如果攻击者已经进入你的网络,你打算如何阻止横向移动?
在最近的勒索软件攻击中,有一些用于横向移动的一致攻击向量几乎总是被利用.
好消息是,你不需要购买任何东西,只要付出最小的努力,就可以显著减少你的攻击面.
首先要做的是获取远程桌面协议(RDP)的句柄。. 如果你还没有读过我以前关于保护RDP的帖子,请这样做.
今天,我将重点介绍许多其他的字母汤协议,这些协议可以很容易地进行调整,使攻击者很难在您的网络中移动.
- LANMAN和NTLM vs. NLTM2. 这是一个简单的组策略调整,不接受任何使用旧Microsoft身份验证协议的内容.
- IPv6. 到目前为止,IPv6似乎更像是一个自主寻址协议,允许未经授权的移动通过您的网络. Bob告诉我CSI不会在大多数网络上路由IPv6,所以对你们大多数人来说,这更多的是一个VLAN上的横向移动,而不是跨网络的移动. 然而,攻击者正试图在您的网络中跳房子游戏,以找到您的圣地. 如果它们可以跳转到网络上的其他机器, 他们最终可能会找到一台能够更好地访问网络上其他资源的机器. 这个游戏的名称是尽可能严格地限制未经授权的访问,使攻击者很难四处走动. IPv6可以通过一个简单的组策略在窗户。环境中关闭.
- NetBIOS. 这是微软早期的一个协议. 允许同一VLAN内的设备相互查找并直接通信. 如果NetBIOS over TCP/IP开启,它可以跨越VLAN. 绝对没有理由在您的网络中打开此协议. 让它处于开启状态,攻击者就可以毫不费力地绘制出至少那个VLAN. 这是一个简单的组策略首选项扩展注册表键推送,可以在您的网络中关闭此功能.
- 链路本地组播名称解析(LLMNR). 这是很久以前的另一个残留协议. 它允许设备在没有DNS的情况下解析DNS名称. 它可以被攻击者用来询问网络和识别诸如文件服务器之类的东西. 它可以模拟您网络上的设备,错误地回答说它是另一个合法服务器. 我们没有理由让这个默认协议继续存在. 这是一个简单的组策略首选项扩展注册表键推送,可以在您的网络中关闭此功能.
- SMBv1. 这是一个遗留协议,许多人仍然在使用,因为你的旧多功能打印机/复印机/扫描仪无法保存到扫描文件夹没有它. 或者你只是忘记了你的网络发展. SMBv1是攻击者的最爱,因为它很容易被利用. 它可以很容易地通过组策略和组策略首选项扩展关闭.
CSI有许多工具可以帮助您可视化这些协议在网络中的存在方式和位置. 然而, 我们可以戏剧性地重新配置你的网络,用几个简单的组策略来关闭这些攻击媒介,而不需要大量的研究时间. 您可以通过网络设置中的属性抽查您的工作站和服务器上是否容易受到攻击. 除了SMBv1, 我的猜测是,您将发现在您的网络上几乎所有地方都启用了所有或大部分这些协议.
如果您需要帮助评估和删除您的网络中的这些协议,请告诉我们.
-Scott Quimby, CISSP
最近的评论