--360WatchAD 공식적으로 360 정보 보안 센터 0kee 팀 자체 개발 도메인 보안 침입 감지 시스템을 열고 10 월 (26), 2019, 국내 보안 도메인 탐지 분야의 선구자가되었다.
360WatchAD은 무엇인가?
360WatchAD 위협 탐지 제품에서 개발 침투 수준 도메인 활동을 마주의 위협을 받고 360 개 기업입니다. 기업 네트워크 내에서 Windows 기반 도메인을 구축에 적합합니다. 도메인 컨트롤러 서버 데이터의 빠른 분석, 360WatchAD이 적절하고 정확한 수준 도메인 침투를 찾을 수 있습니다, 그런데 공격의 대부분을 커버 검출 네트워크는 체인을 죽인다.
이 제품은 기업이 사무실 창문 도메인 기반 네트워크 보안 강화 회사의 고위 레벨의 도메인 침투에 대한 인식과 조기 경보 능력을 가질 수 있도록 최종 핵심 요소의 내부 보안 경계로 사용됩니다.
작품
일치하는 기능, Kerberos 프로토콜 분석, 역사적 행동, 민감한 운영 및 허니팟 계정 및 알려 지거나 알려지지 않은 다양한 위협을 감지 할 수있는 다른 방법에 의해, 도메인 컨트롤러 모두에 이벤트 로그 및 Kerberos 트래픽을 수집 WatchAD, 위협은 현재 대부분의 범위를 탐지 일반적인 전술은 도메인 내 침투.
감지
-
정보 검색이 : 쿼리 SAMR 민감한 사용자 그룹을 사용하여 SAMR 민감한 사용자 쿼리를 사용, 활동 허니팟 계정, PsLoggedOn 정보 수집
-
인증 정보 훔치기 : Kerberoasting (플로우), AS-REP 우며, 리모콘 덤프 도메인 암호
-
측면 운동 : 알 수없는 파일 이름을 공유하는 계정 발파, 명시 적 자격 증명 원격 로그인, 원격 제어 대상 도메인 코드 실행, Kerberos 티켓 암호화 저하 (흐름), 비정상적인 Kerberos 티켓 요청 (흐름)
-
권한 에스컬레이션 : ACL 수정, MS17-010 공격 탐지, 새 그룹 정책 모니터링, NTLM 릴레이 테스트, 제약 기반의 위임 권한이 부여 된 자원 감지, 프린터 서비스 공격 SpoolSample, 알 수없는 권한 상승, MS14-068 공격 탐지 (교통) Kerberos 제한 위임 남용 (교통)
-
권한은 유지 : adminSDHolder로 오브젝트 수정, DCShadow 공격 탐지, 그룹 정책 감지 부여 DSRM 암호 재설정 권한을 위임, Kerberos 제한 위임 권한을 부여 감지, 도메인 제어 시스템 서비스를 수정, 추가에 민감한 사용자 그룹, 도메인 컨트롤러,를 SIDHistory를 예약 된 작업을 추가 속성 변경, 마스터 키 - 활성 검출, 마스터 키 - 수동 검출 (플로우), 금 정보 (트래픽)
-
국방 바이 패스 : 이벤트 로그를 지우, 이벤트 로그 서비스가 꺼져
핵심 강점
1. 감지 넓은 범위, 높은 정확도
360WatchAD 감지 차원은 공격의 가장 일반적인 방법의 네트워크 내에서 전체 킬 체인 공격을 다룹니다. 침투를 유지하기 위해 기관에서 문서를 훔쳐 권한 상승에 측면 운동,에서, 우리는 활동을 침투 전체 프로세스 레벨 도메인을 모니터링하고, 공격자가 우리의 탐지를 우회 할 수 있도록 여러 차원에서 데이터의 핵심 분석 할 수있다. 고품질의 알람 내용의 360WatchAD 마지막 세대는, 각 적시에 처리 작업을 용이하게하기 위해, 위협의 다른 수준에 해당합니다.
2. 호환성, 경량 배포
360WatchAD 만 어떠한 방해 배치하지 않고, 기존의 네트워크 아키텍처를 변경하지 않고, 전체 사무실 환경 도메인 및 네트워크 환경에 영향을주지 않고, 모든 도메인 컨트롤러 서버 데이터 수집 단말기에 설치된 부하 수집 단말 도메인 컨트롤러 서버 컨트롤 낮은 범위이다. 360WatchAD는 2008 년 이후 서버에서 윈도우의 모든 버전과 호환이 배포가 매우 간단 필요한 단지 네트워크 연결 도메인 컨트롤러, 설치 탐지 엔진을 구성 할 수 있습니다 도메인 컨트롤러 에이전트를 설치합니다.
시나리오
1. 침투 위협 수준 도메인에 저항
[질문] : 제품 모니터 네트워크 레벨 도메인 침투.
비즈니스 침공하지 않고 아니라, 네트워크에 손상되었습니다 모른다. 도난되는 사용자 데이터 여부? 고위 관리 도메인 계정은 해커에 의해 제어되는 여부? 기밀 메일 및 누출에 대한 기업 전략? 네트워크 보안의 중요성은 국경 보안 작업보다 훨씬 크다 . 영향의 비즈니스 해킹 분야는 몇 서버, 그리고 영향의 네트워크 침입 영역은 전체 회사입니다.
[해결] : 360WatchAD는 풀 침투 모니터링 네트워크를 필드 수, 타임 라인을 통해 알람 침입자의 특정한 활동 내역, 어느 침입을 검출하도록 또한 내부 네트워크의 침입의 정도를 평가할 수있는 그러한 획득할지 여부로, 도메인 컨트롤러, 특정 컴퓨터를 침공 고위 관리 계정을 확보할지 여부를 지정합니다.
2. 공격과 방어 훈련
[ 질문 ] : 공격과 방어 훈련은, 내부 게이트웨이 키 기능은 궁극적 인 목표입니다.
공격자가 네트워크 내에서 득점되면, 국경 방어 장비를 효과적으로 방지하고 네트워크 내에서 도메인 침투를 감지 할 수있는 국내 제품이없는, 더 이상 유효하지 않습니다 . 네트워크 서버가 손상되면, 단지 시간과 효과, 로그를 분석하여 공격을 복원하려고합니다.
[ 해결 ] : 360WatchAD 추가 효과적으로 또한 사용자의 활동의 전체 기록을 보여, 모든 사용자의 동작을 기록하는 분석 도메인 컨트롤러 로그를 사용자 정의 할 수있는 유연성을 도메인 내 침투의 활동을 모니터 만 할 수 있습니다. 우리의 테스트 알려진 치수는 공격의 주요 방법의 대부분을 충당 공격과 방어 훈련이 추가로 적시에 공격을 탐지 할뿐만 아니라 효과적으로 기회를 잡을 수있는 수비수를 돕기 위해 제안에 대한 응답으로 제공되는 공격 방법의 세부 사항을 보여주는, 공격 경로를 줄일 때.
오픈 소스 빌드
GitHub의 :
https://github.com/0Kee-Team/WatchAD
당신이 WatchAD 테스트를 공격하기 위해 가입 할 필요가 생각한다면, 우리가 재현성에 관련된 문제를 언급에게, 또는 PR을 제출, 프로젝트에 기여를 사용하시기 바랍니다.
당신이 검출 모듈은 더 잘못된 반응 (이상 10 일 평균)가 표시되면 문제가 우리에게, 또는 당신의 최적화,이 프로젝트의 핵심 기여자 후 PR에 의해 제출 된 언급 해주십시오.