近日微軟研究人員Itay Grady和Tal Be’ery發(fā)布了Powershell腳本Net Cease,它可以防止攻擊者在企業(yè)內(nèi)網(wǎng)中獲取到突破點后,繼續(xù)橫向擴展獲取敏感信息。
Net Cease的作用
在Net Cease在目標機器上部署后,非管理用戶想要遠程調(diào)用NetSess時就會被阻止。這種類型的手法,一般是通過執(zhí)行SMB會話枚舉,借助NetSessionEnum方法去探測域控DC,然后再獲取其他目標的信息。
事實上,現(xiàn)在已經(jīng)有滲透工具能實現(xiàn)這種自動化的信息探測。然而Net Cease則會修改默認的NetSessionEnum方法的權(quán)限,限制能遠程執(zhí)行該方法的域用戶數(shù)量。
開發(fā)者解釋道:
“NetCease腳本提升了NetSessionEnum的訪問門檻,它會移除認證用戶組的執(zhí)行權(quán)限,并且為交互、服務(wù)和批處理登陸會話添加權(quán)限。
Net Cease使用后的結(jié)果
管理員和系統(tǒng)操作員和power用戶是能夠遠程調(diào)用NetSessionEnum方法的。另外,任何交互、服務(wù)和批處理登陸會話也可以本地調(diào)用它。”
值得一提的是,Net Cease腳本在win7/8/10和windows server 2003/2008/2012系統(tǒng)上,能夠非常良好地運行。
研究人員補充道:
“注意,強化后的NetSession并不會妨礙防火墻檢測攻擊的能力,MicrosoftATA也會檢查失敗的探測嘗試。”
下載地址戳這里。