Đánh giá chủ đề:
  • 0 Votes - 0 Average
  • 1
  • 2
  • 3
  • 4
  • 5
Các nhà nghiên cứu Microsoft phát hành công cụ chống trinh sát SAMRi10
#1
Các nhà nghiên cứu Microsoft Itai Grady và Tal Be'ery đã phát hành một công cụ mới được thiết kế để giúp các quản trị viên hệ thống bảo vệ các mạng doanh nghiệp khỏi các cuộc tấn công trinh sát.

Tên của công cụ này là SAMRi10 (được phát âm là Samaritan) và được thiết kế để làm cứng máy tính Windows chống lại các truy vấn SAMR (Security Account Manager Remote), cho phép kẻ tấn công nhận danh sách người dùng địa phương và miền, tư cách thành viên nhóm, bí danh và hơn thế nữa.
http://www.maytinhphunggia.vn/thay-ban-p...3-371.html

 
Kẻ tấn công có chỗ đứng bên trong một doanh nghiệp có thể đặt thông tin này lại với nhau và tạo một bản đồ ảo của mạng của công ty có thể giúp anh ta xác định và nhắm mục tiêu máy tính hoặc máy chủ chứa thông tin nhạy cảm hơn.

SAM và SAMR là gì
Để nắm bắt tốt hơn những gì công cụ có thể làm và bảo vệ. Đầu tiên chúng ta cần hiểu SAM và SAMR là gì.

SAM, hoặc Trình quản lý tài khoản bảo mật của Windows, là một cơ sở dữ liệu chứa thông tin về tất cả các tài khoản người dùng. SAMR là hành động truy vấn một cơ sở dữ liệu SAM từ xa.

Mỗi máy tính Windows đều hỗ trợ SAM. Máy tính được gán cho miền mạng, lưu trữ thông tin về tài khoản của chúng trong cơ sở dữ liệu SAM của miền. Sau đó, họ sử dụng SAMR để thực hiện các truy vấn từ xa trên cơ sở dữ liệu SAM và nhận thông tin về người dùng của họ hoặc người dùng trên các máy tính / máy chủ khác.

Nếu máy tính không phải là một phần của miền mạng thì máy tính lưu trữ thông tin trên tất cả các tài khoản cục bộ vào cơ sở dữ liệu SAM cục bộ. Những máy tính này không cần SAMRi10, vì kẻ tấn công thường chỉ chứa trên máy tính bị nhiễm.

SAMRi10 là gì?
SAMRi10 có ích cho việc bảo vệ các máy tính được nối mạng thông qua các tên miền Windows.

SAMRi10 là một kịch bản PowerShell mà quản trị viên hệ thống có thể chạy trên các máy tính trên mạng của họ.

Công cụ, phải được chạy với quyền quản trị, chỉ dành cho Windows 10 và Windows Server 2016. SAMRi10 tự động hóa một loạt các hoạt động và giới hạn khả năng thực hiện các truy vấn SAMR để biết thông tin về người dùng trên cùng một miền.

SAMRi10 thực hiện điều này bằng cách chỉnh sửa giá trị khóa đăng ký kiểm soát quyền truy cập từ xa vào cơ sở dữ liệu SAM. Khóa đăng ký đã được giới thiệu trong Windows 10 và không được tìm thấy trong các phiên bản Windows trước đó. Khoá chỉnh sửa SAMRi10 của khóa đăng ký là:

>> HKLM / Hệ thống / CurrentControlSet / Control / Lsa / RestrictRemoteSAM

Hỗ trợ giới hạn truy vấn SAMR
Hỗ trợ giới hạn truy vấn SAMR
SAMRi10 cũng cho phép sysadmins lọc những người có thể thực hiện các truy vấn từ xa. Công cụ này có thể cho phép các thành viên của nhóm quản trị viên truy vấn cơ sở dữ liệu SAM từ xa.

Sysadmins cũng có thể sử dụng công cụ để tạo nhóm tùy chỉnh mới có tên "Người dùng SAM từ xa". Người dùng đáng tin cậy được chỉ định cho nhóm này sẽ được phép thực hiện truy vấn SAMR, ngay cả khi họ không phải là quản trị viên miền.

Dưới đây là ảnh chụp màn hình của các nỗ lực thành công và không thành công để truy vấn cơ sở dữ liệu SAM từ xa từ các máy tính được bảo vệ qua SAMRi10.

Truy vấn SAMR thành công, được SAMRi10 cho phép
Truy vấn SAMR thành công, được SAMRi10 cho phép
 Lỗi khi cố chạy truy vấn SAMR trên PC được SAMRi10 bảo vệ
Lỗi khi cố chạy truy vấn SAMR trên PC được SAMRi10 bảo vệ
Có thể tải xuống SAMRi10 từ đây . Hướng dẫn sử dụng chuyên sâu được bao gồm trong gói tải xuống.

SAMRi10 đã được thử nghiệm đối với các truy vấn SAMR được thực hiện bởi các công cụ trinh sát phổ biến như PowerSploit hoặc BloodHound.

Vào tháng 10, Grady và Be'ery đã phát hành một công cụ chống trinh sát khác có tên NetCease có thể chặn quét NetSessionEnum, cho phép kẻ tấn công thu thập thông tin từ các thiết bị mạng cục bộ bằng cách sử dụng phương thức NetSessionEnum có sẵn thông qua SMB.
http://www.maytinhphunggia.vn/thay-vo-la...1-431.html
Grady và Be'ery, thành viên của nhóm Phân tích mối đe dọa nâng cao (ATA) của Microsoft, đã giới thiệu NetCease và SAMRi10 tại hội nghị bảo mật Black Hat Europe 2016 năm nay.


Có thể liên quan đến chủ đề...
Chủ đề: Tác giả Trả lời: Xem: Bài mới nhất
  Áp dụng công nghệ tiết kiệm năng lượng trong sản xuất tại Bát Tràng bobodinh 3 5,638 01-18-2020, 01:25 PM
Bài mới nhất: hoclaixeoto2020
  Danh sách những công ty gia công & cung cấp bộ nguồn thủy lực tudongdn 1 265 01-18-2020, 11:24 AM
Bài mới nhất: thaikhuongpump.com
  Phát minh tuyệt vời của chàng tài xế liên quan đến năng lượng gió bobodinh 0 5,344 12-24-2019, 05:16 PM
Bài mới nhất: bobodinh
  Công nghệ lò Hoffman giúp tiết kiệm năng lượng hiệu quả bobodinh 0 5,372 12-17-2019, 04:58 PM
Bài mới nhất: bobodinh
  Thiết kế Những mảng xanh chồng chất cho nhà ở bobodinh 0 5,437 12-03-2019, 06:01 PM
Bài mới nhất: bobodinh
  Ngày Môi trường thế giới chủ đề Tiếng gọi thiên nhiên và hành động của chúng ta bobodinh 0 1,494 12-02-2019, 06:30 PM
Bài mới nhất: bobodinh
  Phát triển nhiệt điện than công nghệ sạch là một phần quan trọng bobodinh 1 440 11-30-2019, 09:39 PM
Bài mới nhất: harrypham
  Chương trình hợp tác biến rác thành năng lượng bobodinh 0 286 11-29-2019, 05:49 PM
Bài mới nhất: bobodinh
  Không thể bỏ qua của tấm cách nhiệt chống nóng vào mùa hè bobodinh 0 263 11-15-2019, 06:39 PM
Bài mới nhất: bobodinh
  Nâng cao kiến thức cho công nhân và cán bộ quản lý năng lượng bobodinh 0 316 11-04-2019, 05:20 PM
Bài mới nhất: bobodinh

Di chuyển nhanh:


Những người đang xem chủ đề này: 1 khách