黑基网 首页 电脑 Windows 7 查看内容

Net Cease-微软研究员研发的反探测工具

2016-11-3 10:03| 投稿: son850318

摘要: 近日微软研究人员Itay Grady和Tal Be’ery发布了Powershell脚本Net Cease,它可以防止攻击者在企业内网中获取到突破点后,继续横向扩展获取敏感信息。Net Cease的作用在Net Cease在目标机器上部署后,非管理用户想要 ...

近日微软研究人员Itay Grady和Tal Be’ery发布了Powershell脚本Net Cease,它可以防止攻击者在企业内网中获取到突破点后,继续横向扩展获取敏感信息。

Net Cease的作用

在Net Cease在目标机器上部署后,非管理用户想要远程调用NetSess时就会被阻止。这种类型的手法,一般是通过执行SMB会话枚举,借助NetSessionEnum方法去探测域控DC,然后再获取其他目标的信息。

事实上,现在已经有渗透工具能实现这种自动化的信息探测。然而Net Cease则会修改默认的NetSessionEnum方法的权限,限制能远程执行该方法的域用户数量。

开发者解释道:

“NetCease脚本提升了NetSessionEnum的访问门槛,它会移除认证用户组的执行权限,并且为交互、服务和批处理登陆会话添加权限。

Net Cease使用后的结果

管理员和系统操作员和power用户是能够远程调用NetSessionEnum方法的。另外,任何交互、服务和批处理登陆会话也可以本地调用它。”

值得一提的是,Net Cease脚本在win7/8/10和windows server 2003/2008/2012系统上,能够非常良好地运行。

研究人员补充道:

“注意,强化后的NetSession并不会妨碍防火墙检测攻击的能力,MicrosoftATA也会检查失败的探测尝试

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论


新出炉

返回顶部