1. Taw qhia
Cov tuam txhab uas tsis muaj cov chaw taws teeb nkag mus rau hauv qhov chaw sai sai tau siv lawv ob peb lub hlis dhau los. Tsis yog txhua tus thawj coj tau npaj rau qhov "kub sov," uas ua rau muaj kev ruaj ntseg lapses: kev teeb tsa tsis raug ntawm cov kev pabcuam lossis txawm tias kev teeb tsa ntawm cov software tsis tu ncua nrog yav dhau los pom qhov tsis zoo. Ntawm cov hoob kawm, cov omissions twb boomeranged, lwm tus muaj hmoo, tab sis txhua leej txhua tus yuav tsum twv yuav raug hu txiav txim siab. Kev ncaj ncees rau kev ua haujlwm nyob deb tau nce exponentially, thiab ntau thiab ntau lub tuam txhab tau txais kev ua haujlwm nyob rau hauv tej thaj chaw deb raws li ib qho kev pom zoo nyob rau hauv tsis tu ncua.
Yog li, muaj ntau txoj hauv kev los muab kev nkag mus rau tej thaj chaw deb: ntau yam VPNs, RDS thiab VNC, TeamViewer thiab lwm yam. Cov thawj coj muaj ntau yam xaiv los ntawm, raws li qhov tshwj xeeb ntawm kev tsim lub tuam txhab network thiab cov khoom siv hauv nws. VPN cov kev daws teeb meem tseem yog qhov nrov tshaj plaws, txawm li cas los xij, ntau lub tuam txhab me xaiv RDS (Remote Desktop Services), lawv yooj yim dua thiab sai dua rau kev xa tawm.
Hauv kab lus no peb yuav tham ntxiv txog RDS kev ruaj ntseg. Cia peb ua ib qho kev piav qhia luv luv ntawm qhov paub qhov tsis zoo, thiab tseem xav txog ntau qhov xwm txheej rau kev tawm tsam ntawm lub network infrastructure raws li Active Directory. Peb cia siab tias peb tsab xov xwm yuav pab tau ib tug neeg ua haujlwm ntawm kab thiab txhim kho kev ruaj ntseg.
2. Tsis ntev los no RDS/RDP vulnerabilities
Txhua lub software muaj qhov tsis raug thiab qhov tsis zoo uas tuaj yeem siv los ntawm cov neeg tawm tsam, thiab RDS tsis muaj qhov tshwj xeeb. Microsoft tau nquag tshaj tawm qhov tsis zoo tshiab tsis ntev los no, yog li peb tau txiav txim siab los muab cov ntsiab lus luv luv rau lawv:
Qhov tsis zoo no ua rau cov neeg siv uas txuas mus rau lub server muaj kev pheej hmoo. Tus neeg tawm tsam tuaj yeem tau txais kev tswj hwm ntawm tus neeg siv lub cuab yeej lossis tau txais lub hauv paus hauv qhov system kom muaj kev nkag mus tau mus tas li.
- / /
Cov pab pawg ntawm qhov tsis zoo no tso cai rau tus neeg tawm tsam tsis muaj pov thawj los ua qhov kev txiav txim siab ntawm tus neeg rau zaub mov khiav RDS siv qhov kev thov tshwj xeeb. Lawv kuj tuaj yeem siv los tsim cov kab laum-malware uas nws tus kheej nkag mus rau cov khoom nyob sib ze ntawm lub network. Yog li, cov kev tsis zoo no tuaj yeem cuam tshuam rau tag nrho lub tuam txhab network, thiab tsuas yog hloov kho raws sijhawm tuaj yeem cawm lawv.
Cov chaw taws teeb saib xyuas software tau txais kev saib xyuas ntau ntxiv los ntawm ob tus kws tshawb fawb thiab cov neeg tawm tsam, yog li peb yuav hnov ββββtxog ntau qhov tsis zoo sib xws.
Cov xov xwm zoo yog tias tsis yog txhua qhov kev tsis txaus ntseeg muaj kev siv pej xeem muaj. Cov xov xwm phem yog tias nws yuav tsis yooj yim rau tus neeg tawm tsam nrog cov kws tshaj lij los sau qhov kev siv rau qhov tsis zoo raws li kev piav qhia, lossis siv cov tswv yim xws li Patch Diffing (peb cov npoj yaig tau sau txog nws hauv ). Yog li ntawd, peb pom zoo kom koj tsis tu ncua hloov kho software thiab saib xyuas cov tsos ntawm cov lus tshiab txog kev tshawb pom qhov tsis zoo.
3. Kev tawm tsam
Peb txav mus rau ntu thib ob ntawm tsab xov xwm, qhov uas peb yuav qhia tias kev tawm tsam ntawm network infrastructure raws li Active Directory pib.
Cov kev piav qhia no muaj feem xyuam rau tus qauv tawm tsam hauv qab no: tus neeg tawm tsam uas muaj tus neeg siv nyiaj thiab nkag mus rau Chaw Taws Teeb Desktop Gateway - lub davhlau ya nyob twg server (feem ntau nws nkag tau, piv txwv li, los ntawm lwm lub network). Los ntawm kev siv cov txheej txheem no, tus neeg tawm tsam yuav tuaj yeem txuas ntxiv qhov kev tawm tsam ntawm cov txheej txheem thiab sib sau ua ke nws muaj nyob hauv lub network.
Kev teeb tsa lub network hauv txhua qhov xwm txheej yuav txawv, tab sis cov txheej txheem piav qhia yog universal heev.
Piv txwv ntawm kev tawm hauv ib puag ncig kev txwv thiab nce cov cai
Thaum nkag mus rau Chaw Taws Teeb Desktop Gateway, tus neeg tawm tsam yuav ntsib qee yam kev txwv ib puag ncig. Thaum koj txuas mus rau lub davhlau ya nyob twg server, ib daim ntawv thov raug tso tawm rau ntawm nws: lub qhov rais rau kev sib txuas ntawm Chaw Taws Teeb Desktop raws tu qauv rau cov peev txheej sab hauv, Explorer, chaw ua haujlwm pob lossis lwm yam software.
Tus neeg tua lub hom phiaj yuav tau txais kev nkag mus rau cov lus txib, uas yog, tua cmd lossis powershell. Ob peb classic Windows sandbox txoj kev khiav tawm tuaj yeem pab nrog qhov no. Cia peb xav txog lawv ntxiv.
Qhov 1. Tus neeg tawm tsam tau nkag mus rau qhov chaw deb Desktop txuas qhov rai nyob rau hauv Chaw Taws Teeb Desktop Gateway:
Cov ntawv qhia zaub mov "Show Options" qhib. Cov kev xaiv tshwm sim rau kev tswj cov ntaub ntawv sib txuas configuration:
Los ntawm lub qhov rais no koj tuaj yeem nkag tau yooj yim Explorer los ntawm txhaj ib qho ntawm "Qhib" lossis "Txuag" khawm:
Explorer qhib. Nws "chaw nyob bar" ua rau nws muaj peev xwm tso tawm cov ntaub ntawv raug tso cai, nrog rau sau cov ntaub ntawv kaw lus. Qhov no tuaj yeem muaj txiaj ntsig zoo rau tus neeg tawm tsam nyob rau hauv rooj plaub uas qhov system drives zais thiab tsis tuaj yeem nkag ncaj qha:
β
Ib qho xwm txheej zoo sib xws tuaj yeem rov tsim dua, piv txwv li, thaum siv Excel los ntawm Microsoft Office suite ua tej thaj chaw deb software.
β
Tsis tas li ntawd, tsis txhob hnov ββββqab txog macros siv hauv chav ua haujlwm suite no. Peb cov npoj yaig saib qhov teeb meem ntawm macro kev ruaj ntseg hauv qhov no .
Qhov 2. Siv tib lub tswv yim ib yam li nyob rau hauv lub dhau los version, tus attacker launches ob peb kev sib txuas mus rau tej thaj chaw deb desktop nyob rau hauv tib tus account. Thaum koj rov txuas dua, thawj tus yuav raug kaw, thiab lub qhov rais nrog kev ceeb toom yuam kev yuav tshwm sim ntawm qhov screen. Lub pob pab hauv lub qhov rais no yuav hu rau Internet Explorer ntawm lub server, tom qab ntawd tus neeg tawm tsam tuaj yeem mus rau Explorer.
β
Qhov 3. Yog tias muaj kev txwv rau kev xa tawm cov ntaub ntawv raug teeb tsa, tus neeg tawm tsam tuaj yeem ntsib qhov xwm txheej uas pab pawg tswj hwm txwv tsis pub tus thawj coj khiav cmd.exe.
Muaj ib txoj hauv kev kom tau txais ib ncig ntawm qhov no los ntawm kev khiav cov ntaub ntawv bat ntawm cov chaw taws teeb desktop nrog cov ntsiab lus zoo li cmd.exe / K <command> . Ib qho yuam kev thaum pib cmd thiab ib qho piv txwv ua tiav ntawm kev ua tiav cov ntaub ntawv bat yog qhia hauv daim duab hauv qab no.
Qhov 4. Kev txwv tsis pub tshaj tawm cov ntawv thov siv blacklists raws li lub npe ntawm cov ntaub ntawv ua tiav tsis yog panacea; lawv tuaj yeem raug hla.
Xav txog cov xwm txheej hauv qab no: peb tau xiam kev nkag mus rau cov kab hais kom ua, tiv thaiv kev tshaj tawm Internet Explorer thiab PowerShell siv cov cai pab pawg. Tus neeg tawm tsam sim hu rau kev pab - tsis teb. Sim tso powershell los ntawm cov ntawv qhia zaub mov ntawm lub qhov rais modal, hu nrog tus yuam sij ua haujlwm nias - cov lus qhia tias kev tso tawm raug txwv los ntawm tus thawj tswj hwm. Sim tso powershell los ntawm qhov chaw nyob bar - dua tsis teb. Yuav ua li cas hla qhov kev txwv?
Nws yog txaus los luam powershell.exe los ntawm C: WindowsSystem32WindowsPowerShellv1.0 nplaub tshev rau tus neeg siv nplaub tshev, hloov lub npe mus rau lwm yam uas tsis yog powershell.exe, thiab qhov kev xaiv tso tawm yuav tshwm sim.
Los ntawm lub neej ntawd, thaum txuas mus rau lub desktop tej thaj chaw deb, nkag mus rau tus neeg siv khoom hauv zos disks yog muab, los ntawm qhov chaw uas tus neeg tawm tsam tuaj yeem luam tawm powershell.exe thiab khiav nws tom qab renaming nws.
β
Peb tsuas yog muab ob peb txoj hauv kev los hla kev txwv; koj tuaj yeem tuaj nrog ntau qhov xwm txheej ntxiv, tab sis lawv txhua tus muaj ib qho zoo sib xws: nkag mus rau Windows Explorer. Muaj ntau ntau daim ntawv thov uas siv cov txheej txheem Windows cov ntaub ntawv tswj cov cuab yeej, thiab thaum muab tso rau hauv ib qho chaw tsawg, cov tswv yim zoo sib xws tuaj yeem siv tau.
4. Cov lus pom zoo thiab xaus
Raws li peb tuaj yeem pom, txawm tias nyob rau hauv ib puag ncig tsawg muaj chaw rau kev txhim kho kev tawm tsam. Txawm li cas los xij, koj tuaj yeem ua rau lub neej nyuaj rau tus neeg tawm tsam. Peb muab cov lus qhia dav dav uas yuav muaj txiaj ntsig ob qho tib si hauv cov kev xaiv uas peb tau txiav txim siab thiab lwm yam.
- Txwv tsis pub qhib qhov kev pab cuam rau cov npe dub/dawb uas siv pab pawg txoj cai.
Feem ntau, txawm li cas los xij, nws tseem muaj peev xwm khiav qhov chaws. Peb xav kom koj paub koj tus kheej nrog qhov project , kom muaj ib lub tswv yim ntawm undocumented txoj kev ntawm manipulating cov ntaub ntawv thiab executing code ntawm lub system.
Peb pom zoo kom muab ob hom kev txwv: piv txwv li, koj tuaj yeem tso cai tso tawm cov ntaub ntawv ua tiav tau kos npe los ntawm Microsoft, tab sis txwv tsis pub tso tawm cmd.exe. - Disable Internet Explorer nqis tabs (yuav ua tau hauv zos hauv cov npe).
- Disable Windows built-in pab ntawm regedit.
- Disable lub peev xwm rau mount lub zos disks rau tej thaj chaw deb kev twb kev txuas yog hais tias xws li ib tug txwv tsis yog ib qho tseem ceeb rau cov neeg siv.
- Txwv tsis pub nkag mus rau hauv zos drives ntawm lub tshuab tej thaj chaw deb, tawm mus rau cov neeg siv folders nkaus xwb.
Peb cia siab tias koj pom nws tsawg kawg yog qhov nthuav, thiab qhov siab tshaj plaws, tsab xov xwm no yuav pab ua kom koj lub tuam txhab ua haujlwm nyob deb.
Tau qhov twg los: www.hab.com