Programavimas

Pagarba: „Windows 10“ sauga daro įspūdį įsilaužėliams

Kol „Windows“ išlieka populiarus atakos tikslas, tyrėjai ir įsilaužėliai vis daužys platformą, kad atskleistų pažangias „Microsoft“ gynybos sunaikinimo strategijas.

Saugumo juosta yra daug aukštesnė nei anksčiau, nes „Microsoft“ „Windows 10“ pridėjo kelis pažangius švelninimo būdus, kurie pašalina visas išpuolių klases. Nors šių metų „Black Hat“ konferencijos įsilaužėliai buvo apsiginklavę sudėtingomis išnaudojimo technikomis, buvo tyliai pripažinta, kad sėkmingai sukurti techniką dabar yra daug sunkiau naudojant „Windows 10“. Įsilaužti į „Windows“ per OS pažeidžiamumą yra sunkiau, nei buvo dar prieš keletą metų.

Naudokite įmontuotus antimalware įrankius

„Microsoft“ sukūrė antimalware scan interface (AMSI) įrankius, kurie gali užfiksuoti kenkėjiškus scenarijus atmintyje. Bet kuri programa gali ją paskambinti, o bet kuris registruotas antimalware variklis gali apdoroti AMSI pateiktą turinį, sakė jo „Black Hat“ sesijos dalyviams Nikhal Mittal, įsiskverbimo testeris ir asocijuotas „NoSoSecure“ konsultantas. Šiuo metu „Windows Defender“ ir AVG naudoja AMSI, todėl ji turėtų būti plačiau pritaikyta.

„AMSI yra didelis žingsnis blokuojant scenarijais pagrįstas atakas sistemoje„ Windows “, - sakė Mittalas.

Kibernetiniai nusikaltėliai vis labiau remiasi scenarijais pagrįstomis atakomis, ypač tomis, kurios vykdomos „PowerShell“, vykdant savo kampanijas. Organizacijoms sunku atrasti išpuolius naudojant „PowerShell“, nes juos sunku atskirti nuo teisėto elgesio. Taip pat sunku atkurti, nes „PowerShell“ scenarijus galima naudoti norint paliesti bet kurį sistemos ar tinklo aspektą. Praktiškai kiekvienai „Windows“ sistemai iš anksto įkėlus „PowerShell“, scenarijaus išpuoliai tampa daug dažnesni.

Nusikaltėliai pradėjo naudoti „PowerShell“ ir krauti scenarijus į atmintį, tačiau gynėjams užtruko, kol jie sugavo. „Niekas nesirūpino„ PowerShell “iki kelerių metų“, - sakė Mittal. „Mūsų scenarijai visiškai neaptinkami. Antivirusinių programų pardavėjai ją priėmė tik per pastaruosius trejus metus “.

Nors lengva aptikti diske išsaugotus scenarijus, ne taip lengva sustabdyti atmintyje išsaugotų scenarijų vykdymą. AMSI bando sugauti scenarijus pagrindinio kompiuterio lygiu, o tai reiškia, kad įvesties metodas - nesvarbu, ar jis išsaugotas diske, ar laikomas atmintyje, ar paleidžiamas interaktyviai - nesvarbus, todėl jis yra „žaidimų keitiklis“, kaip sakė Mittal.

Tačiau AMSI negali būti vienas, nes naudingumas priklauso nuo kitų saugumo metodų. Scenarijaus atakas labai sunku įvykdyti nesukuriant žurnalų, todėl „Windows“ administratoriams svarbu reguliariai stebėti savo „PowerShell“ žurnalus.

AMSI nėra tobula - tai mažiau naudinga aptikti sutrikusius scenarijus arba scenarijus, įkeltus iš neįprastų vietų, tokių kaip WMI vardų sritis, registro raktai ir įvykių žurnalai. „PowerShell“ scenarijai, vykdomi nenaudojant powershell.exe (tokie įrankiai kaip tinklo strategijos serveris), taip pat gali sujungti AMSI. Yra būdų apeiti AMSI, pavyzdžiui, pakeisti scenarijų parašą, naudoti „PowerShell“ 2 versiją arba išjungti AMSI. Nepaisant to, „Mittal“ vis tiek mano, kad AMSI yra „Windows administravimo ateitis“.

Apsaugokite tą „Active Directory“

„Active Directory“ yra kertinis „Windows“ administravimo akmuo ir jis tampa dar kritiškesniu komponentu, nes organizacijos toliau perkelia savo darbo krūvius į debesį. Nebenaudojamas vietinių vidinių įmonių tinklų autentifikavimui ir valdymui tvarkyti, AD dabar gali padėti nustatyti tapatybę ir autentifikavimą „Microsoft Azure“.

„Windows“ administratoriai, saugos specialistai ir užpuolikai turi skirtingas „Active Directory“ perspektyvas, - „Black Hat“ dalyviams sakė „Active Directory“ „Microsoft“ sertifikuotasis meistras ir saugos bendrovės „Trimarc“ įkūrėjas Seanas Metcalfas. Administratoriaus dėmesys sutelkiamas į veikimo laiką ir užtikrinimą, kad AD atsakys į užklausas per pagrįstą laiką. Saugos specialistai stebi „Domain Admin“ grupės narystę ir seka programinės įrangos atnaujinimus. Užpuolikas ieško įmonės saugos padėties, kad surastų silpnybę. Nė viena iš grupių neturi pilno vaizdo, sakė Metcalfas.

Visi patvirtinti vartotojai gali skaityti prieigą prie daugumos, jei ne visų, „Active Directory“ objektų ir atributų, sakė Metcalfas pokalbio metu. Standartinė vartotojo paskyra gali pažeisti visą „Active Directory“ domeną dėl netinkamai suteiktų modifikavimo teisių į su domenu susietus grupės strategijos objektus ir organizacinį vienetą. Naudodamas pasirinktinius OU leidimus, asmuo gali modifikuoti vartotojus ir grupes be padidintų teisių, arba jie gali pereiti SID istoriją, AD vartotojo abonemento objekto atributą, kad gautų padidintas teises, sakė Metcalfas.

Jei „Active Directory“ nėra apsaugota, tada dar labiau tikėtina, kad bus pažeisti AD.

„Metcalf“ išdėstė strategijas, padedančias įmonėms išvengti dažniausiai pasitaikančių klaidų, ir apsaugo administratoriaus kredencialus bei išskiria svarbiausius išteklius. Sekite naujienas apie programinės įrangos naujinimus, ypač pleistrus, šalinančius privilegijų eskalavimo pažeidžiamumus, ir segmentuokite tinklą, kad užpuolikams būtų sunkiau judėti iš šono.

Saugos specialistai turėtų nustatyti, kas turi AD ir virtualios aplinkos, kurioje talpinami virtualių domenų valdikliai, administratoriaus teises, taip pat kas gali prisijungti prie domeno valdiklių. Jie turėtų nuskaityti aktyvių katalogų domenus, „AdminSDHolder“ objektą ir grupės strategijos objektus (GPO) dėl netinkamų pasirinktinių teisių, taip pat užtikrinti, kad domeno administratoriai (AD administratoriai) niekada neprisijungtų prie nepatikimų sistemų, tokių kaip darbo vietos, turėdami neskelbtinus kredencialus. Taip pat turėtų būti ribojamos paslaugų sąskaitos teisės.

Tvarkykite AD saugumą ir daugelis įprastų išpuolių sušvelninami arba tampa ne tokie veiksmingi, sakė Metcalfas.

Virtualizacija, kad būtų išvengta atakų

„Microsoft“ pristatė virtualizacijos saugumą (VBS), saugumo funkcijų rinkinį, įkomponuotą į hipervizorių, sistemoje „Windows 10“. VBS atakos paviršius skiriasi nuo kitų virtualizacijos diegimų, sakė Rafalas Wojtczukas, „Bromium“ vyriausiasis saugos architektas.

"Nepaisant ribotos apimties, VBS yra naudingas - jis užkerta kelią tam tikroms atakoms, kurios be jo yra paprastos", - sakė Wojtczukas.

„Hyper-V“ valdo šakninį skaidinį ir gali įdiegti papildomus apribojimus bei teikti saugias paslaugas. Įjungus VBS, „Hyper-V“ sukuria specializuotą virtualią mašiną su aukštu pasitikėjimo lygiu, kad būtų galima vykdyti saugos komandas. Skirtingai nuo kitų VM, ši specializuota mašina yra apsaugota nuo šakninio skaidinio. „Windows 10“ gali užtikrinti vartotojo režimo dvejetainių failų ir scenarijų vientisumą, o VBS tvarko branduolio režimo kodą. VBS sukurtas taip, kad neleistų jokių nepasirašytų kodų vykdyti branduolio kontekste, net jei branduolys buvo pažeistas. Iš esmės, patikimas kodas, vykdomas specialiajame VM suteikime, vykdo teises į šakninio skaidinio išplėstinių puslapių lenteles (EPT) į puslapius, kuriuose saugomas pasirašytas kodas. Kadangi puslapis negali būti rašomasis ir vykdomas vienu metu, kenkėjiška programa negali tokiu būdu pereiti į branduolio režimą.

Kadangi visa koncepcija priklauso nuo galimybės tęsti, net jei pažeistas šaknies skaidinys, Wojtczukas ištyrė VPS iš užpuoliko, kuris jau įsilaužė į šaknies skaidinį, perspektyvos, pavyzdžiui, jei užpuolikas apeina „Secure Boot“, kad būtų galima įkelti Trojanizuotas hipervizorius.

"VBS saugumo padėtis atrodo gerai ir tai pagerina sistemos saugumą - be abejo, tam reikia papildomų labai nereikšmingų pastangų, norint rasti tinkamą pažeidžiamumą, leidžiantį apeiti", - Wojtczukas rašė pridedamoje baltojoje knygoje.

Esami dokumentai rodo, kad reikia saugaus įkrovos, o VTd ir patikimos platformos modulis (TPM) yra neprivalomi įgalinant VBS, tačiau taip nėra. Administratoriai turi turėti ir VTd, ir TPM, kad apsaugotų hipervizorių nuo pažeisto šaknies skaidinio. VBS nepakanka paprasčiausiai įgalinti „Credential Guard“. Būtina atlikti papildomą konfigūraciją, siekiant užtikrinti, kad kredencialai nebūtų rodomi pagrindiniame skaidinyje.

„Microsoft“ įdėjo daug pastangų, kad VBS būtų kuo saugesnė, tačiau neįprastas atakos paviršius vis dar kelia susirūpinimą, sakė Wojtczukas.

Apsaugos juosta yra aukštesnė

„Breakers“, kuriame dalyvauja nusikaltėliai, tyrėjai ir įsilaužėliai, norintys sužinoti, ką jie gali padaryti, su „Microsoft“ užsiima įmantriu šokiu. Kai tik pažeidėjai sugalvos, kaip apeiti „Windows“ apsaugą, „Microsoft“ uždaro saugumo spragą. Diegdama novatorišką saugumo technologiją, kad apsunkintų atakas, „Microsoft“ verčia pažeidėjus gilintis, kad juos apeitų. Dėl šių naujų funkcijų „Windows 10“ yra visų laikų saugiausia „Windows“.

Nusikalstamas elementas yra užimtas darbe, o kenkėjiškų programų rykštė netrukus nerodo sulėtėjimo požymių, tačiau verta paminėti, kad šiais laikais dauguma išpuolių yra nepadarytos programinės įrangos, socialinės inžinerijos ar netinkamos konfigūracijos rezultatas. Nė viena programinė įranga negali būti visiškai be klaidų, tačiau kai integruota gynyba apsunkina esamų trūkumų išnaudojimą, tai yra gynėjų pergalė. „Microsoft“ per pastaruosius kelerius metus daug nuveikė blokuodama atakas prieš operacinę sistemą, o „Windows 10“ yra tiesioginis tų pakeitimų naudos gavėjas.

Atsižvelgiant į tai, kad „Microsoft“ išplėtojo savo izoliacijos technologijas „Windows 10 Anniversary Update“, kelias į sėkmingą šiuolaikinės „Windows“ sistemos naudojimą atrodo dar sunkesnis.