャしました。これは、NTシステムに対する非常に典型的な攻撃であり、理由があります攻撃者が最終的にハニーポットのホストを特定したと考えられているため、これは非常に興味深いケース分析の課題になります。分析データソースには、攻撃プロセス全体を含むバイナリログファイルのみが含まれており、このファイルから攻撃プロセス全体を抽出して分析することがタスクです。
- 1.攻撃者が攻撃に使用したクラッキングツールは何ですか?
- 2.攻撃者はどのようにしてこのクラッキングツールを使用してシステムに入り、システムを制御しましたか?
- 3.システムにアクセスした後、攻撃者は何をしましたか?
- 4.このような攻撃を防ぐにはどうすればよいですか?
- 5.攻撃者は標的がハニーポットのホストであることを警戒していると思いますか?そうであれば、なぜですか?
質問1:攻撃者が攻撃に使用したクラッキングツールは何ですか?
最初にwiresharkにログファイルをインポートし、データパケットを見てください
攻撃マシンのIP:213.116.251.162とターゲットマシンのIP:172.16.1.106
そのようなことを見て%CO%AF、Baiduはこれが「/」文字の不正なUTF-8表現であることを知っています。これがUnicodeエンコーディングの脆弱性攻撃であることを知るには、IISのUnicode脆弱性攻撃を参照してください
基本的にはtcpまたはhttpパケットなので、データフローを追跡してみましょう
トレースされたtcpデータストリームでは、一番上に!ADM!ROX!YOUR!WORLD!何度も表示されるものがあることがわかりますクエリは、これがmsadc2.plと呼ばれる攻撃ツールによるものであることを示しています
質問2:攻撃者はどのようにこのクラッキングツールを使用してシステムに入り、システムを制御しましたか?
攻撃者が上記のtcpストリームでシェルに書き込み、攻撃する操作を実行することを確認します。
シェルコマンドアウトフィルタは、攻撃、ftpcomスクリプト、使用のFTP接続を作成することによって、攻撃者を解析しwww.nether.netて、あるjohna2kユーザーがためにhaxedj00パスワードをダウンロードしてnc.exe、pdump.exeかつsamdump.dll
質問3:システムにアクセスした後、攻撃者は何をしましたか?
システムの制御を獲得した後、攻撃は一連の操作を実行しました
質問4:どのようにしてこのような攻撃を防ぐことができますか?
- 時間内に脆弱性をスキャンして修復し、頻繁にパッチを適用
- 時間内に未使用のサービスを無効にする
- NTFSを使用する
質問5:攻撃者は標的がハニーポットのホストであることを警戒していると思いますか?もしそうなら、なぜですか?
攻撃者の入力は、標的がハニーポットのホストであることを発見したことを示しています
3.実践のまとめ
ログファイルは非常に複雑で、最初から始めることはできませんでしたが、いろんなデータストリームから少し手がかりが見えます。最後のデータストリームから楽しみにしていたのですが、対象システムの制御を得た後の操作はいつも簡単だと感じます。実験後、私はまだ漠然としていて、データに対して十分に敏感ではありません。改善する必要があります。