德昌| 庐山| 安康| 嘉善| 许昌| 南乐| 高碑店| 马关| 韦德1946 新万博体育登录网址 阿勒泰| BR88app.COM官网 青白江| 嘉鱼| 龙湾| ww优德88 察哈尔右翼中旗| 泾阳| 嘉义县| betway体育 巴中| 大同市| fun788 东兴| 大发888 manbetx 长子| 万博app 岱山| 眉县| 云浮| 吉首| uedbet为什么谢幕 manbetx登录 山亭| 志丹| 洱源| weide 香河| 叶县| 阳朔| 韩城| 贾汪| 库尔勒| 韦德1946 合山| 呼玛| uedbet dafabet手机版登 鄂托克前旗| 仁寿| 开县| 宾县| 大同县| dafa888bet 南溪| 韦德1946 马鞍山| 勉县| 新万博manbetx客户端 平凉| betway88 betway88 成安| 龙江| 万安| 兴仁| manbetx登录 开阳| 垦利| 冠亚娱乐 狗万博app 开江| 海阳| 凤庆| w88俱乐部 洛阳| 河北| 兴国| fun88 狗万万博ManbetX 简阳| 武强| 娄底| 竹溪| bifa888 ca888 理塘| 肃宁| 永兴| 保山| 莫力达瓦| 阳原| 郾城| 汪清| 仁布| 罗源| 桓台| 大奖888 勉县| 丹棱| 台北县| 单县| 丹棱| 集安| 桐城| 阜城| 万博体育app官网 蔚县| 大发888bet 宁海| 寰宇浏览器是赌博的吗 昌平| 长安| 白河| 狗万manbetx 平乡| 通化县| 沈丘| dafa888 宽甸| 白银| 亚洲城ca88电脑版官网 东丰| 汕尾| 高县| 始兴| bwin必赢 dafabet手机版中文 阿荣旗| 万博体育彩票 长岭| 阜新市| 陕县| 吴江| 冠亚娱乐 兰溪| 临江| 开鲁| betway 无棣| manbetx网页 长泰| dafabet黄金娱乐场 聊城| 新万博manbetx登录 泰州| 旌德| 永济| 揭阳| manbetx娱乐 江都| 潜江| 周至| uedbet回归 威县| 云林| betway88 商水| 威海| 信阳| 永新| 玉树| 武安| 万博app信任 dafa888bet 三河| 景德镇| manbetx体育 西沙岛| 田林| 手机寰宇浏览器官网 襄樊| 揭阳| 大奖888 京山| br88 福海| 迁安| 张北| 工布江达| 伊宁县| 东阳| 万博manbetx官网 武当山| w88 大奖88 dafa888黄金版娱乐场 宁武| 庐山| 连州| 华安| 东阿| 大发时时彩中奖助手 利川| 滨海| 大发时时彩下载 佛山| 随州| 冠亚娱乐 邵东| 万博体育官网登陆 manbetx官网 fun88 宁安| 伊通| 丰县| betway手机客户端 dafabet 蓬溪| 西畴| 余庆| 大丰| 峨山| manbetx万博 商丘| 大发888黄金版娱乐场 察哈尔右翼后旗| BR88 新万博2.0 囊谦| 洪雅| manbetx客户端 狗万博 安丘| 大发888下载 恩施| 天峨| 和布克塞尔| 邗江| 思南| 万博manbetx 平利| ca88官网 夹江| 南江| 武清| 杂多| 大兴| 崇左| 冠亚彩票娱乐 bwin888 韦德1946 manbetx网页 大发888bet 寰宇浏览器是赌博的吗 玉龙| betway必威 黄冈| 北仑| 西山| 林州| 邓州| 台北县| br8847 漳县| 醴陵| 涠洲岛| 古交| 洛阳| dafa888bet 高平| 冠亚娱乐br88 br官网 行唐| betway必威 永安| 郾城| 许昌| 铜陵县| 汶上| 平罗| 3344222 湘阴| dafabet真钱娱乐手机版 亚洲城客户端下载官网 开平| 安达| 孟连| 阿拉善左旗| betway 梅县| manbetx娱乐 榕江| betway 大奖888 亚洲城电脑客户端网址 br88 上高| 新丰| 3344222 3344333 冠亚彩票 必赢bwin 亚东| 新竹市| 新万博 景县| dafabet888 容县|

人民日报评论部:涵养全社会的法治意识

2018-12-13 08:32 来源:中国经济网

  人民日报评论部:涵养全社会的法治意识

  3344222从站起来、富起来到强起来,中国道路越走越宽,社会主义优越性愈发彰显。虽然这是常识,但常识中的伦理有时是用血验证的,万州事件就是一个例子。

  共享新成果  “以共进为动力、以共赢为目标,走出一条互信共治之路,让网络空间命运共同体更具生机活力。(曹燕)

  此举为本届文博会媒体新闻中心提供了强有力的技术支撑,从技术上保障了各媒体全方位、宽领域、广覆盖的新闻报道工作。  值得注意的是,2017年语音直播突起,如音频公司荔枝的语音直播上线3个月收入就过千万元。

    许多富有才华的网友正是通过版权产业实现了人生的“逆袭”。不同于商业大片刻意营造的感官效果,影片从生活质感、情感内核、视听诗意几方面精心打磨,宛如清泉滋润泥土,带来久违的涤荡人心的观影感受。

少数自媒体没有靠技术创新吃饭的真本事,也没有靠知识文化吃饭的真功夫,而是罔顾法律法规、公序良俗,靠发布博出位、“无下限”的内容,去吸引流量,夺人眼球,追求10万+,标题党、谣言、黑公关、“洗稿”,有的甚至发布低俗色情内容……“吸睛”的手段无所不用其极,严重影响了整个自媒体的形象,破坏了网络舆论生态。

  二是历史使命。

  MenheraChan由日本JOYNET株式会社制作出品,并于2017年面世,是Visionet画师创作的LINE表情包及其衍生作品中的登场角色。可叹的是,先进硬件之质量,似乎与享受它的一些人的素质没有同步。

  面对如此惊人的价格,有作者发出感叹:“谁说内容不值钱?内容创业的春天来了!”  高涨的版权价格促使各大网络平台加大了自制内容的生产力度。

  结合他营销学专家的身份,之后的内容主要落点在营销,从品牌内涵到文旅产业。”京东金融研究院院长孟昭莉说。

  也只有实现了从相加到相融,主流媒体才能不断提升传播力引导力影响力公信力。

  大奖888《印迹》一书由人民出版社出版,全书60万字,分为上下两卷,共收录刘超美文章131篇,包括特色发展、人才培养、改革创新、党的建设4个篇章,从不同角度记录了一个具有鲜明特色的出版传媒高校不断发展的足迹,也从不同侧面记录了北京印刷学院在出版传媒人才培养上所作的贡献。

  他说:“如果用户的心理预期高于实际达到的效果,这种项目或公司将来会非常危险。对此,网友纷纷点赞,认为此举“给力”“来得正是时候”。

  万博体育官网登录 manbetx ca88亚洲城娱乐老虎机

  人民日报评论部:涵养全社会的法治意识

 
责编:
最近内网被人捅了,然而我们居然一个星期都没发现,直到情报收到消息才知晓。镇定思痛,开始研究横向移动的问题。 攻击者进入到目标网络后,下一步就是在内网中横向移动,然后再获取数据,所以攻击者需要一些立足点,因此横向移动会包含多种方式。本文关注于在横向移动中所采用的技术手段,以及对应的案例和检测方法。

攻击者进入到目标网络后,下一步就是在内网中横向移动,然后再获取数据,所以攻击者需要一些立足点,因此横向移动会包含多种方式。本文关注于在横向移动中所采用的技术手段,以及对应的案例和检测方法。

一、 APPLE脚本攻击

AppleScript是苹果的脚本语言, OS执行AppleScript。那么问题就来了,攻击可以用这个功能和SSH连接,也可以向远程发送交互对话框。虽然不能远程启动应用,但如果远程应用已经起来的话,就可以交互控制了。而且由于AppleScript的脚本语言特性,可以用python搞反向shell。

1、案例

   去年有一个案例,攻击者把恶意代码隐藏在Excel的属性里,打开后能看到Powershell代码。

image.png

使用AppleScript:

   脚本在Mac用Office相同的权限运行,代码尝试连接恶意服务器。

image.png

2、防范措施

   所有AppleScript都有开发ID签名,防止随机AppleScript代码执行。监控osascript执行AppleScript。

二、 软件安装

   根据权限,在目标范围内安装软件,也包括软件的自动更新下载。

1、案例

   最著名的就是APT32了,居然入侵了McAfee的ePO服务器进行恶意软件分发,而且用的还是ePO专有协议。真的很用心了。

2、防范措施

   对安装应用权限进行回收,包括防火墙,账户权限隔离,组策略和多因素验证,确保关键系统的访问隔离。定期打补丁,防止特权升级。

    监控应用安装情况,应用安装固定在某个时间段,这样可以发现非正常时间段的异常安装,监控系统账户活动。

三、 DCOM

   DCOM是微软的透明中间件,可以让客户端调用服务器,一般是DLL或EXE,其中权限由注册表的ACL指定,默认只有管理员可以远程激活启动COM对象。通过DCOM,攻击者可以使用Office执行宏,甚至可以直接的shellcode。

1、 案例

   POWERSTATS是个利用WORD钓鱼的APT工具,整个流程如下。其中PowerShell包含了一个risk的命令,则是利用了DCOM对象执行代码。

image.png

image.png

2、 防范措施

   用Dcomcnfg.exe禁用DCOM或修改安全范围。启用Windows防火墙,默认阻止DCOM实例化,启用所有COM警报和Protected View。

   监控COM对象加载DLL。监控COM对象关联的进程的生成,特别是和当前登录用户不同的用户调用。监控RPC流量的进入。

三、远程服务提权

   利用漏洞实现对远程系统访问,通常先是扫描查找漏洞系统,有一些很常见的漏洞比如SMB、RDP、MySQL以及各种Web,然后利用这些漏洞提升权限。

1、案例

   APT28,来自俄罗斯,针对酒店业。在ORD里包含一个宏,然后部署恶意软件,为了在酒店内传播,利用了永恒之蓝SMB漏洞的一个版本。

2、防范措施

   安全域细分,减少对关键系统和服务的访问。服务最小化。定期扫描服务,发现新增和有漏洞的服务。最小化服务账户权限和访问权限。服务器定期更新补丁。

   Windows 的Defender攻击防护套件,还有个EMET增强性套件,不过今年7月底就不再提供支持了。

四、 登陆脚本

   Windows可在登录系统时运行登录脚本,脚本可以执行管理功能,比如执行其他应用,发送日志之类。攻击者可以在这个脚本里插入代码,这样登陆时就可以执行攻击。既可以本地持久性,也可以全局推送。

   Mac也有类似功能,和启动项不大一样的是,登录以root身份执行。所以也存在脚本插入代码的问题。

1、案例

   又是APT28,在注册表HKCU\Environment\UserInitMprLogonScript添加木马建立持久性。

2、 防范措施

   登录脚本写权限限制为特定管理员,限制账户访问权限。应用白名单,例如AppLocker。监控异常用户、异常时间、异常访问登录脚本。查找异常帐户添加或修改的文件。

五、 Hash传递

    Hash传递,绕过标准身份验证,直接进入Hash验证部分,这个技术能够捕获账户的有效密码哈希值。

1、 案例

这类案例就比较多了,APT1,APT28,APT29,Mimikatz等等都是。例如Mimikatz的SEKURLSA::Pth模块可以模拟用户,只使用密码哈希,来执行任意命令。

image.png

2、 防范措施

    监控日志,查找异常登录。KB2871997补丁,限制本地管理员组中帐户的默认访问权限。NSA有个向导可以参考:https://github.com/nsacyber/Windows-Secure-Host-Baseline/blob/master/Windows/Group%20Policy%20Templates/en-US/SecGuide.adml

六、 Ticket传递

   Ticket传递使用Kerberos进行身份验证,可以用作横向移动的第一步。Credential Dumping捕获Kerberos凭证。

1、案例

   BRONZE BUTLER,疑似来自中国开发者,面向日本的APT工具。其中也包含了Mimikatz,能够创建伪造TGT和TGS。

image.png

2、防范措施

   监控日志,查找异常登录。确保本地管理员账户密码复杂度,限制域控账户权限,把其他功能委派给单独账户。重置KRBTGT帐户密码两次,能够让黄金票证无效,重置两次后使用黄金票证时,域控会生成事件ID 4769,其中的状态代码0x1F表示:由于“解密字段上的完整性检查失败”而导致操作失败,这就是一个典型特征。应用白名单,例如AppLocker。

七、 远程桌面协议

   RDP协议大家都知道的,攻击者可以利用RDP连接远程系统,同时也可以进行RDP会话劫持。

1、 案例

由于RDP的可交互性,这类案例也比较多,APT1,APT3,APTSim等。

2、防范措施

  禁用RDP,从远程桌面用户组删除不必要的账户,启用防火墙禁止RDP流量。如果需要用RDP,则限制远程用户权限,并进行多因素认证。禁止RDP通过互联网访问。

   监控短时间内访问多个系统的行为。

八、 远程文件复制

文件复制差不多是横向移动的必选动作了,用到的工具可能有FTP,scp,rsync等之类,也有可能是Windows共享或RDP。在Linux,macOS,Windows三种平台都有。

1、案例

   就不举例子了吧,太多了,是个APT就带这个功能。工具也包括各类外部恶意代码下载。

2、防范措施

   IDS可以通过签名识别恶意软件流量,也可识别FTP数据传输。但攻击者一般会进行混淆,而且各种恶意软件家族版本都不同。

   监控文件创建行为,监控SMB传输文件。分析网络数据,例如发送数据多于接收数据这种,就比较可疑。分析不常见的协议和端口。

九、远程连接服务

   例如telnet,SSH和VNC之类。

1、 案例

    GCMAN,根据报道至少感染了30个国家的金融机构,窃取百万美元。工具结合了社工,恶意软件,横向移动工具长期持久性从ATM和汇款系统窃取资金,横向移动则使用了Putty和VNC。

image.png

2、防范措施

   限制使用远程服务的帐户数量。尽可能使用多因素身份验证。限制具有较高风险的帐户的权限;,例如配置SSH让用户只能运行特定程序。

   监测上需要把登录和其他可疑活动关联,例如横向移动之前,攻击者需要尝试发现目标,可能会进行扫描。

十、可移动介质复制

   把恶意软件复制到可移动介质,并且执行autorun功能,这种攻击在某些物理隔离的场景下很有用。

1、案例

之前有个Agent.btz,针对五角大楼的APT,能够感染U盘这种移动介质,自动创建autorun.inf文件,并且加载恶意软件。从而绕过了物理隔离的防御。类似还有APT28、DustySky等。

2、防范措施

禁用自动运行。策略禁止移动介质。白名单工具。

监控移动介质上的文件访问以及从移动介质上启动的进程,关联后续动作例如打开命令行,连接网络等行为。

十一、SSH劫持

  通过破坏SSH代理或socket,劫持另一个现有连接来建立信任会话关系,比如攻击者有root权限,那劫持会话就轻而易举了。

1、 案例

好消息是目前还没发现有什么工具带有这个功能,但这并不能表示没有。

2、 防范措施

    SSH密钥对强密码,不使用ssh-agent这种带有密钥存储的工具,经常轮换。设置权限防止提权,禁止root身份SSH访问。禁用代理转发。

   需要关联行为监测,例如短时间内连接多个主机,不同用户使用的同一个套接字。

十二、WEB共享

   在网站的开放目录放置恶意文件,然后在内部通过浏览器下载执行

防范措施:

    内部系统隔离。Web服务器设置权限,禁止远程访问webroot等目录,禁止目录执行权限。

监测web服务器文件写入的进程和异常时间。

十三、共享文件污染

   共享服务器中的文件被污染。其中有一个技术称之为数据透视,不是excel的那个透视,是对.LNK文件的快捷方式修改,看起来像是真实目录,但其中嵌入命令执行,同时又打开真实目录,让用户误以为操作正常。

1、 案例 

   例如Darkhotel,一个针对企业高管的APT。在服务器上看到的.LNK是下图这样。

image.png

   但实际上隐藏了:

image.png

而实际负载是:

.\Windows\system32\cmd.exe /c start explorer.exe “Intel” & type “3b5a5b29263677d600.exe” > “%temp%\3b5a5b29263677d600.exe” &&

“%temp%\3b5a5b29263677d600.exe”      

    这种方法能够在几个小时内快速传播并且提权。同样的案例还有H1N1,Miner-C。

2、 防范措施

用户写权限最小化。EMET。禁止目录共享。白名单。

   监控多文件写入共享,监控移动介质关联的网络连接,扫描共享目录恶意文件、隐藏文件、.LNK文件和其他罕见类型文件。

十四、软件部署系统

   例如SCCM,赛门的Altiris这类部署系统,攻击者获得权限后则可以利用部署系统横向移动,这个范围就比较凶残了。

1、 案例

  典型的Wiper,利用了Ahnlab(韩国一个杀毒软件)的推送功能,把恶意软件推送下去。赛门的Altiris也被TG-1314利用过。

2、防范措施

    软件部署系统安全性评估,权限控制,网络隔离,定期升级防止提权。

    三方软件一般都有自己的日志,可以用来和其他行为关联。例如推送是定时的,超出这个时间之外一定是异常。监控系统的账户活动情况。

十五、隐藏共享

Windows有个隐藏网络共享,C$,ADMIN$,IPC$等,只有管理员有权限访问。net use也具有等价权限。

1、案例

   这种Windows自带的工具是最受欢迎的,能够减少文件存储占用还具有良好通用型。APT3会将文件复制到Windows Admin共享,Deep Panda使用net use,FIN8枚举主机上的C $, SierraAlfa通过SMB 访问共享以进行横向移动。

2、防范措施

   不要跨系统重用本地管理员帐户密码。确保密码复杂性和唯一性,确保密码不会被破解或猜测。拒绝远程使用本地管理员凭据登录系统。不允许域用户帐户位于多个系统的本地Administrators组中。

   监控账户登录日志,监控文件传输、远程登录日志。

十六、WinRM

   winRM服务是PowerShell的远程管理,开启它可以很大程度的方便用PowerShell操控。TG-3390

1、案例

   TG-3390先拿webshell,然后利用winRM开启PowerShell。

image.png

2、防范措施

禁用WinRM服务。配置身份验证方法和主机防火墙限制WinRM访问,仅允许与特定IP通信。

监控WinRM使用,监控WinRM调用脚本创建的进程和操作。

1

取消
Loading...
css.php