应用部署软件
攻击者可以使用企业管理员使用的应用程序部署系统将恶意软件部署到网络中的系统。此操作所需的权限因系统配置而异;直接访问部署服务器可能需要本地凭据或特定的域凭据。但是,系统可能需要管理帐户才能登录或执行软件部署。
拥有网络范围或企业范围的软件部署系统的访问权限使攻击者能够在与该系统连接的所有系统上执行远程代码。该访问可用于横向移动到系统,收集信息或产生特定效果,例如擦除所有终端上的硬盘。
缓解
仅向有限的授权管理员授予对应用程序部署系统的访问权限。通过使用防火墙、帐户权限分离、组策略和多因素身份验证,确保关键网络系统具有正确的系统和访问隔离。确保可用于访问部署系统的帐户凭据是唯一的且不在整个企业网络中使用。定期对部署系统打补丁,防止通过漏洞利用进行远程访问。如果应用程序部署系统可以配置为仅部署已签名的二进制文件,请确保可信签名证书不与应用程序部署系统位于同一位置,而是位于无法远程访问或远程访问受到严格控制的系统上。
检测
从辅助系统监控应用程序部署。定期执行应用程序部署,以突出非正常部署活动。监控与已知良好软件无关的进程活动。监控部署系统上的帐户登录活动。
- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论