新闻中心 > 新闻详情

安芯网盾案例|内存安全助力AD域控服务器安全问题防护

2021 年 06 月 24 日

近年来,网络安全已经上升到了国家高度,众多企业也更关注自身业务安全运行,纷纷部署了不同的安全产品进行安全防御。即便如此,在行业应用中,客户也会遇到不同的安全问题。今天,我们来分享一个AD域控服务器场景的安全防护案例,希望能给大家一些启发。

便捷&问题

某政企单位在内网中存在大量的域控服务器,利用域控服务器管理全国分支机构的十万多台主机终端,便捷了很多。但是,如果攻击者利用漏洞或者社工等方法获取了外网系统的控制权限,找到了和内网联通的通道,再进一步进行深入渗透,便形成了纵向渗透的通道。然后,攻击者通过mimikazt等工具利用票据传递等攻击手段,实现域控服务器的权限控制,从而访问任意域控下的目标进行数据窃取,最终完成目标突破工作。这将为该政企单位带来不可估量的损失。

1、在域控服务器的防范中,会遇到黄金票据被盗的问题,攻击者可以通过域控服务器进行匿名登录的操作,实现控制域控下所有主机的登录。

2、该政企单位的域控服务器访问方式多种多样,有普通用户登录时的验证,有域控服务器相互间的访问,还有域控服务器下发策略时的访问,在这些访问中有很多都是业务需求,这种访问带来的安全风险也是存在的。

3、同时,该政企单位还遇到了非域控服务器的匿名登录情况,作为校验身份的域控服务器把这些请求视为正常访问,存在域控服务器下hash盗取防护问题。

解决方案

在了解到该政企单位的痛点需求之后,安芯网盾为该客户部署了安芯智能内存保护系统,帮助客户更清晰、准确、快速地发现、拦截、追溯攻击者的攻击。

内存保护系统安全防御

图 智能内存保护系统安全防御

  • 通过分析内网渗透中常用的技术方法,技术甄别判断黄金票据、PTH、白银票据、暴力破解域用户名密码、内存dump等行为,解决域控票据留存及票据传递问题。

  • 通过细粒度的监控内存读、写、执行行为,可实时检测内存中存在堆栈代码执行、内存数据覆盖等异常行为,结合拦截模块高效防御漏洞攻击。

  • 通过实时监测并阻断针对域控服务器的域渗透攻击,以及实时上报异常登录等风险项。

  • 通过策略调整,解决身份认证的黑白名单控制问题,实现用户自定义设置对域控服务器的安全访问机制。

价值体现

客户采用了安芯网盾的智能内存保护系统之后,解决了安全威胁,同时为客户带来了价值收益:

采用了安芯网盾的智能内存保护系统之后,帮助该政企单位拦截了远线程注入、无文件攻击等基于内存攻击的行为对域控服务器进行攻击,实时拦截。

安芯网盾智能内存保护系统帮助该政企客户检测拦截了攻击方利用Mimikazt攻击工具获取被攻击的域控服务器中的krbtgt账户的hash值的行为。

此外,还帮助该政企单位拦截了攻击者利用Mimikazt进行攻击机的票据hash值读取,获取保留在攻击机中的域控管理员账号信息和hash,进行被攻击机远程登录的行为。

通过安芯神甲Server端的域控策略配置,行为日志功能模块可以有效拦截域内普通PC机越权访问域控主机的行为,防止krbtgt账户hash值得泄露风险以及避免发生制作黄金票据的风险。

隐私政策     法律信息     Copyright©️2019-2021 ANXINSEC All Rights Reserved | 京ICP备19024522号-1 |  京公网安备 11010802033723号

试用申请

提交申请成功后,我们会及时与您联系以提供专业的安全服务。

发送验证码
试用产品选择

申请提交成功

感谢您的申请,我们会及时与您取得联系。

关注安芯官方微信公众号,了解更多公司消息

系统信息检测平台
当前版本:v3.0.12
文件大小:19.3MB
更新时间:2020.07.24