微軟安全研究人員發(fā)布網(wǎng)絡(luò)安全工具NetCease

　　現(xiàn)在很多用戶在上網(wǎng)的時(shí)候經(jīng)常受到“黑客”的干擾，也許在不經(jīng)意間，我們的數(shù)據(jù)就已經(jīng)泄露了。上周，微軟的兩名安全研究人員發(fā)布了一款名為NetCease的網(wǎng)絡(luò)安全工具，這款工具能夠保護(hù)用戶在上網(wǎng)的過(guò)程中不受到偵查攻擊。

　　兩名微軟安全研究人員（Itay Grady和Tal Be‘ery）于上周發(fā)布了一款名叫NetCease的新工具，旨在幫助系統(tǒng)管理員保護(hù)他們的網(wǎng)絡(luò)不受到偵查攻擊。“偵查攻擊”（reconnaissance attack）可簡(jiǎn)單理解為“網(wǎng)絡(luò)掃描”，此時(shí)攻擊者多處于尋找入口點(diǎn)的早期階段，但在摸透了本地網(wǎng)絡(luò)的敏感點(diǎn)之后，即有可能導(dǎo)致嚴(yán)重的數(shù)據(jù)泄露。

　　作為一個(gè)PowerShell腳本，這款工具可以應(yīng)對(duì)攻擊者通過(guò)中小企業(yè)里存在的NetSessionEnum手段，從本地設(shè)備收集數(shù)據(jù)。在企業(yè)網(wǎng)絡(luò)中，大多數(shù)計(jì)算機(jī)是通過(guò)一個(gè)核心域控制器（DC）來(lái)互相連接的。

　　任何用戶（包括網(wǎng)絡(luò)中未經(jīng)身份驗(yàn)證的用戶），都可在聯(lián)網(wǎng)后通過(guò)NetSessionEnum查詢其它用戶，并獲取計(jì)算機(jī)名稱、IP地址、通過(guò)DC建立會(huì)話的用戶名、以及會(huì)話活動(dòng)/閑置的時(shí)長(zhǎng)。

　　鑒于會(huì)話建立的時(shí)間為90分鐘，攻擊者可以大體上摸清這個(gè)網(wǎng)絡(luò)，以及可以攻擊的其它目標(biāo)，而且可以通過(guò)BloodHound等自動(dòng)化pen-testing工具實(shí)現(xiàn)，簡(jiǎn)化了攻擊者的工作（一鍵掃描）。

　　研究人員解釋到，管理員可以在網(wǎng)絡(luò)所有計(jì)算機(jī)上運(yùn)行這個(gè)PowerShell腳本，它可以變更一個(gè)“控制誰(shuí)能查詢本地計(jì)算機(jī)DC會(huì)話數(shù)據(jù)權(quán)限”的本地Windows注冊(cè)表鍵值。

　　在NetCease工具更改了這個(gè)注冊(cè)表鍵值之后，未經(jīng)授權(quán)和低權(quán)限用戶就不再能夠查詢相關(guān)數(shù)據(jù)。Grady說(shuō)到：

　　“鑒于當(dāng)前唯一能夠變更默認(rèn)NetSessionEnum許可的手段是‘手動(dòng)編輯十六進(jìn)制的注冊(cè)表項(xiàng)目’，我們特意撰寫了這款‘NetCease’工具。這是一個(gè)短巧的PowerShell腳本，能夠改動(dòng)這些默認(rèn)的權(quán)限，以組織攻擊者輕松獲得有價(jià)值的偵查信息。”

　　現(xiàn)在NetCease工具可以從微軟官網(wǎng)的TechNet門戶下載，如果有需要或者想體驗(yàn)這個(gè)工具的用戶可以自行前往微軟官網(wǎng)下載。