Loading
0

Windows 10 的安全性给黑客留下深刻印象

147272670778012396

不管是对于网络罪犯还是安全研究人员来,攻击Windows 都是一个时尚的选择,但一直以来,由于微软出色的安全工作,寻找操作系统中安全漏洞的难度正在变得越来越困难。

只要Windows操作系统维持作为广受欢迎的攻击对象,研究人员和黑客将不会停止对该平台的持续敲打尝试,期许发现某种先进的策略来颠覆微软的防御体系。

随着微软在 Windows 10 操作系统中引入多个先进的安全缓解应对技术来应对所有不同种类的攻击,现在的安全性比过去要高得多。尽管在今年 黑帽安全技术大会上,业界顶尖黑客展示了最新的复杂的攻击技术,但是大家心照不宣地默认一点:随着 Windows 10 的问世,开发一项能成功攻击安装Windows操作系统的计算机的技术越发艰难了。通过操作系统的漏洞来攻击 Windows系统要比几年前难得多。

使用内置防恶意软件工具微软开发出能够在内存中发现恶意脚本的AMSI (Antimalware Scan Interface) 接口工具。NoSoSecure公司的渗透测试工程师兼助理顾问在黑帽安全技术大会上向与会者介绍道:“任何应用都可调用该接口,任何注册的防恶意软件引擎都能通过AMSI扫描查杀被提交的内容。”Windows Defender 和 AVG 目前使用 AMSI,它应该会得到更广泛的应用。

Mittal 表示:“AMSI 是在 Windows 中拦截基于脚本的攻击所迈出的一大步。”

网络罪犯越来越依赖基于脚本的攻击,尤其是那些在其攻击行动中执行 PowerShell脚本的网络罪犯。企业很难发现使用 PowerShell 的攻击,因为难以把这种攻击与合法行为区分开来。由于 PowerShell 脚本可用来触及系统或网络的任何方面,攻击也很难得以修复。由于几乎所有 Windows 系统现在都预装了 PowerShell,因此基于脚本的攻击变得更加普遍。

网络罪犯已经开始使用 PowerShell 并在内存中加载脚本,但花了一定的时间后才研发出有效的防御措施。Mittal 表示:“在几年前,还没有人在乎 PowerShell。我们的脚本根本不可能被检测到。仅在三年前,防病毒提供商才开始意识到这一趋势。”

尽管很容易就能检测到磁盘上保存的脚本,但是要想阻止内存中的脚本执行并不容易。AMSI 试图在主机层面破获脚本,这意味着无论是保存在磁盘上、存储在内存中,还是交互式启用,输入方式变得不再重要,就像 Mittal 所说的那样“改变了游戏规则”。

然而,AMSI 并不能独立存在,因为其有效性依赖于其它安全措施。如果没有生成日志,基于脚本的攻击很难执行,因此,Windows 管理员一定要定期监测其 PowerShell 日志。

AMSI 现在还并不完美,也有办法绕开 AMSI。无论如何,Mittal 仍然认为 AMSI 是 Windows 管理的未来。

保护活动目录(Active Directory)活动目录(Active Directory)是Windows管理的基石,随着企业机构不断把负载转移到云上,它正成为更加关键的组成部分。活动目录不只被用来处理公司本地内部网络的身份认证和管理,它现在可以帮助用户在Microsoft Azure公有云上进行身份认证。

微软活动认证专家、安全公司Trimarc创始人Sean Metcalf告诉黑帽安全技术大会的参会者,Windows管理员、安全专业人员和攻击者对于活动目录有着不同的看法。对于管理员来说,他们的关注重点在于保证正常运行不宕机,以及确保活动目录在合理的时间段内响应访问请求。安全专业人士监测域管理组群成员身份,并随时更新软件。而攻击者关注着企业的安全态势,寻找漏洞。没有任何一个群体会纵览全貌。

Metcalf表示,所有通过身份验证的用户都有权限访问活动目录中的大部分对象和属性。一个标准用户帐号可能会因为向域连接的组策略对象(group policy objectives, GPO)和组织单元(organizational unit, OU)授予不恰当的修改权限而被用于乳清整个活动目录管理的域。通过自定义OU许可,用户无需提高权限,就可修改用户和群组,或者可以直接查看SID History以获得更高的权限,这是一个活动目录用户帐号对象属性。

如果活动目录不安全,就很有可能受到损害。

Metcalf介绍了帮助企业避免常见错误的策略,也就是保护管理员凭证并隔离关键资源。及时更新升级软件,尤其是那些涉及到权限提升的漏洞补丁,并且对网络分区,从而使攻击者从外侧更难攻入网络。

安全专业人士应确定哪些人拥有活动目录的管理员权限和虚拟环境中的虚拟域控制器的权限,以及谁能登录域控制器。他们应扫描活动目录域、AdminSDHolder对象、以及组策略对象(GPO),以便发现不合理的权限定义,并确保域管理员(活动目录管理员)永远不会登录到不可信的系统上,比如保存敏感凭证的工作站。服务帐号权限也应被限制。

Metcalf表示,做好活动目录安全性工作,许多常见攻击就可被消除,或者变得不那么有效。

利用虚拟化遏制攻击微软宣布在 Windows 10 中推出基于虚拟化的安全(VBS),这是一套融入虚拟机监视器Hypervisor的安全功能。Bromium首席安全架构师RafalWojtczuk表示,VBS 的攻击面不同于其它虚拟化实现形式。

Wojtczuk说:“尽管范围有限,但 VBS 非常管用,它可以防止没有它将长驱直入式的特定攻击。”

Hyper-V 可以控制启动引导分区,实施额外的限制以提供安全服务。VBS 启用后,Hyper-V创建一个高可信级别的专门虚拟机,用于执行安全指令。不像其它虚拟机,这个虚拟机受到特别保护,不受启动引导分区的影戏。Windows 10 可以强制实施用户模式二进制文件和脚本的代码完整性验证,并且 VBS 可处理内核模式代码。VBS 禁止任何未签名代码在内核中执行,即使内核受到破坏。重要的是,在特殊虚拟机中运行的可信代码把引导区的扩展页表(EPT)中的执行权授予存储签名代码的页面。由于该页面不能同时处于可写入和可执行状态,恶意软件无法以这种方式进入内核模式。

由于整个理念取决于即使引导区受到破坏的情况下也能够安全运行,Wojtczuk从攻击者已经攻入引导区的角度审视了VPS——例如,如果攻击者绕过了安全启动而载入了一个植入木马的hypervisor。

Wojtczuk在附件白皮书中写到:“VBS的这种安全性看上去很好,并且提高了系统的安全性。

Wojtczuk表示,微软努力让VBS尽可能地安全,但不同寻常的攻击行为仍值得关注。

安全性更高网络罪犯、研究人员和黑客在内的攻击者正在与微软赛跑。只要他们成功地绕过Windows防御,微软立即消除对应的安全漏洞。微软通过实施创新的安全技术来让攻击更难以取得成功,并迫使他们需要更加努力才能绕过 Windows 防御。归功于这些新的特性,Windows 10是目前迄今为止最安全的Windows操作系统。

攻击者一直没有停下脚步,恶意软件也层出不穷。但值得注意的是,当前的大多数攻击是源于软件未修补、社交工程陷阱或配置错误。任何软件都不可能不存在任何缺陷,但如果内置防御机制让攻击者更难以利用现有弱点,对于防御者来说就是一种胜利。微软过去几年做了很多阻止对操作系统攻击方面的工作,Windows 10直接受益于这些变化。

由于微软在 Windows 10一周年更新中加强了隔离技术,要想攻击现代化Windows系统则变得越来越困难了。

【声明】:8090安全小组门户(http://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们:邮箱hack@ddos.kim,我们会在最短的时间内进行处理。