在企业网络信息化建设中，经常会使用AD域（Active Directory Domain）来统一管理网络中的PC终端。在AD域中，DC（域控制器）包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。

在攻防实战中，攻击方会将重心放在DC上，通常向一个或多个用户发送鱼叉式网络钓鱼电子邮件，使攻击者能够在目标网络内的计算机上运行恶意代码。一旦攻击者在企业内部运行了恶意代码，便可以执行侦察以发现有用的资源，以提升权限保留目标主机的访问权限，从而发起恶意攻击。防守方也会聚焦在DC上，期望做好安全防御，避免危害的发生。

近年来，针对企业AD域服务器攻击的事情层出不穷，一旦拥有域控管理权限的域控服务器被攻破，所有加入域的终端和服务器都将被控制，存在被横向渗透直至全网沦陷的可能。例如，2020年微软的典型NetLogon特权提升漏洞事件。2020年08月11日，微软官方发布了NetLogon特权提升漏洞的风险通告，该漏洞评分为10级，几乎所有微软服务器操作系统都受到影响，严重威胁域控服务器安全。由于安全公司Secura发布了相关的漏洞利用程序Zerologon（下载地址：https://github.com/SecuraBV/CVE-2020-1472），因此攻击者可以轻松的利用该漏洞获取到域控服务器的控制权限。

通常，NetLogon特权提升漏洞的攻击方式如下：

图1 NetLogon协议通信流程

如图1所示，其中client challenge攻击者可控，server challenge在每一轮认证过程中都会变化，secret对应于用户密码的Hash，Encrypt的过程采用的是AES-CFB8。

NetLogon特权提升漏洞的原理是没有正确的使用加密算法，在进行AES加密运算过程中，使用了AES-CFB8模式但错误的将其中的一个运算参数设置为全零，这使得攻击者在明文（client challenge）可控的情况下，存在较高的概率使产生的密文全为零，使域控服务器的密码可被修改为空，导致被攻击者获取控制权限，如图2所示：

图2 NetLogon特权提升漏洞原理

同时，利用此漏洞允许未经身份验证的攻击者通过网络访问域控制器，建立易受攻击的Netlogon会话并最终获得域管理员权限。该漏洞特别严重，因为成功利用的唯一要求是能够与域控制器建立连接。使用此访问权限，攻击者可以获取凭据，然后执行攻击。

此外，由于该漏洞具有如下特点，对组织机构的危害比较大。

• 易于访问的攻击媒介（网络）
• 攻击复杂度低
• 对权限或用户交互没有要求
• 对机密性、完整性和可用性的影响很大

可见DC在AD域环境中扮演着重要角色因此会遇到各种各样的高级攻击，而传统安全产品只在应用层或系统层根据表层可感的数据进行监测和防护，在面对新型威胁和内部威胁时，难以在第一时间发现并阻断这些威胁。安芯网盾的内存安全产品使用创新的技术如硬件虚拟化技术、内存行为分析技术等，把安全产品的防护能力从应用层、系统层下沉到硬件虚拟化层，打造了三大能力模块：

1、漏洞防御通过细粒度的监控内存读、写、执行行为，可实时检测内存中存在的堆、栈代码执行、内存数据覆盖等异常行为，结合拦截模块，可以高效防御此类漏洞攻击。

2、内存数据保护系统运行或切换用户时，内存中存有缓存数据，内存安全产品可以对特定进程进行防护，防止第三方工具读取缓存数据。

3、威胁防御内存安全产品可以实时感知内存数据流动状态、程序的具体行为动作并结合访问行为，发现未知威胁。当部署安装了内存安全产品之后，针对Netlogon漏洞类攻击则起到了很好的安全防御作用。以Netlogon特权提升漏洞拦截为例，具体如下图所示：

图3 Netlogon特权提升漏洞

拦截攻击者将攻击目标瞄向Active Directory多数是为了窃取数据、控制内网主机，影响企业的正常运营，危害极大。那么，如何进行有效防护成为阻止此类事件发生的关键。

内存保护技术可以从根本上解决该问题，守住主机安全最后一公里的安全，是防御者应考虑的一个关键点。