Praktyczne bezpieczeństwo Windows – zobacz aktualne ataki i metody ochrony przed nimi

30 maja 2019, 16:54 | Aktualności | komentarzy 20
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Czy chcielibyście zobaczyć coś praktycznego w kontekście bezpieczeństwa Windows? Nudzą Was przegadane dokumentacje Microsoftu? Wpadnijcie na nasze praktyczne szkolenie. Agenda poniżej:

Architektura systemu

  • Kernel / User -mode
  • Procesy i wątki
  • Serwisy systemowe
  • Pamięć
  • Filesystemy
  • Sieciowość
  • Rejestr Windows

Model bezpieczeństwa

  • Tokeny i tożsamość (kontekst) obiektów
    i. Idea
    ii. Kradzież tokenu
    iii. Budowanie tokenów
    iv. Kontekst LOCALSYSTEM
  • ACLe
    i. Sposób działania
    ii. Omijanie ACLi
    iii. ACLe dla obiektów innych niż pliki
  • Przywileje systemowe
    i. Użycie przywilejów systemowych do eskalacji uprawnień

Kryptografia w Windows

  • DPAPI
  • DPAPIng
  • BitLocker
  • Nieautoryzowane rozszyfrowywanie danych

Poświadczenia tożsamości (credentials)

  • Pozyskiwanie hashy (lokalnie i z AD)
  • Pozyskiwanie danych uwierzytelniających z mechanizmów zapisywania poświadczeń przez aplikacje
  • Pozyskiwanie danych uwierzytelniających z transmisji sieciowej (SMB, SQL, https)
  • Kradzież i budowanie tokenów (uzupełnienie do #2.a powyżej)
  • Pozyskiwanie poświadczeń z pamięci operacyjnej
  • Pass-the-Hash
  • „Cached credentials”

Ataki offline

  • Wykradanie danych (read only)
    i. Techniki dostępu offline, w tym do snapshotów plików w działającym systemie
    ii. Pozyskiwanie zawartości rejestru
    iii. Pozyskiwanie zawartości AD
    iv. Dostęp do danych szyfrowanych / kluczy
  • Modyfikacje środowiska (read / write)
    i. Edycja rejestru
    ii. Zarządzanie użytkownikami
    iii. Ataki bazujące na utilman.exe
    iv. Inne techniki infekcji w trybie offline
  • Serwisy systemowe
  • DLLe
  • Autostarty

Wbudowane mechanizmy zdalnego dostępu

  • WMI
  • WinRM
  • Services API
  • RDP
  • SMB

Ataki na procesy

  • Ataki oparte o DLL
  • Wstrzykiwanie wątków
  • Przechwytywanie wywołań systemowych (API Hooking)
  • Ataki na pamięć

Internet Information Services

  • Model działania
  • Użycie ataków na aplikacje webowe do przejęcia kontroli nad systemem
  • Zacieranie śladów i omijanie typowych zabezpieczeń

Bezpieczeństwo Active Directory

  • Ataki wykorzystujące Kerberos
  • Podatności związane z uprawnieniami w usłudze katalogowej
  • Podatności związane z hasłami w GPO/GPP
  • Ataki wykorzystujące plik ntds.dit
  • DCSync

SQL Server jako wektor ataku

PowerShell

  • Podstawy języka i środowiska
  • Dostęp do .NET i Win32 API
  • Omijanie zabezpieczeń przed złośliwymi skryptami
  • Narzędzia oparte o PowerShell (w tym PowerSploit)

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. SuperTux

    Jak zabezpieczyć Windowsa:

    1. Usuń Windowsa
    2. Zainstaluj Linuxa
    3. Jak potrzebujesz jakiejś windowsowej aplikacji to albo przez wine albo przez VM z windowsem.

    Odpowiedz
    • Trawiasty

      Jak odrealnionym trzeba być, żeby to wymyślić.

      Odpowiedz
      • Wujek Pawel

        Nie wiem, moze odwrocimy pytanie i zapytajmy jak ograniczonym trzeba byc zeby swiata poza Windowsem nie widziec. Od 5 lat uzywam tylko Linuxa na desktopie (od 15 lat ogolnie). Od 1,5 roku VMki z Windowsem nawet nie wlaczalem. Zainstalowalbym starszej corce na laptopie ale w szkole uzywaja Office, a przez WWW srednio to dziala. Mlodszej corce to juz chyba kupie Maca tam przynajmniej mozna sobie Office zainstalowac.

        Odpowiedz
        • HansKiełbasa

          Ja bym raczej rozgraniczył bezpieczeństwo windowsa i bezpieczeństwo AD. W tym drugim przypadku wiele problemów bezpieczeństwa wynika raczej z samej centralizacji zarządzaniem dostępem i nie ma związku z samym systemem operacyjnym. Co do windozy to od lat jest znacznie bezpieczniejsza niż linuxy

          Odpowiedz
    • gosc

      Pkt. 3 jest troche sporny.
      Jesli cos twoim zdaniem jest niebezpieczne to nie uzywasz i koniec.
      Uzycie wine, czy VM nie czyni tego bezpieczniejszym.
      Narzedzia te moze troche odseparuja od glownego systemu, ale nadal aplikacje moga byc podatne na wirusy, plus czynnik ludzki.

      Linux jest troche bezpieczniejszy.
      – kod programow zazwyczaj czytelny
      – kod czasami sprawdzany lub sami mozemy sprawdzic
      – konto uzytnikownika zazwyczaj wymagane
      Pamietajmy tylko ze rozwoj technologii i oprogramowania zawsze moze tworzyc nowe podatnosci takze te nie zalezne od systemu operacyjnego.

      Odpowiedz
  2. SuperGnux

    ależ naiwność Panie Tux.
    System jest tak bezpieczny ja świadomy jest jego użytkownik.

    Odpowiedz
  3. Apt-Get update

    Spróbuj przejść na Linuxa w administracji publicznej…

    Odpowiedz
    • Cześć dziadku!

      ‚Apt-Get update’?

      Nie wiem czy wiesz, ale XX wiek jest już za nami.

      Odpowiedz
    • Wredny

      Nie przejdziesz! Dlaczego? Winne przetargi! I taki mały drobiazg… Kto doliczy się ile windowsów jest z nowego przetargu? A bywa, że super wypas kompik ląduje w domu szefostwa bo dzieciak musi mieć coś mocnego do gierek albo szpanowania przed kolegami i koleżankami, a do urzędu czy instytucji, ląduje wytłuczony gierkami komputer… Sztuka z system windows i pakietem office windowsa jest sztuką i nikt poza zainteresowanymi nie wie o takim procederze. Nawet w nagłym remanencie sztuki sprzętu się zgadzają! Urząd czy instytucja, za rok i tak wymieni taki sprzęt, a jak się popsuje to wcześniej! Nikt skasowanego złomu nie będzie weryfikował pod kątem pochodzenia! Windowsa na pokładzie miał, pakiet biurowy też, to znaczy nie ma podstaw do dociekania skąd był, bo był z przetargu! No i rzecz jasna… W każdym przetargu można wygrać bonus od zwycięzcy! :-) A tak na marginesie… Gdyby prawo w Polsce było przestrzegane, to kilka miliardów wróciłoby do budżetu państwa z tytułu szastania pieniędzmi podatnika!

      Odpowiedz
  4. Szymon

    Akurat testowałem ransoware pod wine i jest wsparcie. Szyfruje dane. Także uruchamianie wirusów pod wine to zły pomysł, nawet jeśli jesteśmy w trochę innym środowisku. Polecam nie ściągać i nie uruchamiać wirusów. Faktycznie środowisko Linux jest trochę bezpieczniejsze. Jeśli ktoś używa Windows XP to sam prosi się o kłopoty i nie powinniśmy się nim przejmować. Potem będzie płać że ‚shackowali mi konto na fejsbuku’ czy ‚pieniążki zniknęły z konta’. Trudno, trzeba było robić aktualizacje.

    Odpowiedz
    • sandżaja

      „Akurat testowałem ransoware pod wine i jest wsparcie. Szyfruje dane.”

      ale wiesz, że pierwsze co robi się na wine to odcina go od home (zakładka dyski oraz zakładka integracja z pulpitem) i apka nie wyjdzie poza folder wina (dlatego się instaluje dodatkowe komponenty tj. ‚private users dirs’ żeby apka mogła sobie zapisywać swoje konfigi itp. w obrębie wydzielonego folderu wina a nie pałętała się po homie

      Odpowiedz
    • Radoslaw

      Szymon – przyznaj się proszę, które to ransomware?
      Wiesz, że Windows XP doczekał się paczki aktualizacyjnej?

      Odpowiedz
  5. Trawiasty

    „Linux jest troche bezpieczniejszy” – skad wy to bierzecie? Watpie zeby bylo to z doswiadczenia.
    Przegladacie ile podatnosci jest na RedHata, Fedore, Ubuntu, Suse, Debiana i reszte produktow?
    Windows nie jest lepszy/gorszy, tez sa wynajdywane nowe podatnosci i aktualizacje wypuszczane.

    System z pudelka trzeba potraktowac polisami ktore wzmocnia system i to normalne, czy Linux czy Windows.

    Czytajac komentarze typu „troche bezpieczniejszy” to widze jak juz przegladacie swoje „bezpieczniejsze Linuxy i aktualizujecie” „apt-get update && Apt-get upgrade” i „jestem najbezpieczniejszy. „

    Douczyc sie, zrozumiec architekture, podlubac na niskim poziomie i madrego cos napisac wtedy – aż wątki ze śmiechu się przewracają jak widzą co wypisujecie ;)

    To pewnie tez wiecie, nie?
    Ransomware tez i na maca moze byc i na linuxa, ba, na AIXa by wystrugał, tylko ze chodzi tutaj o cel, nieswiadomego uzytkownika i skale na jaka to pojdzie.
    Gdyby Linux byl w wielkich korpo jako stacja robocza to i jako cel by byl.

    Odpowiedz
    • gosc

      „Linux jest troche bezpieczniejszy” ” skad wy to bierzecie? ”
      – Np. Z przykladowych filarow bezpieczenstwa ktore podalem wyzej.
      – Nie chodzi tylko o podatnosci, a chodzi o caloksztalt.
      – Nikt nie twierdzil ze na Linuxa nie ma podatnosci, ani ze jest lub nie jest idealny, nawet wynika to ze zdania wyzej.
      Jak sie czujesz pod danym systemem, to kwestia moze gustu,
      a o gustach sie nie dyskutuje.
      – Niestety z doswiadczenia biore te tezy. Nie znam sie na architektorze, ani na niskim poziomie jezykow ale
      Np. Choc dla mnie drogo, to kierownika lub jego pracownika pewnego znanego antiwirusa wyslalbym na wlasny koszt na takie szkolenie jak wyzej zeby w koncu dopracowali antywirusa o nowe narzedzia. Tego sie nie da porownac, ale jesli mialbym porownac dokumentacje uzytkownikow i mikrosoftu, to uzytkownikow Linuxa jest bogatsza. Ale jak wspomnialem jest jeszcze duzo do zrobienia i poprawienia.

      Odpowiedz
    • kszh

      > „skad wy to bierzecie?”
      Stad:
      [https://www.cvedetails.com/cvss-score-charts.php?fromform=1&vendor_id=&product_id=32238]
      [https://www.cvedetails.com/cvss-score-charts.php?fromform=1&vendor_id=&product_id=47]

      Odpowiedz
      • gt
        Odpowiedz
        • C. Bolek

          Demagogicznie dobry argument, ale merytorycznie słaby.
          Dyskusja wyszła od porównania systemów operacyjnych na desktopy a Ty porównujesz wszystkie produkty sygnowane przez MS (stare i nowe, powszechne i niszowe) z Linux’em jako OS. Wystarczy kliknąć w linki żeby zobaczyć, że wśród produktów MS masz takie rzeczy jak np.: Backoffice Server, Exchange Server, Skype For Business, SQL Server, Nokia Asha, Sharepoint Enterprise Server, Xbox 360 i wiele, wiele innych aplikacji o których większość użytkowników desktopów i nie szyszała i nigdy używać nie będzie. Po stronie Linux’a największą pozycją, odpowiadającą za 99% statystuki jest Linux Kernel. To tak jakbyś porównywał jabłka do owoców albo jedną markę do wszystkich pojazdów mechanicznych (wliczając TIR’y, śmieciarki i kombajny). Jakąś założoną tezę uda Ci się tym sposobem udowodnić, ale jaki będzie miało to porównanie sens – to już osobna kwestia.

          Odpowiedz
  6. Adrian

    To może dajmy się zwariować i wszyscy korzystajmy z Qubes?

    Posegregujmy wszystko zgodnie z założeniami wydawców i będzie most secure…

    Odpowiedz
    • atv

      I to jest jakiś pomysł. W końcu konstruktywny.

      Odpowiedz
  7. draft

    Panowie, co wy bierzecie?
    Najlepszy system to połączenie obydwu Windows + Linux. Każdy z nich ma mocniejsze i słabsze strony np. Windows do zarządzania lanem i stacjami z windows, Linux do monitorowania, logowania, styku z Internetem, ochroną czy WWW.

    Odpowiedz

Odpowiedz