Net Cease:微軟研究員研發(fā)的反探測工具

責任編輯:editor004

作者:dawner

2016-11-05 16:09:00

摘自:黑客與極客

近日微軟研究人員Itay Grady和Tal Be’ery發(fā)布了Powershell腳本Net Cease,它可以防止攻擊者在企業(yè)內(nèi)網(wǎng)中獲取到突破點后,繼續(xù)橫向擴展獲取敏感信息

近日微軟研究人員Itay Grady和Tal Be’ery發(fā)布了Powershell腳本Net Cease,它可以防止攻擊者在企業(yè)內(nèi)網(wǎng)中獲取到突破點后,繼續(xù)橫向擴展獲取敏感信息。

netcease.jpg

  Net Cease的作用

在Net Cease在目標機器上部署后,非管理用戶想要遠程調(diào)用NetSess時就會被阻止。這種類型的手法,一般是通過執(zhí)行SMB會話枚舉,借助NetSessionEnum方法去探測域控DC,然后再獲取其他目標的信息。

事實上,現(xiàn)在已經(jīng)有滲透工具能實現(xiàn)這種自動化的信息探測。然而Net Cease則會修改默認的NetSessionEnum方法的權(quán)限,限制能遠程執(zhí)行該方法的域用戶數(shù)量。

開發(fā)者解釋道:

“NetCease腳本提升了NetSessionEnum的訪問門檻,它會移除認證用戶組的執(zhí)行權(quán)限,并且為交互、服務(wù)和批處理登陸會話添加權(quán)限。

Net Cease使用后的結(jié)果

管理員和系統(tǒng)操作員和power用戶是能夠遠程調(diào)用NetSessionEnum方法的。另外,任何交互、服務(wù)和批處理登陸會話也可以本地調(diào)用它。”

值得一提的是,Net Cease腳本在win7/8/10和windows server 2003/2008/2012系統(tǒng)上,能夠非常良好地運行。

研究人員補充道:

“注意,強化后的NetSession并不會妨礙防火墻檢測攻擊的能力,MicrosoftATA也會檢查失敗的探測嘗試。”

下載地址戳這里。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號