新一波网络攻击以 Active Directory (AD) 环境为目标,他们滥用合法管理工具 Windows 远程管理 (WinRM) 进行横向移动并逃避跨企业网络的检测。
随着攻击者越来越多地利用 WinRM 融入正常的网络活动,使他们的恶意行为更难被发现,安全研究人员和事件响应者正在发出警报。
WinRM 是 Microsoft 的 WS-Management 协议实现,旨在实现对 Windows 系统的远程管理。
它允许管理员通过 HTTP(端口 5985)或 HTTPS(端口 5986)远程执行 PowerShell 脚本和管理设备。
虽然对 IT 运营来说非常宝贵,但同样的功能也被攻击者武器化,他们获得有效凭证,然后使用 WinRM 执行命令或在远程系统上部署恶意负载。
隐蔽的横向移动
一旦攻击者通常通过网络钓鱼或凭据盗窃破坏了初始系统,他们就会扫描网络以查找启用了 WinRM 的其他主机。
他们使用被盗或暴力破解的凭据对其他计算机进行身份验证,执行显示为日常管理任务的命令。
每个新的 WinRM 会话都会在用户的上下文下生成一个新进程 (wsmprovhost.exe),为运行恶意代码提供干净的环境,并使检测更具挑战性。
已观察到两种主要技术:
- PowerShell Cradle
:攻击者使用混淆的 PowerShell 脚本绕过 AMSI(反恶意软件扫描接口)等安全控制,并将多阶段有效负载直接加载到内存中,从而最大限度地减少其在磁盘上的占用空间。 - .NET 模块加载程序
:通过将自定义 .NET 程序集作为参数传递,攻击者利用 PowerShell 在内存中加载和执行植入程序,从而进一步规避传统的防病毒和端点检测系统。
由于 WinRM 广泛用于合法管理,因此很难将恶意活动与正常作区分开来。
攻击者利用这种 “噪音” 来隐藏他们的横向移动,通常会长时间不被发现。
安全团队面临的挑战是建立正常 WinRM 使用的基线,并在不出现大量误报的情况下识别异常。
检测和缓解
专家推荐了几种策略来应对这种威胁:
- 限制 WinRM 访问
:将 WinRM 权限限制为仅受信任的管理主机,最好通过强化的 jumpbox 架构。 - 监控异常
:跟踪由涉及 WinRM 的wsmprovhost.exe和异常网络连接生成的进程。 - 强制执行强身份验证
:要求对管理帐户进行多重身份验证,并监控凭据滥用。 - 审计和基线
:定期审计 WinRM 使用情况并建立明确的基线以快速识别偏差。
Windows Remote Management 的滥用凸显了 AD 环境中攻击者和防御者之间正在进行的军备竞赛。
随着攻击者继续利用内置工具来逃避检测,组织必须通过加强访问控制、改进监控以及在 IT 团队中培养安全意识文化来适应。
本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理,文章版权归原作者所有,仅供读者学习、参考,禁止用于商业用途。因转载众多,无法找到真正来源,如标错来源,或对于文中所使用的图片、文字、链接中所包含的软件/资料等,如有侵权,请跟我们联系删除,谢谢!
原文始发于微信公众号(网安百色):黑客利用 Windows 远程管理来逃避 AD 网络中的检测
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论