網絡安全公司專門通過提供威脅檢測、事件響應和風險管理等服務來保護組織免受數字威脅,確保敏感數據和系統免受網絡攻擊的安全。
他們部署了一系列技術和策略,包括防火墻、加密和入侵檢測系統,以保護網絡和應用程序免受未經授權的訪問、數據泄露和其他網絡風險。
這些公司通常提供咨詢和合規服務,幫助組織滿足監管要求并實施最佳實踐,以在日益復雜的威脅形勢中保持強大的安全態勢。
網絡安全涉及保護計算機系統、網絡和數據免受數字攻擊、未經授權的訪問和損壞。它涵蓋旨在保護敏感信息并確保數據完整性和機密性的實踐和技術。
有效的網絡安全包括防火墻、加密、入侵檢測系統和定期軟件更新等一系列措施,以防御可能危害數字資產的惡意軟件、網絡釣魚和勒索軟件等威脅。
隨著網絡威脅的不斷發展,網絡安全還涉及持續的風險評估、用戶教育和事件響應策略,以適應新的漏洞并確保對潛在網絡攻擊提供強有力的保護。
網絡安全有哪 5 種類型?
網絡安全有多種類型,它們都旨在保護信息和技術的不同方面。以下是五種常見的網絡安全類型:
在不斷發展的網絡安全領域,這 50 家公司以其創新的解決方案、強大的安全措施以及保護組織免受網絡威脅的承諾脫穎而出。每家公司都擁有獨特的優勢和專業知識,確保為各種數字環境提供全面保護。
這些公司處于網絡安全的前沿,提供必要的工具和服務,以保護數據、網絡和系統免受日益增長的威脅。
如何在網絡安全行業找到工作?
在網絡安全行業找到一份工作需要教育、技能、經驗和人脈的結合。
你可以采取以下步驟來增加獲得網絡安全工作的機會:
網絡安全公司做什么?
網絡安全公司提供產品和服務來保護個人、企業和組織免受網絡威脅。
這些公司通常提供硬件、軟件和服務的組合,以防止、檢測和應對網絡攻擊。以下是網絡安全公司提供的一些標準服務:
網絡安全的未來是什么?
網絡安全的未來取決于技術的不斷進步和不斷變化的威脅形勢。以下是一些預計將影響網絡安全未來的關鍵趨勢:
網絡安全的范圍是什么?
網絡安全的范圍包括為保護計算機系統、網絡和電子設備免受未經授權的訪問、盜竊、破壞和其他形式的惡意攻擊而采取的所有措施和實踐。
這涵蓋各種活動,包括保護硬件和軟件、保護數據和信息以及減輕網絡威脅和風險。
網絡安全措施可以應用于各個領域,包括政府和軍事系統、金融機構、醫療保健組織、教育機構和各種規模的企業。
隨著現代世界互聯互通程度不斷提高以及數字技術的普及,網絡安全已成為個人、組織和政府關注的關鍵問題。
網絡安全的一些關鍵領域包括網絡安全、數據保護、身份和訪問管理、端點安全、威脅情報、分析、事件響應和災難恢復。
組織需要一個全面的網絡安全策略,涵蓋所有這些領域,并確保采取適當的措施來預防、檢測和應對網絡威脅。
為什么要聘請網絡安全公司?
聘請網絡安全公司可以為組織帶來多種好處,包括:
公司名稱 | 特征 | 產品/服務 | 免費試用期 |
1. Palo Alto 網絡 | 1.下一代防火墻 (NGFW) | 1.咨詢服務 | 30 天 |
2. Checkpoint軟件 | 1.網絡安全 | 1.網絡安全 | 沒有免費試用 |
3. Akamai網絡安全 | 1. Web 應用程序防火墻 (WAF) | 1. Web應用程序防火墻 (WAF) | 30 天 |
4.卡巴斯基 | 1.防病毒 | 1.防病毒保護 | 30 天 |
5. Trellix | 1.網站構建器 | 1.威脅情報 | 14天 |
更多互聯網精彩資訊、工作效率提升關注【飛魚在浪嶼】(日更新)
你能用被盜的筆記本電腦做什么?你能訪問我們的內部網絡嗎?這是客戶最近想要回答的問題。劇透警報:是的,是的,你可以。這篇博文將帶您了解我們如何獲取“被盜”的公司筆記本電腦并將多個漏洞鏈接在一起以進入客戶的公司網絡。
我們收到了一臺預配置了該組織標準安全堆棧的聯想筆記本電腦。我們沒有得到關于這臺筆記本電腦的任何信息,沒有測試憑據,沒有配置詳細信息,什么都沒有,這是一個100% 的黑盒測試。筆記本電腦進來后,我們打開了裝運箱并開始工作。在我們對筆記本電腦進行調查(BIOS 設置、正常啟動操作、硬件詳細信息等)后,我們注意到遵循了許多最佳實踐,從而消除了許多常見攻擊。例如:
· pcileech /DMA 攻擊被阻止,因為 Intel 的 VT-d BIOS 設置已啟用
· 所有 BIOS 設置都被密碼鎖定
· BIOS 啟動順序被鎖定,以防止從 USB 或 CD 啟動
· Secureboot 已完全啟用并阻止任何未簽名的操作系統
· 由于全盤加密,Kon-boot身份驗證繞過不起作用
· LAN 烏龜和其他通過 USB 以太網適配器進行的響應者攻擊沒有返回任何可用的信息
· SSD 使用 Microsoft 的 BitLocker 進行全盤加密 (FDE),通過可信平臺模塊 (TPM) 進行保護
在沒有其他任何工作的情況下,最后一點,TPM 保護 BitLocker,將成為我們的方式。我們在進行偵察時看到的一件事是筆記本電腦直接啟動到 Windows 10 登錄屏幕。再加上 BitLocker 加密意味著驅動器解密密鑰僅從 TPM 中提取,不需要用戶提供 PIN 或密碼,這是 BitLocker 的默認設置。如果出現以下情況,Microsoft 建議提高安全性:
Attacker with skill and lengthy physical access
Targeted attack with plenty of time; this attacker will open the case, will solder, and will use sophisticated hardware or software.
Mitigation:
? Pre-boot authentication set to TPM with a PIN protector (with a sophisticated alphanumeric PIN [enhanced pin] to help the TPM anti-hammering mitigation).
正如我們將向您展示的,情況并非如此。一個預先裝備好的攻擊者可以在不到 30 分鐘的時間內執行整個攻擊鏈,無需焊接、簡單且相對便宜的硬件和公開可用的工具。一個將它完全置于邪惡女仆領域的過程。
對于那些不知道的人來說,TPM 是一種高度安全且復雜的硬件,具有大量的篡改檢測和保護。直接攻擊 TPM 不太可能在測試時間內取得成果。因此,我們必須查看圍繞 TPM 的信任關系及其依賴的內容。它是與主板上其他組件不同的獨立芯片,可能容易受到各種攻擊。我們有問題的特定 TPM 如下所示:
研究該特定 TPM 芯片后發現它使用串行外設接口 (SPI) 協議與 CPU 通信:
當我們發現筆記本電腦原理圖中提到的 TPM 時,進一步支持了這一點:
SPI 是嵌入式系統的通信協議,幾乎在所有硬件中都非常普遍。由于其簡單性,SPI 沒有加密選項。任何加密都必須由設備本身處理。BitLocker 未使用 TPM 2.0 標準的任何加密通信功能,這意味著來自 TPM 的任何數據都以明文形式出現,包括 Windows 的解密密鑰。如果我們可以獲取該密鑰,我們應該能夠解密驅動器,訪問 VPN 客戶端配置,并可能訪問內部網絡。
為了嗅探通過 SPI 總線移動的數據,我們必須將引線或探針連接到 TPM 上的引腳(上面標記為 MOSI、MISO、CS 和 CLK)。通常這很簡單,但在這種情況下存在實際問題。此 TPM 采用VQFN32封裝,非常小。“引腳”實際上只有 0.25 毫米寬,間距為 0.5 毫米。這些“引腳”實際上并不是引腳,它們平貼在芯片壁上,因此在物理上不可能連接任何類型的夾子。您可以將“飛線”焊接到焊盤上,但這很麻煩,而且往往是一種物理上非常不穩定的連接。或者,一種常見的策略是找到串聯電阻以進行焊接,但它們同樣小,甚至更脆弱。這并不容易。
但在我們開始之前,我們認為可能有另一種方式。很多時候,SPI 芯片與其他 SPI 芯片共享相同的“總線”。這是硬件設計人員用來簡化連接、節省成本并使故障排除/編程更容易的技術。我們開始在整個電路板上尋找可能與 TPM 位于同一總線上的任何其他芯片。也許他們的別針會更大更容易使用。在對原理圖進行了一些探索和查閱之后,發現 TPM 與另一個芯片共享一個 SPI 總線,CMOS 芯片肯定有更大的引腳。事實上,CMOS 芯片幾乎是標準主板上最大的引腳尺寸,它是 SOP-8(又名 SOIC-8)。
這是理想的。我們繼續根據CMOS 的數據表將我們的Saleae 邏輯分析儀連接到引腳:
一個預先裝備好的攻擊者,就像我們在開頭提到的那樣,會改為使用SOIC-8 夾子而不是單獨的探針。這將使連接到芯片變得非常簡單,并將實際攻擊時間縮短幾分鐘。
現在探針已連接好,我們啟動筆記本電腦并記錄在跡線上移動的每個 SPI 字節。在數百萬條數據中的某個地方發送了一個 BitLocker 解密密鑰,現在的問題是找到它。我們使用 Henri Numi 的bitlocker-spi-toolkit嘗試自動提取密鑰,但它在我們的捕獲中不起作用。下面是他的高級分析器 (HLA) 的屏幕截圖,您可以看到一些事務被正確解析,而有些則沒有。我們的捕獲有些不同,HLA 無法解釋。
經過幾天的故障排除,我們終于發現它是 TPM 命令數據包的不同位掩碼的組合,以及用于查找密鑰的不同正則表達式。提出了修復請求,現在 bitlocker-spi-toolkit 也可以解析這些類型的請求。一旦有了那個,鑰匙就彈出來了。
完美,現在我們有了解密密鑰,讓我們解密 SSD,看看我們有什么。我們拉出 SSD,將其安裝在適配器中并插入:
我們制作了驅動器的磁盤映像,我們繼續操作。有趣的是,在整個攻擊鏈過程中,耗時最長的部分只是簡單地復制了 256GB 的文件。在本地獲得映像后,我們可以使用Dislocker工具集解密驅動器:
$ echo daa0ccb7312<REDACTED> | xxd -r -p > ~/vmk
$ mkdir ~/ssd ~/mounted
$ sudo losetup -P /dev/loop6 /mnt/hgfs/ExternalSSD/ssd-dd.img
$ sudo fdisk -l /dev/loop6
Disk /dev/loop6: 238.47 GiB, 256060514304 bytes, 500118192 sectors
Units: sectors of 1 * 512=512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: gpt
Disk identifier: BD45F9A-F26D-41C9-8F1F-0F1EE74233
Device Start End Sectors Size Type
/dev/loop6p1 2048 1026047 1024000 500M Windows recovery environment
/dev/loop6p2 1026048 2050047 1024000 500M EFI System
/dev/loop6p3 2050048 2312191 262144 128M Microsoft reserved
/dev/loop6p4 2312192 500117503 497805312 237.4G Microsoft basic data <- bitlocker drive
$ sudo dislocker-fuse -K ~/vmk /dev/loop6p4 -- ~/ssd
$ sudo ntfs-3g ~/ssd/dislocker-file ~/mounted
$ ls -al ~/mounted
total 19156929
drwxrwxrwx 1 root root 8192 May 5 19:00 .
drwxrwxrwt 17 root root 4096 Jun 15 09:43 ..
drwxrwxrwx 1 root root 0 May 6 14:29 '$Recycle.Bin'
drwxrwxrwx 1 root root 0 May 4 10:55 '$WinREAgent'
-rwxrwxrwx 1 root root 413738 Dec 7 2019 bootmgr
-rwxrwxrwx 1 root root 1 Dec 7 2019 BOOTNXT
lrwxrwxrwx 2 root root 15 May 4 11:18 'Documents and Settings' -> ~/mounted/Users既然我們可以離線訪問純文本內容,我們就開始了掠奪數據的標準流程。提取密碼哈希、明文或編碼憑據、暴露的敏感文件等。不幸的是,沒有發現任何有用的東西,我們也沒有得到任何類型的離線憑據,這應該不足為奇,因為這不是實際員工的筆記本電腦憑借多年的文件,它是專為此次特定測試打造的筆記本電腦。但是,、確實找到了正在使用的 VPN 客戶端:Palo Alto 的 Global Protect (GP)。GP 有一個有趣的“功能”,稱為登錄前隧道:
預登錄是一種在用戶登錄之前建立VPN隧道的連接方法。 預登錄的目的是對端點(而不是用戶)進行身份驗證,并在端點通電后立即運行域腳本或其他任務.
對于 IT 部門管理其端點來說,這聽起來是一個非常好的功能。這聽起來也是一種在不知道任何人的憑據的情況下訪問 VPN 的好方法。理論上,如果我們可以啟動筆記本電腦的后門版本,例如使用粘性密鑰后門,我們應該能夠訪問 VPN 隧道而無需任何憑據。在實踐中,有很多方法可以實現這一點,但為了速度,我們決定走虛擬化路線。
由于我們擁有對整個文件系統的寫訪問權限,我們可以做任何事情,包括重寫內核級惡意軟件的驅動程序文件到代理特權 DLL 以添加帳戶。為了時間和效率的利益,粘滯鍵非常適合這種場景,其過程很簡單:
現在我們有了后門訪問,我們只需要啟動驅動器。為了將解密后的 Windows 映像作為虛擬機啟動,我們首先需要創建一個自定義 VMDK 文件。該文件需要設置參數并將解密后的BitLocker分區和加密鏡像的起始扇區映射到相應的VM分區。由此產生的 VMDK 是:
# Disk DescriptorFile
version=1
CID=19362586
parentCID=ffffffff
createType="partitionedDevice"
# Extent description
RW 63 FLAT "ssd-dd.img" 0
RW 1985 FLAT "ssd-dd.img" 2048
RW 1024000 ZERO
RW 1024000 FLAT "ssd-dd.img" 1026048
RW 262144 FLAT "ssd-dd.img" 2050048
# This is the 4th partition where the encrypted bitlocker drive was
RW 497805312 FLAT "dislocker2-file" 0
RW 655 ZERO
RW 33 FLAT "ssd-dd.img" 63
ddb.virtualHWVersion="4"
ddb.adapterType="ide"
ddb.geometry.cylinders="16383"
ddb.geometry.heads="16"
ddb.geometry.sectors="63"
ddb.uuid.image="43e1e-5c24-46cc-bcec-daad3d500"
ddb.uuid.parent="00000000-0000-0000-0000-000000000000"
ddb.uuid.modification="8d285-ad86-4227-86d4-ec168b6b3"
ddb.uuid.parentmodification="00000000-0000-0000-0000-000000000000"
ddb.geometry.biosCylinders="1024"
ddb.geometry.biosHeads="255"
ddb.geometry.biosSectors="63"現在,使用 VMDK 和粘滯鍵后門 Windows 映像,我們創建了虛擬機,啟動它,然后在登錄屏幕上點擊 WIndows + U。
GlobalProtect 狀態:已連接
這正是我們想要的。為此,通過附加到計算機帳戶的證書對 VPN 進行身份驗證。由于每個計算機帳戶在 Active Directory 中都具有非常基本的權限,因此我們可以在域內運行基本的 SMB 命令。我們向域控制器查詢各種類型的域信息,例如用戶、組、系統等。我們還可以列出和查看內部 SMB 共享上的文件內容:
我們也可以利用這個電腦賬戶的訪問權限作為平臺發起內部攻擊和橫向升級。為了證明我們擁有對不應該擁有的服務器的寫訪問權限,我們從上面選擇了內部文件服務器。概念證明是將文件寫入該服務器并將其讀回以證明讀/寫訪問權限。
這個“掃描器”共享是攻擊者的絕佳選擇,作為各種技術的水坑,例如 LNK 攻擊、木馬 PDF 等。此時我們已經獲得了對內部網絡的訪問權限、對 Active Directory 的基本權限以及訪問內部文件共享,足以開始危害敏感的公司數據。
回顧一下,我們拿了一臺鎖定的 FDE 筆記本電腦,嗅探了來自 TPM 的 BitLocker 解密密鑰,后門虛擬化圖像,并使用其 VPN 自動連接功能攻擊內部公司網絡。這是從被盜筆記本電腦到內部妥協的一種方式。