Programovanie

Respekt: ​​Zabezpečenie systému Windows 10 hackerom imponuje

Pokiaľ Windows zostane obľúbeným cieľom útoku, výskumníci a hackeri budú neustále búšiť do platformy, aby odhalili pokročilé stratégie na narušenie obrany spoločnosti Microsoft.

Hranica zabezpečenia je oveľa vyššia, ako bývala, pretože Microsoft vo Windows 10 pridal niekoľko pokročilých zmierňovacích opatrení, ktoré vyradia celé triedy útokov. Zatiaľ čo hackeri na tohtoročnej konferencii Black Hat boli vyzbrojení sofistikovanými technikami využívania, došlo k tichému uznaniu, že vývoj úspešnej techniky je teraz v prípade systému Windows 10 oveľa ťažší. Prenikanie do systému Windows prostredníctvom zraniteľnosti operačného systému je ťažšie ako pred niekoľkými rokmi.

Používajte vstavané antimalwarové nástroje

Spoločnosť Microsoft vyvinula nástroje rozhrania na skenovanie antimalvéru (AMSI), ktoré dokážu zachytiť škodlivé skripty v pamäti. Môže to nazvať akákoľvek aplikácia a ktorýkoľvek registrovaný antimalwarový modul dokáže spracovať obsah odoslaný AMSI, uviedol na svojom zasadnutí Black Hat Nikhal Mittal, tester penetrácie a pridružený konzultant spoločnosti NoSoSecure. Programy Windows Defender a AVG v súčasnosti používajú AMSI a malo by sa stať čoraz rozšírenejším.

„AMSI je veľkým krokom k blokovaniu útokov založených na skriptoch v systéme Windows,“ uviedol Mittal.

Kyberzločinci sa v rámci svojich kampaní čoraz viac spoliehajú na útoky založené na skriptoch, najmä na tie, ktoré sa vykonávajú v prostredí PowerShell. Pre organizácie je ťažké odhaliť útoky pomocou prostredia PowerShell, pretože je ťažké ich odlíšiť od legitímneho správania. Je tiež ťažké zotaviť sa, pretože skripty PowerShell sa dajú použiť na dotknutie sa ktoréhokoľvek aspektu systému alebo siete. S takmer všetkým systémom Windows, ktoré sú teraz predinštalované v prostredí PowerShell, sú útoky založené na skriptoch čoraz bežnejšie.

Zločinci začali používať PowerShell a načítať skripty do pamäte, obrancom však chvíľu trvalo, kým sa uchytili. "Nikto sa nestaral o PowerShell až pred niekoľkými rokmi," povedal Mittal. "Naše skripty sa vôbec nezistia." Predajcovia antivírusov ho prijali až za posledné tri roky. “

Aj keď je ľahké zistiť skripty uložené na disku, nie je také ľahké zabrániť spusteniu skriptov uložených v pamäti. AMSI sa snaží zachytiť skripty na úrovni hostiteľa, čo znamená, že vstupná metóda - či už uložená na disk, uložená v pamäti alebo spustená interaktívne - na tom nezáleží, čo z nej robí „menič hier“, ako povedal Mittal.

AMSI však nemôže stáť osamotene, pretože užitočnosť závisí od iných bezpečnostných metód. Je veľmi ťažké vykonať útoky založené na skriptoch bez generovania protokolov, takže je dôležité, aby správcovia systému Windows pravidelne sledovali svoje protokoly PowerShell.

AMSI nie je dokonalá - je to menej užitočné pri zisťovaní zmätených skriptov alebo skriptov načítaných z neobvyklých miest, ako sú napríklad menný priestor WMI, kľúče registra a protokoly udalostí. Skripty PowerShell vykonávané bez použitia programu powershell.exe (nástroje, ako je server sieťových zásad) môžu tiež spôsobiť poruchu AMSI. Existujú spôsoby, ako obísť AMSI, napríklad zmena podpisu skriptov, použitie prostredia PowerShell verzie 2 alebo zakázanie AMSI. Bez ohľadu na to Mittal stále považuje AMSI za „budúcnosť správy Windows“.

Chráňte túto službu Active Directory

Active Directory je základným kameňom správy systému Windows a stáva sa ešte dôležitejšou súčasťou, pretože organizácie naďalej presúvajú svoje pracovné záťaže do cloudu. Aplikácia AD sa už nepoužíva na spracovanie autentifikácie a správy pre miestne interné podnikové siete. Teraz tak môže pomôcť s identitou a autentifikáciou v Microsoft Azure.

Správcovia Windows, bezpečnostní profesionáli a útočníci majú rôzne perspektívy služby Active Directory, povedal účastníkom Black Hat Sean Metcalf, Microsoft Certified Master pre Active Directory a zakladateľ bezpečnostnej spoločnosti Trimarc. Pre správcu sa dôraz kladie na dobu prevádzkyschopnosti a zabezpečenie toho, aby služba AD odpovedala na dotazy v primeranom čase. Bezpečnostní profesionáli sledujú členstvo v skupine Domain Admin a držia krok s aktualizáciami softvéru. Útočník sa zameriava na bezpečnostnú pozíciu podniku, aby zistil slabinu. Žiadna zo skupín nemá úplný obraz, uviedol Metcalf.

Všetci autentifikovaní používatelia majú prístup na čítanie väčšiny, ak nie všetkých, objektov a atribútov v službe Active Directory, uviedol počas rozhovoru Metcalf. Štandardné používateľské konto môže narušiť celú doménu služby Active Directory z dôvodu neoprávnene udelených práv na úpravy k objektom skupinovej politiky a organizačnej jednotke prepojenej s doménou. Prostredníctvom vlastných povolení OU môže osoba upravovať používateľov a skupiny bez zvýšených práv alebo môže prechádzať históriou SID, atribútom objektu používateľského účtu AD, aby získala zvýšené práva, uviedol Metcalf.

Ak služba Active Directory nie je zabezpečená, kompromitácia AD sa stane ešte pravdepodobnejšou.

Metcalf načrtol stratégie, ktoré majú podnikom pomôcť vyhnúť sa bežným chybám a spadá pod ochranu prihlasovacích údajov správcu a izoláciu kritických zdrojov. Zostaňte na vrchole softvérových aktualizácií, najmä opráv, ktoré sa zameriavajú na zraniteľné miesta pri eskalácii privilégií, a segmentujte sieť, aby ste útočníkom sťažili laterálny prechod.

Bezpečnostní odborníci by mali určiť, kto má práva správcu pre AD a pre virtuálne prostredia, v ktorých sa nachádzajú virtuálne radiče domény, a tiež to, kto sa môže prihlásiť do radičov domény. Mali by prehľadávať domény aktívnych adresárov, objekt AdminSDHolder a objekty skupinovej politiky (GPO), či neobsahujú nevhodné vlastné povolenia, a tiež zabezpečiť, aby sa správcovia domén (správcovia AD) nikdy neprihlasovali do nedôveryhodných systémov, ako sú napríklad pracovné stanice, pomocou svojich citlivých poverení. Mali by byť tiež obmedzené práva na servisný účet.

Získajte správne zabezpečenie AD a veľa bežných útokov je zmiernených alebo menej efektívnych, uviedol Metcalf.

Virtualizácia, ktorá obsahuje útoky

Spoločnosť Microsoft predstavila vo Windows 10 zabezpečenie založené na virtualizácii (VBS), čo je súbor bezpečnostných prvkov prepracovaných do hypervízora. Útočná plocha pre VBS sa líši od povrchu iných implementácií virtualizácie, uviedol hlavný bezpečnostný architekt spoločnosti Bromium Rafal Wojtczuk.

"Napriek obmedzenému rozsahu je VBS užitočný - zabraňuje určitým útokom, ktoré sú bez neho priame," uviedol Wojtczuk.

Hyper-V má kontrolu nad koreňovým oddielom a môže implementovať ďalšie obmedzenia a poskytovať zabezpečené služby. Keď je povolený VBS, Hyper-V vytvorí špecializovaný virtuálny stroj s vysokou úrovňou dôveryhodnosti na vykonávanie bezpečnostných príkazov. Na rozdiel od iných virtuálnych počítačov je tento špecializovaný stroj chránený pred koreňovým oddielom. Windows 10 dokáže vynútiť integritu kódu binárnych súborov a skriptov používateľského režimu a VBS spracováva kód v režime jadra. VBS je navrhnutý tak, aby neumožňoval vykonávanie žiadneho nepodpísaného kódu v kontexte jadra, aj keď bolo jadro napadnuté. Dôveryhodný kód bežiaci na špeciálnom virtuálnom počítači v zásade udeľuje práva na vykonávanie v rozšírených tabuľkách stránok (EPT) koreňového oddielu stránkam ukladajúcim podpísaný kód. Pretože na stránku nie je možné zapisovať aj spustiť súčasne, malware nemôže takýmto spôsobom vstúpiť do režimu jadra.

Pretože celý koncept závisí od schopnosti pokračovať, aj keď bol rootový oddiel narušený, Wojtczuk skúmal VPS z pohľadu útočníka, ktorý sa už do koreňového oddielu dostal - napríklad ak útočník obíde Secure Boot, aby sa načítal trójsky hypervisor.

„Bezpečnostná pozícia systému VBS vyzerá dobre a zvyšuje bezpečnosť systému - určite si vyžaduje ďalšie vysoko netriviálne úsilie pri hľadaní vhodnej zraniteľnosti umožňujúcej obchádzanie,“ napísal Wojtczuk v sprievodnej bielej knihe.

Existujúca dokumentácia naznačuje, že je vyžadované bezpečné spustenie, a VTd a Trusted Platform Module (TPM) sú voliteľné pre povolenie VBS, ale nie je to tak. Správcovia musia mať VTd aj TPM na ochranu hypervízora pred napadnutým koreňovým oddielom. Jednoduché povolenie Credential Guard pre VBS nestačí. Nevyhnutná je ďalšia konfigurácia, ktorá zabezpečí, že sa poverenia nezobrazia jasne v koreňovom oddiele.

Spoločnosť Microsoft vyvinula veľké úsilie, aby bola VBS čo najbezpečnejšia, ale neobvyklý povrch útoku je stále znepokojujúci, uviedol Wojtczuk.

Bezpečnostná lišta je vyššia

Breakers, ktorí zahŕňajú zločincov, výskumníkov a hackerov, ktorí majú záujem vidieť, čo môžu robiť, sa venujú prepracovanému tancu s Microsoftom. Hneď ako prerušovači prídu na spôsob, ako obísť obranu systému Windows, spoločnosť Microsoft uzavrie bezpečnostnú dieru. Implementáciou inovatívnej bezpečnostnej technológie, ktorá sťažuje útoky, spoločnosť Microsoft núti útočníkov kopať hlbšie a obísť ich. Windows 10 je vďaka týmto novým funkciám najbezpečnejší Windows vôbec.

Kriminálny živel je v práci zaneprázdnený a hrozba škodlivého softvéru nejaví známky spomalenia čoskoro, ale stojí za zmienku, že väčšina dnešných útokov je výsledkom neopraveného softvéru, sociálneho inžinierstva alebo nesprávnej konfigurácie. Žiadne softvérové ​​aplikácie nemôžu byť úplne bez chýb, ale keď zabudovaná obrana sťažuje využitie existujúcich slabých stránok, je to víťazstvo obrancov. Spoločnosť Microsoft urobila v posledných rokoch veľa pre blokovanie útokov na operačný systém a Windows 10 je z týchto zmien priamym prínosom.

Ak vezmeme do úvahy, že spoločnosť Microsoft vylepšila svoje izolačné technológie v aktualizácii Windows 10 Anniversary Update, cesta k úspešnému využitiu pre moderný systém Windows vyzerá ešte ťažšie.

$config[zx-auto] not found$config[zx-overlay] not found