“零号病人”如何防？Azure安全中心告诉你答案

“最小特权”就能高枕无忧？醒醒吧！...

（本文阅读时间：9分钟）

在医学领域有一个叫做“零号病人”的概念，这是指第一个得传染病并开始，扩散病毒的患者。而今天我们的故事就从it，安防领域的“零号病人”开始。

潜伏的威胁，你了解多少？

有经验的it，管理员通常会贯彻“最小特权”原则，一种常见做法是：给公司大部分普通员工创建只，包含完成工作所必需最小特权的帐号，这样不仅可以保证普通员工只能执行，工作需要的程序，访问工作需要用到的资源，借此顺利完成自己的工作；同时也保证了万一，这样的帐号被攻陷，可以尽可能将风险限制在，最小范围内，不至于扩散到其他重要地方。

所以很多员工可能经，常会遇到一些限制，例如无法自行安装某些需要高权限(高，权限)的软件，不能修改电脑上，的某些设置选项，无法访问某些高敏感度，的业务系统等，但完成自己的本职工作通常，都是没问题的。这是为了安全，大家都理解一下吧。

然而攻击手段也在进化，这样的“最小特权”原则在某些情况下，可能依然会失效。当攻击者在攻破企业环境中某，台机器后，可能会长时间潜伏起来，并在这一过程中对域内，情况进行摸排，了解并等待特权帐号。此外攻击者还可以通过暴力破解的方式，尝试获取特权凭据，为之后的横向移动和域，控制进行准备。

例如典型的这类攻击可能是按照如下时间，线的描述来发展的，从成功入侵到长期潜伏再到，最终达成目标，这期间可能会间隔上百天，甚至更久！

最麻烦的是，在整个过程中，攻击者都会擦除其活动痕迹来，更好地隐蔽自己，获得更多时间从而最大化，可能获取到的利益。

Azure安全中心，帮你找出潜藏的隐患

Azure安全中心是一种统一的基础结构安全管理系统，可以增强数据中心安全态势，并为云中（无论是否在Azure中）和本地的混合工作，负荷提供高级威胁防护能力。在该服务的帮助下，我们可以顺利应对三个，最重要的安全挑战：

加强安全态势：安全中心会评估环境，并使我们了解资源，的状态以及它们是否安全。
防范威胁：安全中心会对工作负荷进行评估，并提出威胁防护建议和威胁检测警报。
更快地实现安全性：在安全中心中，一切操作都以云速度完成。由于它以本机方式集成，因此可以轻松部署安全中心，从而通过azure服务为我们提供自动，预配和保护。

接下来我们就一起通过一个虚构的，场景来看看，如何借助azure安全中心发现，潜伏在企业网络中的隐患，以及针对开头提到，的那种情况，如何有效杜绝由于低特权，帐号被攻陷，而导致攻击者通过潜伏和，横向移动造成更大的危胁。

范例场景简介

在这个虚构的场景中，我们将演示如何从一台普通域内计算机，拿到域控制服务器上特权帐号凭据的整个过程。但演示中我们并不会使用木马或其他的，病毒来对服务器进行破坏，而是会使用平时运维中经常，用到的工具。与此同时，我们会在整个环境中的服务器上都，开启azure安全中心，进而看看安全中心是如何理解整个行为，及对应的响应。

下列实验用到的工具包括：

Tool1：在内网渗透中非常，有用的一个工具。它可能让攻击者从，内存中抓到明文密码。一般情况下，只要有本地管理员权限，就能从内存中抓出密码。通常抓到密码之后就，可以进行横向移动和提权。
Tool2：轻型Telnet替代工具，它可以在无需手动安装客户端软件即可执行，其他系统上的进程，并且可以获得与控制台应用程序相当，的完全交互性。Tool2最强大的功能之一是在远程系统和远程支持工具（如IpConfig）中启动交互式，命令提示窗口，以便显示无法通过其他方式显示的有关，远程系统的信息。

本例中的“零号病人”是小王，他的电脑由于一些内因，或外因，凭据已泄露。随后攻击者会借此长期潜伏在小王，的笔记本中，制造一些异常事件，或者纯粹等待，来等到IT helpdesk用户登录到小王，的电脑上进行检修。之后攻击者将凭借IT helpdesk的帐号登录到dc上并进一步窃取，管理员小明的凭据target。

潜伏和攻击过程演练

在订阅中创建两台Windows Server 2012虚拟机，将其放置在同一个Vnet中，一台名为Attacker，一台名为Target，并确保两台虚拟机，可以互相ping通（Ping对方的内网IP，NSG不用做调整也可以Ping通）。

随后对整个订阅开启标准层的，安全中心服务，并自动给订阅中的，虚拟机安装microsoft Monitoring Agent。

这里需要注意：使用安全中心的windows，服务器上会自动启用microsoft Defender ATP传感器，并和Microsoft Defender ATP控制台联动，实时监控诸如Coin Miner挖矿病毒，或者较为复杂的如供应链攻击方式的跨，攻击生命周期的行为检测。

随后我们一起看看攻击者会通过小王的凭据在小王，的电脑上发起何种攻击。

1. 环境勘察

首先，到了一个人生地不熟的域中，自然需要先对域内，的情况希望有所了解，比如在域内登录的，情况下可以查找domain controller目标主机的dns以及当前，dc中的admin group有哪些类别：

从上图可以看到，目标DC名为TargetDC，并且罗列了域中所有的组。之后借助所有列出的组，来查看下在本机上哪些，用户会具备domain Admin的权限：

可以看到helpdesk这个用户，是domain Admin的权限，这将是攻击者，的首要窃取目标。（以上这些事件自然都会，记录在日志中，被安全中心第一时间捕获）

2. 凭据泄露

随后使用Attacker潜伏并等待Helpdesk前来访问。同时会不定期用本机管理员的，方式登录到电脑，使用tool1来窃取，helpdesk的哈希密码：

用tool1拿到本地，机器的凭据后，里面会包含IT helpdesk成员的用户名和密码，其中ntlm串就代表，了helpdesk的哈希密码。接下来我们尝试访问DC的C盘，当前的用户自然会被拒绝。

然而使用Tool1填入获取的凭据后，就可以远程登录到域中，蹦出一个新的窗口。

先来通过Whoami检查当前身份，确认还是Attacker。之后尝试再此访问，targetdc的c盘目录，可以看到，已经获得了访问权限：

当我们能够进入到DC后，当然希望可以获得比，helpdesk更高权限的身份凭据，随后当然就需要在DC域控中安插Tool1类似的工具，继续做潜伏：

在潜伏过程中，我们的目标是拿到，target用户的凭据：

接下来就可以从远程通过Tool2.exe远程登录到DC上运行Tool1来定期获取凭据。

成功后，可以把targedc上的登录，凭据都导出：

之后我们把所需要的，身份target凭据，全部拷贝到本机，的output路径下：

从上图中可以看到，我们已经成功拿到了管理员小明的，帐号信息target。之后就可以通过Pass-the-ticket方式来入侵环境，中的目标dc，以便创建属于攻击者，自己的domain Admin帐号。这样就可以在擦，除所有痕迹后，使用最新的最高权限帐号在域中继续寻找有，价值的数据资产或凭据，而不会引起管理员的注意。

3. 威胁发现

在整个攻击过程中，azure安全中心又发现，了何种事件呢？

我们打开安全中心可以看到，早在Attacker虚机上安装好使用Tool1以后，就报了高危警报，并给出了此次高危警报，的具体目的为窃取凭据：

之后在对targetdc进行远程操作，的过程中，也爆出了两个高危警报：

点开详情可以看到：Target DC受到了攻击。

详细点开两次警报可以看到：

首先在targetdc被远程，登录打开cmd的那一刻，azure安全中心就发出了对应的高位警报并直指可能，发生的窃取凭据的事件。

与attacker机器上，发生的事情一样，当服务器被安装Tool1后也爆出了同样的高危警报。这些警报就已经让，整个攻击在一开始就无所遁形。

===

以上只是针对企业环境较为常见的，一种攻击方式，即通过拿到的非特权凭据尝试，进行域控制，从而建立属于攻击者自己的，特权帐号，借此对整个环境进行后续，更深入和更具威胁的攻击。

在整个过程中，azure安全中心可以从攻击一开始就检测，到攻击者的目的，并汇聚成危险，事件汇报给管理员。

今天的内容，就介绍到这儿，更多信息，请大家参考Azure 安全中心兄弟篇《恶意软件不断升级，企业如何提升防御力》，详解azure安全中心在防御策略上，的超前能力，帮助公司从更多样的维度（时间维度），更细的颗粒度（文件路径级别）来降低公司服务器所，暴露的攻击面。

2019 Microsoft Ignite The Tour 即将到来！微软将把这场汇聚世界前沿科技的开发者，盛宴带到你的身边，本着“求知、求同、求索”的原则，为广大开发者、IT专业人士以及数据分析师提供为期两天的专属免费深度交流培训。

本次活动将在2020年1月13-14日深圳会展中心，2020年3月18-19日上海世博中心举办，开启难忘的Ignite中国之旅。

除了一如既往的专业技术交流，指导——350+专家现场零距离互动与100+深度技术研讨会及培训之外，更是首次实现了免费尊享，技术专家和开发者们，将全程免费参与。

Ignite the Tour·深圳站

已开启报名

即刻扫码注册，尊享超值礼遇！