Programiranje

Spoštovanje: Varnost sistema Windows 10 navdušuje hekerje

Dokler bo Windows še vedno priljubljena tarča napadov, bodo raziskovalci in hekerji še naprej razbijali platformo, da bi razkrili napredne strategije za rušenje Microsoftove obrambe.

Varnostna palica je veliko višja kot nekoč, saj je Microsoft v sistem Windows 10 dodal več naprednih blažilnih ukrepov, ki odstranjujejo celotne razrede napadov. Medtem ko so bili hekerji na letošnji konferenci Black Hat oboroženi s prefinjenimi tehnikami izkoriščanja, je bilo tiho prepoznano, da je razvoj uspešne tehnike zdaj veliko težji z operacijskim sistemom Windows 10. Vdor v Windows prek ranljivosti OS je težji kot pred nekaj leti.

Uporabite vgrajena orodja za zaščito pred škodljivo programsko opremo

Microsoft je razvil orodja za vmesnik za pregledovanje škodljive programske opreme (AMSI), s katerimi lahko zlonamerne skripte ujame v pomnilnik. Vsaka aplikacija ga lahko pokliče in kateri koli registrirani program za zaščito pred škodljivo programsko opremo lahko obdela vsebino, poslano AMSI, je dejal Nikhal Mittal, preizkuševalec penetracije in pridruženi svetovalec pri NoSoSecure, udeležencem na njegovi seji Black Hat. Windows Defender in AVG trenutno uporabljata AMSI in bi morala postati bolj razširjena.

"AMSI je velik korak k blokiranju napadov na osnovi skript v sistemu Windows," je dejal Mittal.

Kiberkriminalci se v svojih kampanjah vedno bolj zanašajo na napade na podlagi skript, zlasti tiste, ki se izvajajo v PowerShell-u. Organizacije težko odkrijejo napade s pomočjo PowerShell-a, ker jih je težko razlikovati od zakonitega vedenja. Težko je tudi obnoviti, ker se s skripti PowerShell lahko dotaknete katerega koli vidika sistema ali omrežja. S praktično vsakim sistemom Windows, ki je zdaj prednaložen z PowerShell, so napadi, ki temeljijo na skriptu, vse pogostejši.

Zločinci so začeli uporabljati PowerShell in nalagati skripte v spomin, vendar so branilci potrebovali nekaj časa, da so jih ujeli. "Nikogar ni zanimalo PowerShell še nekaj let nazaj," je dejal Mittal. »Naši skripti sploh niso zaznani. Ponudniki protivirusnih programov so ga sprejeli šele v zadnjih treh letih. "

Čeprav je skripte, shranjene na disku, enostavno zaznati, skriptov, shranjenih v pomnilniku, ni tako enostavno ustaviti. AMSI poskuša ujeti skripte na ravni gostitelja, kar pomeni, da način vnosa - ne glede na to, ali je shranjen na disku, shranjen v pomnilniku ali interaktivno zagnan - ni pomemben, zaradi česar je "izmenjevalec iger", kot je dejal Mittal.

Vendar AMSI ne more stati sam, saj je uporabnost odvisna od drugih varnostnih metod. Napade na podlagi skriptov je zelo težko izvesti brez ustvarjanja dnevnikov, zato je pomembno, da skrbniki sistema Windows redno spremljajo svoje dnevnike PowerShell.

AMSI ni popoln - manj koristno je zaznati zamegljene skripte ali skripte, naložene z nenavadnih krajev, kot so imenski prostor WMI, registrski ključi in dnevniki dogodkov. Skripti PowerShell, ki se izvajajo brez uporabe powershell.exe (orodja, kot je strežnik omrežnih pravil), lahko tudi sprožijo AMSI. Obstajajo načini za izogibanje AMSI, na primer spreminjanje podpisa skriptov, uporaba PowerShell različice 2 ali onemogočanje AMSI. Ne glede na to Mittal še vedno meni, da je AMSI "prihodnost administracije sistema Windows".

Zaščitite ta imenik Active Directory

Active Directory je temelj upravljanja Windows in postaja še pomembnejša komponenta, ko organizacije še naprej prenašajo svoje delovne obremenitve v oblak. AD se ne uporablja več za preverjanje pristnosti in upravljanje krajevnih notranjih poslovnih omrežij, zdaj lahko AD pomaga pri identiteti in preverjanju pristnosti v Microsoft Azure.

Skrbniki sistema Windows, varnostni strokovnjaki in napadalci imajo različne poglede na Active Directory, je Sean Metcalf, Microsoftov certificirani mojster za Active Directory in ustanovitelj varnostnega podjetja Trimarc, povedal udeležencem Black Hat. Za skrbnika je poudarek na uptime in zagotavljanju, da se AD odziva na poizvedbe v razumnem oknu. Varnostni strokovnjaki spremljajo članstvo v skupini Domain Admin in spremljajo posodobitve programske opreme. Napadalec preuči varnostno držo podjetja, da bi ugotovil šibkost. Nobena od skupin nima popolne slike, je dejal Metcalf.

Vsi overjeni uporabniki imajo dostop do branja do večine, če ne celo do predmetov in atributov v imeniku Active Directory, je med pogovorom dejal Metcalf. Standardni uporabniški račun lahko ogrozi celotno domeno Active Directory zaradi nepravilno dodeljenih pravic spreminjanja predmetov pravilnika skupine in organizacijske enote, povezanih z domeno. Z dovoljenji OU po meri lahko posameznik spreminja uporabnike in skupine brez povišanih pravic ali pa lahko pridobi zgodovino SID, atribut predmeta uporabniškega računa AD, da pridobi povišane pravice, je dejal Metcalf.

Če Active Directory ni zaščiten, postane kompromis AD še bolj verjeten.

Metcalf je predstavil strategije za pomoč podjetjem, da se izognejo pogostim napakam, pri čemer gre za zaščito skrbniških poverilnic in izolacijo kritičnih virov. Bodite na tekočem s posodobitvami programske opreme, zlasti popravki, ki obravnavajo ranljivosti za stopnjevanje privilegij, in segmentirajte omrežje, da bo napadalcem oteženo bočno premikanje.

Strokovnjaki za varnost bi morali ugotoviti, kdo ima skrbniške pravice za AD in navidezna okolja, ki gosti krmilnike navideznih domen, pa tudi, kdo se lahko prijavi v krmilnike domen. Optično prebrati morajo domene aktivnih imenikov, objekt AdminSDHolder in objekte pravilnikov skupine (GPO) zaradi neprimernih dovoljenj po meri ter zagotoviti, da se skrbniki domen (skrbniki AD) nikoli ne prijavijo v nezaupljive sisteme, kot so delovne postaje, s svojimi občutljivimi poverilnicami. Pravice storitvenega računa bi morale biti omejene.

Zagotovite si varnost AD in številni pogosti napadi se ublažijo ali postanejo manj učinkoviti, je dejal Metcalf.

Virtualizacija za zajemanje napadov

Microsoft je v sistem Windows 10 uvedel varnost na osnovi virtualizacije (VBS), nabor varnostnih funkcij, ki se v hipervizorju vgradijo. Napadna površina za VBS se razlikuje od površine drugih izvedb virtualizacije, je dejal Rafal Wojtczuk, glavni varnostni arhitekt pri Bromium.

"Kljub omejenemu obsegu je VBS koristen - brez njega preprečuje nekatere enostavne napade," je dejal Wojtczuk.

Hyper-V ima nadzor nad korensko particijo in lahko izvaja dodatne omejitve in zagotavlja varne storitve. Ko je VBS omogočen, Hyper-V ustvari specializiran navidezni stroj z visoko stopnjo zaupanja za izvajanje varnostnih ukazov. Za razliko od drugih VM je ta specializirana naprava zaščitena pred korensko particijo. Windows 10 lahko uveljavi integriteto kode binarnih datotek in skriptov v uporabniškem načinu, VBS pa obdeluje kodo jedrskega načina. VBS je zasnovan tako, da v kontekstu jedra ne dovoli izvajanja nobene nepodpisane kode, tudi če je jedro ogroženo. V bistvu zaupanja vredna koda, ki se izvaja v posebni podelitvi VM, izvrši pravice v razširjenih tabelah strani (EPT) korenske particije do strani, ki shranjujejo podpisano kodo. Ker stran ne more biti hkrati zapisljiva in izvršljiva, zlonamerna programska oprema ne more vstopiti v način jedra na ta način.

Ker je celoten koncept odvisen od sposobnosti nadaljevanja, tudi če je bila korenska particija ogrožena, je Wojtczuk preučil VPS z vidika napadalca, ki je že vdrl v korensko particijo - na primer, če napadalec obide Secure Boot, da se naloži trojanski hipervizor.

"Zaščitna drža VBS izgleda dobro in izboljšuje varnost sistema - vsekakor pa zahteva dodatne zelo netrivialne napore, da bi našli primerno ranljivost, ki omogoča obvod," je v priloženi beli knjigi zapisal Wojtczuk.

Obstoječa dokumentacija kaže, da je potreben varen zagon, VTd in Trusted Platform Module (TPM) pa sta neobvezna za omogočanje VBS, vendar ni tako. Skrbniki morajo imeti tako VTd kot TPM, da zaščitijo hipervizor pred ogroženo korensko particijo. Preprosto omogočanje funkcije Credential Guard za VBS ni dovolj. Potrebna je dodatna konfiguracija, ki bo zagotovila, da se poverilnice v korenski particiji ne bodo prikazale v polju.

Microsoft se je zelo potrudil, da je VBS čim bolj varen, vendar je nenavadna površina napadov še vedno zaskrbljujoča, je dejal Wojtczuk.

Varnostna vrstica je višja

Odklopniki, med katerimi so kriminalci, raziskovalci in hekerji, ki jih zanima, kaj lahko storijo, z Microsoftom sodelujejo v zapletenem plesu. Takoj, ko lomilci najdejo način, kako zaobiti obrambo sistema Windows, Microsoft zapre varnostno luknjo. Z uporabo inovativne varnostne tehnologije, ki otežuje napade, Microsoft prisili odklopnike, da kopajo globlje, da jih obidejo. Windows 10 je zaradi teh novih funkcij najbolj varen Windows doslej.

Kriminalni element je zaposlen in nadloga zlonamerne programske opreme ne kaže kmalu upočasniti, vendar je treba omeniti, da je danes večina napadov posledica nekrpane programske opreme, socialnega inženiringa ali napačnih konfiguracij. Nobena programska aplikacija ne more biti popolnoma brez napak, toda ko vgrajena obramba otežuje izkoriščanje obstoječih slabosti, je to za zmagovalce zmaga. Microsoft je v zadnjih nekaj letih naredil veliko za blokiranje napadov na operacijski sistem, Windows 10 pa je neposredni upravičenec teh sprememb.

Glede na to, da je Microsoft okrepil svoje izolacijske tehnologije v posodobitvi sistema Windows 10 Anniversary Update, je pot do uspešnega izkoriščanja sodobnega sistema Windows videti še težja.

$config[zx-auto] not found$config[zx-overlay] not found