在本文中,您将学习如何在 Linux 上快速安装复杂之眼客户端。
登录到复杂之眼后,打开客户端下载页面,找到 MELinux_Install.txt,并点击右侧下载按钮:
点击下载后,当前浏览器会在新标签页自动展示 MELinux_Install.txt 内容,如下图所示:
登录到欲安装复杂之眼的 Linux 系统,使用 root 身份运行安装命令,如下图所示:
最后一行若显示 ok,表示安装成功,通过运行 ps 命令可以进一步确认客户端的运行状态:
随后,您可以登录复杂之眼,打开终端发现页面完成终端绑定操作。
在一切完成后,复杂之眼 Linux 客户端将应用最新安全策略,您可以在复杂之眼中对终端进行安全管理与调查。
文章于 2024 年 3 月 20 日被更新
在本文中,您将学习如何在 Windows 上安装复杂之眼客户端,并了解到复杂之眼的客户端安全接入策略。
登录到复杂之眼后,打开客户端下载页面,找到 MESetup_win64.exe 和 config.ini,下载并拷贝至需要部署的终端系统中:
将 config.ini 与安装程序放置在同级目录下,然后打开安装程序:
点击下一步,并接受许可证协议:
(重要) 配置安装参数:
请根据实际情况对附加选项进行勾选,然后点击安装。
(注意:点击安装前,请再三确认附加选项是否合理,若您不了解或不能确认,请及时与密思听技术支持或产品销售方指定的客户技术服务人员取得联系)
完成安装,并可根据实际环境选择是否立即启动复杂之眼客户端程序。
(虚拟机模板部署场景:如果您正在部署的系统是一个即将克隆部署拟机模板,请确保取消立即启动勾选框,并在克隆部署前避免系统启动操作)
若想完成新终端接入,需打开复杂之眼终端发现页面:
从未绑定的终端系统中确认接入信息后,点击终端绑定,完成新终端接入。
(如果您不能确认某些未接入的终端信息,则表明您的客户端安装程序可能被泄露,为了避免未经授权的客户端策略应用或发生可能违反规定的未知数据来源,请及时与密思听技术支持或产品销售方指定的客户技术服务人员取得联系)
在一切完成后,复杂之眼客户端将应用最新安全策略,您可以在复杂之眼中对终端进行安全管理与调查。
为了帮助终端用户迅速清除已知有害的或常被滥用于网络攻击活动的文件,我们发布了哨兵反病毒引擎,它可以大大的增强复杂之眼客户端的本地病毒查杀能力。
随着恶意程序变种与混淆操作的普遍流行,基于静态特征的反病毒程序早已不能够有效的应对现代网络攻击,但漏洞驱动利用攻击技术(BYOVD)和一些特殊的漏洞利用场景,使我们意识到传统反病毒技术依然有继续存在的必要性:
我们建议需要严格保护的终端系统额外部署哨兵反病毒引擎。
复杂之眼客户端版本 >= 1.11.5.14
登录到复杂之眼后,打开客户端下载页面,找到 SentrySetup_win64.exe,下载并拷贝至需要集成部署的终端系统中:
打开安装程序:
点击下一步,并接受许可证协议:
完成:
BYOVD场景追踪与威胁防护 - 看雪专栏
攻击技术研判 | 典型BYOVD利用与Ring0防御削弱技术研判 - FreeBuf
复现Microsoft Exchange Proxylogon漏洞利用链 - 先知社区
网络攻击者在获取到一个主机系统权限后,往往会尝试渗透并控制网络中的其他主机系统,以获得更多的访问权限和更多的网络活动范围,这被称为横向移动,绝大部分攻击者尝试过使用 Impacket 中的 Wmiexec 进行横向移动。
我们发现,近期有很多基于 Impacket 的图形化网络渗透工具的发布,这说明,这款流行了 8 年之久的工具集终于被脚本小子们关注到,并将更广泛的应用于各种意图的网络攻击中。
Impacket 是一个用于操作网络协议的 Python 开源工具集,包含多个用于远程服务执行、Windows 凭据转储、数据包嗅探和 Kerberos 操作的工具。其中,wmiexec.py 经常被应用在各种网络攻击活动中,它可以通过远程系统开放的 Windows Management Instrumentation (WMI) 合法服务,在远程系统上执行任意 cmd 命令。
虽然 WMI 是合法服务,但这不表示所有使用 WMI 的行为者都没有恶意,尤其是使用 wmiexec.py 的行为者,所以我们将重点关注 wmiexec.py 的行为特征,下面我们将通过模拟攻击来重现这些行为。
我们准备了两台 Windows Server 2019 x64 虚拟机,其中一台用于模拟攻击者(A),在 A 主机中下载并安装脚本小子喜欢使用的 Impacket 图形化操作工具:
另一台模拟被横向移动的目标远程主机(B),部署复杂之眼客户端,并确保 WMI 服务与 DCOM 135 端口和 SMB 445 端口处于可用状态,如下图所示:
在 WMIEXEC 操作页中填写 B 的 IP、管理员用户名、密码(或 NTLM) 和将要执行的 cmd 命令,点击执行,如下图所示:
命令结果框中返回了 wmiexec.py 的运行结果,我们继续通过这种方式执行 ipconfig 与 net user 命令,全部成功。
接下来,在复杂之眼端点检测与响应系统中寻找上述 cmd 命令执行痕迹,如下图所示:
打开这些行为日志,我们发现了有趣的命令行细节:
当我们执行命令时,wmiexec.py 会通过执行附带 /Q 和 /c 参数的 cmd.exe,间接运行我们的命令,如 whoami,然后将全部命令结果通过管道符写入 ADMIN$ 共享目录的随机文件中,我们在 wmiexec.py 源码中可以找到对应部分实现:
接下来我们寻找这些 cmd.exe 的父进程,这样有助于我们了解 wmiexec 横向移动的目标作用主体,如下图所示:
所以,wmiexec.py 在目标主机上进程行为关系链为:wmiprvse.exe->cmd.exe,我们可以结合该进程关系与上述的特殊 cmd.exe 命令行特征制定针对 wmiexec.py 的检测规则。
此时,复杂之眼端点检测与响应系统中已经完成了全部的相关威胁检测与自动关联:
完全确认当前网络环境中不存在此类行为后,我们可以对 wmiexec.py 进行自动拦截,再次通过 Impacket 图形化工具执行 whoami 命令,已无法获取命令执行结果:
目标主机中弹出复杂之眼端点安全警报,指示了一个被阻止的恶意进程启动:
再次刷新威胁细节页面,可以观察到被阻止的进程与相关警报:
随着 Impacket 图形化工具的流传,从不了解 wmiexec 实现原理的脚本小子也可以快速的进行危险的横向移动操作,通过对实际操作的过程复现与行为分析,我们总结了一个针对 wmiexec 的策略,并通过复杂之眼端点检测与响应系统帮助您预防 wmiexec 横向移动。
您可以在您的网络中自行通过 Impacket 图形化工具,验证您已经部署的其他终端安全软件是否可以抵御这个古老且有效的横向移动操作 :)
文章于 2024 年 6 月 24 日被更新
由于 SHA-1 算法的安全性问题,自 2019 年 8 月 13 日起,所有的 Windows 更新签名从 SHA-1 或 SHA-1/SHA-2 双重签名已变更为仅 SHA-2 签名。为了无感适配过旧的 Windows 操作系统,复杂之眼客户端使用了第三方合作伙伴尚未过期的 SHA-1 代码签名证书,但合作现已终止。
从现在开始,适用于 Windows 的新版本复杂之眼客户端(包括自动更新)将只使用微软的 SHA-2 数字签名。
欲部署复杂之眼客户端到以下版本操作系统,需要在系统中安装 SHA-2 代码签名支持更新。
| 操作系统版本 | 受影响的复杂之眼客户端版本 | 需要的微软安全更新 |
|---|---|---|
| Windows Server 2008 R2 64 位 | > 1.10.2.27 | KB4474419, KB4490628 |
| Windows 7 SP1 64 位 | > 1.10.2.27 | KB4474419, KB4490628 |
请注意:KB4474419 更新安装完成后需重启系统。
由于这些版本 Windows 操作系统的生命周期已经结束,在未来,若更新下载地址失效,请使用备用下载地址:KB4474419, KB4490628
已经在以上版本操作系统中安装了复杂之眼客户端的用户,请尽快应用解决方案,以保证不间断的终端安全保护。
若您在应用解决方案的过程中遇到了任何问题,请联系密思听技术支持或产品销售方指定的客户技术服务人员。
以 Windows Server 2008 R2 英文版为例,点击 Computer:
点击 Uninstall or change a program:
点击 View installed updates:
若出现的已安装的更新列表中存在 KB4474419 和 KB4490628,则不需要应用解决方案或已经完成应用;列表中缺少的更新应参考解决方案及时补全。
针对 Windows 和 WSUS 的 2019 SHA-2 代码签名支持要求 - Microsoft
驱动程序签名策略 - Microsoft
弃用软件发行者证书、商业发布证书和商业测试证书 - Microsoft
DigiCert Stopped Issuing SHA-1 Code Signing Certificates - DigiCert
deprecation of SHA-1 - Sectigo
Upcoming Changes to CodeSigning - GlobalSign
2023年8月23日,密思听科技在 2023 巅峰极客网络安全技能挑战赛总决赛中获奖。
密思听科技将复杂之眼端点检测与响应系统(MultiEye EDR)作为创新创业赛道的参赛项目。
在总决赛中,密思听科技详细的介绍了复杂之眼的技术特点,提出了当前网络安全建设中的不足之处,并从科学角度证明了复杂之眼在网络安全防御领域中的先进特性,获得了在场评委们的一致认可。
巅峰极客网络安全技能挑战赛是在四川省互联网信息办公室指导下,由成都市互联网信息办公室、成都高新技术产业开发区管理委员会联合主办的网络安全赛事品牌,目的是持续吸引网络安全领域人才和企业落户蓉城,大力推进网络安全技术人才培育和企业招引。
自 2018 年首届举办以来,巅峰极客网络安全技能挑战赛已发展成为国家性网络安全知名赛事品牌。
为进一步营造创新创业浓厚氛围,强化创新赋能引领,本次大赛首次开启网络安全创新创业大赛赛道,瞄准网络安全领域存在的关键问题,吸引全国相关专业人才、网络安全企业、创客开展技术攻关,形成成果转化,解决制约产业链发展的技术难题,减轻突发网络安全事件的危害。
密思听科技是一家研发并提供网络安全产品的网络安全公司,拥有超过万亿计次的安全事件数据分析经验,通过复杂之眼下一代端点检测与响应系统(MultiEye EDR),揭露网络中的恶意活动者,可以向客户提供优质的终端安全防护、快速应急响应、调查取证与高级威胁狩猎服务。
无文件攻击是一种通过滥用操作系统内置工具,完全在进程内存中执行恶意代码的技术,攻击者不会向文件系统中写入任何文件。
由于文件系统中没有任何可供检测的文件数据,所以,这种攻击方式在原理上可以完全绕过基于病毒文件特征库、沙箱和使用云查杀的网络安全产品。
1.初始访问
在最初,攻击者可能会使用我们其他文章中介绍过的任何漏洞对目标系统进行攻击,获取系统的初始入口点。漏洞类型包括但不限于文件包含、代码执行和反序列化漏洞。
攻击者在这个阶段可能没有进行任何文件的写入。
2.执行
随后,攻击者会通过入口点进行恶意代码执行,例如:使用 PowerShell 或 Cmd 执行恶意代码、植入无文件内存 WebShell、使用 whoami 或 ipconfig 等命令收集系统信息等。
这些操作同样不会有任何的文件写入行为。
3.持久化
攻击者可能会使用镜像劫持、创建系统启动项、创建系统服务等方式,使得自己的恶意代码可以长期保留在目标系统中,并伺机执行。
大部分持久化技术都不需要写入任何可疑文件,而且他们是正常的系统功能,杀毒软件也无法进行检测。
4.特权提升
当攻击者已经可以在系统中执行恶意代码后,在权限不足的情况下,攻击者也有可能会通过在内存 ShellCode 或内存模块执行特权提升程序,例如 GodPotato 和其他提权技术。
ShellCode 和其他内存模块执行的方式本身就是无文件攻击技术。
5.防御绕过
通过在内存中执行系统功能,破坏或禁用反病毒程序,使其无法正常检测恶意文件。
这样可以更加肆无忌惮的通过无文件攻击在目标系统上活动。
6.凭据窃取
随着攻击技术的普及,在内存中执行 Mimikatz 和其他密码转储程序对攻击者而言,早已成为家常便饭。
在这个过程中,老练的攻击者通常没有任何文件写入操作。
7.横向移动
使用偷来的账号和密码,攻击者通常会使用 SmbExec、WmiExec 和 PsExec 等工具,通过滥用其他系统上运行在 445 或 135 端口上的正常服务,控制更多系统,实现内网横向移动。
这些远程执行方式是 Windows 自带的管理工具接口,不需要向目标系统写入任何文件也可以完全的控制目标系统。
8.重复 1-7
循环上面的这些步骤,
攻击者可以通过无文件攻击技术完全控制内部网络,且不会被反病毒程序发现。
对于无文件攻击而言,使用任何反病毒软件都是毫无意义的,我们应该抛弃过时的基于病毒特征库的检测技术,从攻击指标(IOA)中寻找有效方案。
IOA 是一种可以主动对无文件攻击进行防御的方法,IOA 可以通过行为分析,关联行为序列,寻找可疑的无文件攻击行为;IOA 也更加侧重于找出那些 刻意隐藏自己攻击意图 的人,例如添加不必要的代码混淆、执行看似花哨而实则无用的命令。
程序是否有害,是否使用了某种特定的技术甚至是零日漏洞利用,这些都不重要。最重要的是识别出攻击者正在做的事情是什么,意欲何为,只要识别出了有害意图,无论怎样躲避都是徒劳的。
通过对超万亿级别的行为分析,复杂之眼建立了针对各种终端场景下的 行为基线,可以识别到与正常操作有细微差别的可疑行为,这也被称为 行为偏差检测。
在实战场景中,复杂之眼对于攻击者常用的 WmiExec、SmbExec 和 PsExec 等操作均可以进行灵敏检测,对于这些攻击可能延伸出的异常行为,复杂之眼均可以进行自动阻断,抵御基于无文件攻击的横向移动和内存执行操作。
假设你是网络安全建设或防御负责人,相信针对通达 OA 的渗透测试一定是使你提心吊胆、夜不能寐且辗转反侧的原因之一。
在此篇文章中,我们将给出可以遏制针对通达 OA 进行漏洞利用的策略,及时发现并降低它可能给终端安全带来的风险。
通达 OA(Office Anywhere),是一款适用于企事业单位的通用型网络办公软件,是北京通达信科科技有限公司旗下产品之一。
北京通达信科科技有限公司隶属于中国兵器工业信息中心,简称通达信科。是一支以协同管理软件研发与实施、服务与咨询为主营业务的高科技团队,是国内协同管理软件行业里一家央企单位,中国协同管理软件的领军企业。
为了更好了解产品的自身安全问题,通过对百度搜索信息的公开检索,我们调查了自 2020 年 1 月到 2023 年 6 月,有关通达 OA 的全部漏洞公开情况:
上述 14 个漏洞均允许攻击者完全的控制受影响目标系统,全部为高危漏洞,影响范围极大。
通达 OA 安装时,会以 SYSTEM 权限向宿主系统部署并启动以下主要组件:
主要组件运行关系如下:
结合历史漏洞类型和组件运行关系,我们总结的攻击者通用操作如下:
由于通达 OA 的主要组件默认以 SYSTEM 权限运行,所以,攻击者在获得 PHP 任意代码执行的方式(如 WebShell)后,目标系统就已经完全沦陷,攻击者可能以 SYSTEM 权限进行任何后续操作,包括但不限于系统命令执行、可疑二进制文件上传/运行、窃取系统敏感凭据、部署勒索病毒、搭建机密网络隧道和任何针对内部网络的恶意活动。
不要过于担心,虽然这些漏洞利用和后续操作看起来很可怕,但它们产生的系统行为特征非常明显,我们可以把所有相关行为抽象成以下几种:
相关进程包括:php-cgi.exe、mysqld.exe 和 redis-server64.exe。
这些行为看起来似乎与通达 OA 产品没有任何关系,因为它们完全是通用的渗透测试行为。
通过复杂之眼 EDR 提供的 MEQL 语法,根据上述行为,我们编写了以下示例策略:
(EventType IN ("File Data Write", "File Data Modification") AND
FileExt IN ("php", "php5", "phtml")
OR
EventType = "Network Establish" AND NetworkFlow = "OUT" AND
NetworkRemotePort IN ("445", "135", "139", "3389", "22", "88")) AND
ProcessName IN ("php-cgi.exe", "mysqld.exe", "redis-server64.exe")
OR
EventType = "Process Creation" AND
(ProcessName IN ("cmd.exe", "powershell.exe", "pwsh.exe") OR
ProcessName IN ("whoami.exe", "systeminfo.exe", "ipconfig.exe",
"netstat.exe", "certutil.exe")) AND
ProcessParentName IN ("php-cgi.exe", "mysqld.exe", "redis-server64.exe")为了证实策略的有效性,我们在一台 Windows Server 2019 服务器上部署了通达 OA V11.2 与复杂之眼 EDR 客户端。
部署完成后,使用上述提到的 2020 年 4 月公开的漏洞,模拟攻击者对这个服务器系统进行渗透测试。
使用公开的利用程序一键上传 PHP WebShell
通过 PHP WebShell 执行系统命令,如 ipconfig 和 whoami 等。
从漏洞利用的结果来看,名为 test.php 的 PHP WebShell 被成功部署,但没有命令的执行结果,表明系统命令并没有成功执行,这似乎对渗透测试人员来说不是一个好迹象。
回到复杂之眼 EDR 后台,我们可以观察到目标系统产生了警报,并向安全人员发送了邮件提醒。
安全警报邮件
检测仪表盘
威胁细节
事件猎手
通过前面制定的策略,我们还发现了 PHP WebShell 部署的关键数字证据。
我们并没有针对通达 OA 进行特定的策略指定,而这场游戏却已经结束了。
OA 市场未来会出现新的高危零日漏洞吗?它们可以逃避下一场由我们主导的猎杀游戏吗?
复杂之眼端点检测与响应系统(MultiEye EDR),依托领先的终端安全大数据技术,实现了与传统安全行业完全不同的,基于云的终端安全服务(SaaS EDR),并开展基于云的托管安全服务(MDR),快速地揭露潜藏在客户网络深处的恶意活动者,可以向客户提供网络安全高级威胁狩猎(APT Hunter)、快速应急响应、调查取证与高级别的网络安全咨询服务。
畅捷通 T+ 是一款由 .NET 开发的,采用 B/S 架构的企业管理软件,涵盖了财务会计、成本会计、固定资产管理、预算管理、现金管理、应收应付管理等多个模块,可满足企业财务管理的全面需求。该软件的的应用行业广泛,包括制造业、商贸流通、服务业、金融业等。
2022年8月22日,国家信息安全漏洞共享平台 CNVD 发布了畅捷通 T+ 软件存在任意文件上传漏洞的安全公告。
易受攻击的畅捷通 T+ 版本:
畅捷通 T+(单机版)<= 17.0
IIS 版本 < 10.0官方漏洞修复公告信息:
根据公开漏洞分析,该漏洞存在于 SetupAccount 目录下的文件 Upload.aspx,通过传入 preload=1,可以未授权的进行任意文件上传。此漏洞的 CWE 漏洞类型编号为 CWE-434,属于无限制上传危险类型的文件,漏洞危害等级为高(High)。
攻击者可以向 /tplus/SM/SetupAccount/Upload.aspx?preload=1 URI 发送构建好的恶意请求,以本地系统 SYSTEM 权限进行任意文件上传,通过上传 WebShell 脚本预编译文件到 WebSite\bin 目录下,达成任意代码执行。(该漏洞的利用方式并不唯一)
Windows 环境,安装部署畅捷通 T+ 17.0、SQL Server 2008、CNVD-2022-60632 POC 和冰蝎动态二进制加密 Web 远程管理客户端 V4.0.6。
公开的漏洞存在判定与利用方式:
| 方式 | 作用 |
|---|---|
| WebShell 上传 | 使用 CNVD-2022-60632 POC 上传预编译的 WebShell |
| 通过 WebShell 的命令执行 | 远程命令执行 |
模仿威胁行为者,进行漏洞利用(初始访问)。
操作记录:
模仿威胁行为者,通过冰蝎执行任意系统命令。
操作记录:
复杂之眼(MultiEye)端点检测与响应系统保护客户应对此类攻击,并可以凭借基于行为的攻击指标(IOA)检测与 CNVD-2022-60632 漏洞相关的恶意活动。
CNVD-2022-60632 漏洞利用活动
事件猎手 IOA 攻击指标搜寻:
检索异常的命令执行活动:
ProcessCommandLine IN Contains ("\\TPlusStd\Website\\", "ipconfig", "whoami", "net user") AND ProcessParentName Contains "cmd.exe"https://www.cnvd.org.cn/webinfo/show/8056
https://www.chanjetvip.com/product/goods/detail?id=5c4e9022a070eb00134deb99
https://mrwq.github.io/
https://cwe.mitre.org/data/definitions/434.html
https://github.com/LittleBear4/-17.0CNVD-2022-60632
WebLogic Server 是一款由 Oracle 公司开发的 Java 应用服务器。它是一款高度可扩展的服务器,可用于构建企业级 Java 应用程序和服务,为企业提供可靠的基础设施,以支持其业务应用程序和服务。
WebLogic Server 可以用于构建各种不同类型的 Java 应用程序,包括 Web 应用程序、企业 Java Bean(EJB)应用程序、Java 消息服务(JMS)应用程序、Web 服务和 RESTful 服务等。它还提供了许多高级功能,例如负载平衡、故障转移、安全认证、集成管理和监视等。
WebLogic Server 还支持许多不同的部署模式,包括单个服务器、多个服务器和集群部署。它还提供了广泛的可扩展性选项,包括可以添加各种不同的插件和扩展,以满足不同的业务需求。
2022年12月17日,CVE 分配了 WebLogic Server 漏洞编号 CVE-2023-21839,2023年1月,Oracle 发布了该漏洞的修复方案。
易受攻击的 WebLogic Server 版本:
WebLogic Server 12.2.1.3.0
WebLogic Server 12.2.1.4.0
WebLogic Server 14.1.1.0.0Oracle 漏洞修复公告信息:
从分配的 CVE-2023-21839 信息中了解到,该漏洞为 Oracle Fusion Middleware(component: Core)组件中存在的未授权访问,可通过 T3、IIOP 协议进行远程代码执行(RCE),CVSS3.1 漏洞基础评分为 7.5,漏洞威胁等级为高(High)。
CVSS3.1 漏洞评分可视化展示标记:
该漏洞需要通过利用 OpaqueReference 类和访问私有字段的反射机制来设置远程 JNDI 名称,并将其绑定到 WebLogic 服务器上的对象,从而实现远程代码执行。
Windows 环境,下载 WebLogic Server 12.2.1.3.0、JDK 1.7、CVE-2023-21839 POC 和 JNDI-Injection-Exploit-1.0-SNAPSHOT-all 注入工具。
公开的漏洞存在判定与利用方式:
| 方式 | 作用 |
|---|---|
| JDNI 注入 dnslog 请求响应 | 通过 DNS 请求判断漏洞是否存在 |
| JDNI 注入命令执行 | 远程任意命令执行 |
模仿威胁行为者,进行攻击漏洞探测(初始化)。
操作记录:
模仿威胁行为者进行漏洞利用,使用 Windows 命令添加新的用户账户 webcs。
操作记录:
复杂之眼(MultiEye)端点检测与响应系统保护客户应对此类攻击,并可以凭借基于行为的攻击指标(IOA)检测与 CVE-2023-21839 漏洞相关的恶意行为。
CVE-2023-21839 漏洞利用活动:
事件猎手 IOA 攻击指标搜寻:
检索异常的 dns 请求活动:
EventType = "DnsQuery" AND QueryName IN Contains ("dnslog.cn", "ceye.io") AND ProcessImageSigner Contains "Oracle"检索异常的命令执行活动:
ProcessCommandLine IN Contains ("net user ", "powershell","cmd") AND ProcessParentName Contains "java.exe"https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-21839
https://cvss.js.org/#CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
https://www.oracle.com/security-alerts/cpujan2023.html
https://www.pingsafe.com/blog/cve-2023-21839-oracle-weblogic-server-core-patch-advisory
https://github.com/4ra1n/CVE-2023-21839
https://github.com/welk1n/JNDI-Injection-Exploit