microsoft

ابزار NetCease ضد هکر جدید مایکروسافت برای مدیران شبکه

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره غیر فعال
 

سلام پژوهشگران امنیتی مایکروسافت موفق به طراحی ابزاری موسوم به NetCease شدند. این ابزار قادر است با ایجاد موانعی فعالیت‌های مکاشفانه هکرها را با دشواری همراه ‌‌سازد. اولین اولویت هکرها در یک حمله مرحله اکتشاف و شناسایی است.

در این مرحله هکرها اقدام به جمع‌آوری اطلاعات مختلفی می‌کنند که در ارتباط با اهداف بالقوه، مجوزهای تخصیص یافته به کاربران و هرگونه داده‌ای است که برای هکرها حائز اهمیت است. ابزار NetCease محصول جدیدی است که ایتای گریدی و تال بری، دو کارشناس مرکز تحلیل تهدیدهای پیشرفته مایکروسافت (ATA) آن‌را طراحی کرده‌اند.

مایکروسافت گفته است این دو کارشناس امنیتی ابزار خود را به منظور ارائه یک توضیح مفهومی در ارتباط با روش‌های دفاع تهاجمی سایبری (Advanced Threat Analytics) به طور رسمی در کنفرانس کلاه سیاه که قرار است در قاره اروپا برگزار شود، ارائه خواهند کرد. این کنفرانس از 11 تا 14 آبان ماه در اروپا برگزار خواهد شد.

 

 

در حالی که این برنامه جزء ابزارهای رسمی مایکروسافت طبقه‌بندی نخواهد شد، اما در قالب Microsoft’s TechNet Gallery در اختیار کاربران قرار دارد. برای دانلود این ابزار به آدرس Net Cease – Hardening Net Session Enumeration مراجعه کنید. به طور معمول هکرها زمانی که موفق به شناسایی اهدافی شوند از تابع NetSessionNum به منظور جمع‌آوری اطلاعاتی درباره نشست‌ها/جلسه (sessions) روی کنترل‌ کننده‌های دامنه (Domain Controllers) یا سایر سرورها در شبکه استفاده می‌کنند. تابع فوق به هکرها این توانایی را می‌دهد تا نام دستگاه، آدرس IP، نام کاربری که متعلق به نشست در حال اجرا است را به همراه مدت زمانی که نشست در جریان بوده است به دست آورند.

 

هکرها از چنین اطلاعاتی برای حرکت در شبکه‌ای که قربانی خود ساخته‌اند استفاده می‌کنند. هر کاربر عضو دامنه به طور پیش‌فرض این توانایی را دارد تا تابع NetsessionNum را از راه دور اجرا کند. اما زمانی که مقدار یک کلید در رجیستری ویندوز (SrvsvcSessionInfo) مورد ویرایش قرار گیرد، دسترسی به تابع فوق سخت‌تر می‌شود. NetCease یک اسکریپت ویژه powershell بوده که قادر است مقدار کلید خاصی را در رجیستری ویندوز تغییر داده تا مانع از اجرای تابع فوق شود. ابزار Netcease یک اسکریپت کوتاه powershell بوده که مجوزهای دسترسی پیش فرض به تابع Net Session Enumeration م(NetsessionNum) را تغییر داده می‌دهد. این رویکرد مانع از آن می‌شود تا هکرها بتوانند به سادگی هر چه تمام‌تر به اطلاعات حساس در یک شبکه قربانی دست پیدا کنند.

لازم به توضیح است که ابزار Netcease به سادگی قابل استفاده است. مدیران سامانه‌ها تنها باید اسکریپت powershell را روی ماشینی که مدنظر دارند (یک کنترل دامنه) اجرا کرده و در ادامه ماشین هدف را یکبار راه‌اندازی کرده تا تغییرات اعمال شود.

کلمات کلیدی:

تمام حقوق سایت برای سلام دیجی و نويسندگان آن محفوظ می باشد