前言
发现不少搞渗透的,个人防护能力非常差,以为自己很牛,不安装杀软就算了,HIPS也没装。杀软虽然不能防做了免杀的病毒,但起码能杀掉很多已知的木马病毒,对很多不具备手工查杀的人来说,还是有点用的。做渗透被个刚入门的菜鸟用已知漏洞入侵,是不应该也是非常丢脸的。比如公开了6年的MS17010,一个搞渗透的,连个基本防御都不会,复现了MS17010漏洞,自己的电脑都不懂防?使用网上的工具或浏览网站有可会中招,有可能是同事中招,上线后攻击者通过同事电脑横向移动,如果别人用牛逼技术手段或0day攻击这个没法说,但别人要是用个MS17010横向获取你的权限,这就非常说不过去了。
现在就算是刚入门两三天的脚本小子,至少也复现过MS17010漏洞吧,最起码给电脑安装补丁,别的攻击手法你不会,不懂原理不知道该如何修补说得过去,你入门两天都玩过的漏洞,自己的电脑不修补,你具备反制能力故意留漏洞?还是认为别人觉得这家伙是黑客哦,用MS17010和弱密码不可能攻击他的电脑?无论新手还是菜鸟,横向时都是用工具和弱密码搞一波,人家没控到你电脑根本不知道你是谁,可能是会计、行政、前台等不懂技术的人,根本不存在所谓“越危险就越安全的”说法,搞渗透连已知漏洞都防不住的人,一是水平差,二是安全意识差。人在江湖飘,哪能不挨刀。怎能让别人不费吹灰之力就搞你呢?
加固方案
1.使用虚拟机,物理机断网,在虚拟机里上网,来历不明程序、工具不能在工作或上网虚拟机使用,在临时虚拟机使用,测完还原虚拟机。
2.安装杀毒软件(如卡巴、Nod32、360)等,主程序和病毒库存及时更新到最新版本,可防止大部分已知病毒或漏洞攻击。对木马病毒原理及行为深度理解的可安装HIPS防御软件,如comodo,设置最高级别,只放行可信程序,针对未知程序完全阻止。渗透人员建议安装comodo,毕竟有很多工具有杀软在用不了,不会使用comodo的,可先用学习模式,慢慢学习适应它。值得一提的是默认配置是未知程序也允许执行,只是部分限制,好比在IIS或数据库允许你执行程序,但权限低,你很多事都做不了。但这种做法下场就是,别人可以提权到管理员或system做任何事。所以最安全的做法,必须在熟悉后针对未知程序完全阻止,而不是部分阻止。好比你拿到一个webshell不但是低权限,还不能执行命令。不能执行命令,又不具备权限写入注册表或往自启动目录添加程序,你就没机会提权,没机会直接内存上线CS等,不能执行命令,很多工具程序完全都没用,自己在webshell里实现各种工具的功能又不现实,而且很多人不会。所以最安全的做法是完全不给执行,而不是给部分限制执行。
3.按需安装软件,安装程序、使用软件使用官方渠道,下载后检测MD5、SHA1等官方提供的HASH值是否一致,不一致有就可能感染木马。
4.及时更新所安装程序、软件,及时打补丁。路由器及时更新固件,定期修改路由器登陆密码、WIFI密码。
5.定期修改密码,被攻击或高危漏洞时未能及时打补丁,需立即修改密码。
6.浏览器,浏览问可信的正常网站,安装noscript或同类插件,和HIPS一样阻止第3方站点JS脚本,防止网站挂马实施攻击。无法确认网站是否可信,在临时虚拟机里访问查看,用完还原虚拟机。
7.关闭无用的高危服务,如SMB、WMI、Winrm、打印机等大部分人根本用不到的服务或功能。直接从根上解决问题,假如爆出SMB最新漏洞,由于压根都没开启SMB,就算未能及时打补丁,黑客也无法攻击。就像把嘴巴和鼻子缝上,身上又没有其他伤口,就算出了个能让你发烧痛苦100天才好的新型新冠病毒,它也无法感染你,是一样原理。和提权一样,安全是完全不给你机会,而不是给一半,服务和端口开着,打补丁只能防住已知漏洞,对于新出的SMB漏洞,补丁和杀软可能就形同虚设了。
PS:单纯定期更新不定安全,假如18号爆出高危SMB漏洞,管理员按规定每月25号才更新,在更新前的7天时间里,可能不法份子早已偷走个人资产或企业商业秘密信息。没有被攻击或没有爆出高危漏洞,可定期更新。
Safe008一键安全加固工具
网上有很多一键脚本,但好像功能都不全,很多脚本有问题,使用了发现可能压根不生效,甚至好多只是单纯禁用端口,Safe008通过禁用服务+修改注册表+禁用端口等多种方式,确保关闭高危风险服务、端口,防止黑客利用漏洞或密码爆破攻击横向获取权限。对于个人电脑这种一般不安装WEB、数据库等其他功能的,加固可防止99%的黑客横向移动攻击,远比近几年炒的EDR、XDR等横向防护更有用。对于不熟悉安全配置的管理员或个人,它简单易用,一键从根上防止攻击。
使用该工具加固后,可从本质上防止以下黑客攻击行为,打个比方,病毒通过呼吸道传播,单纯戴口罩不安全,因为人经常会自己摘下口罩,但是把嘴巴和鼻子缝起来,是不是呼吸道病毒无法通过口鼻传播了?就算新出病毒也没用,漏洞也是一样,假设出了个新的SMB漏洞,是个0day杀软不拦,系统也没补丁,和当初的永恒之蓝病毒一样自动传播,即便身边电脑全都中招,它也没法通过SMB攻击被加固电脑。因为压根就没开启这服务啊,所以对于用不到共享的机器,可以100%关掉。有人可能会说,病毒也可以开启SMB服务啊,没有错,前提它得先进到电脑里啊,你通过SMB漏洞进我电脑,我电脑没有SMB这条路,你有资格开启SMB吗?"你坐马自达,你根本没资格开这个会哦"
1.关闭SMB服务,可防止Ladon等渗透工具利用SMB漏洞,如MS17010、SmbGhost,包含SMB未公开0day
2.关闭SMB服务,可防止Ladon、Smbexec、Psexec、Atexec等SMB横向移动工具攻击
3.关闭SMB服务,可防止Ladon等渗透工具通过密码或NTLMHASH爆破系统密码
4.关闭SMB服务,可防止系统自带命令net use、at、schtask等命令横向移动
5.关闭SMB服务,可防止NTLM中继攻击
6.关闭SMB服务,可防止通过SMB传输文件
7.关闭WMI服务,可防止Ladon、WmiExec相关渗透工具,漏洞CVE-2003-0352,包含WMI未公开0day
8.关闭NBT服务,可防止Ladon等工具通过NBT探测信息,漏洞CVE-2003-0533,包含NBT未公开0day
9.关闭WinRM服务,可防止Ladon等工具通过Winrm探测或横向移动
10.关闭打印机服务,可防止PrintNightmareCVE-2021-1675等提权漏洞或远程漏洞攻击
11.关闭驱动器播放,可防止U盘病毒传播
12.定期更新系统补丁,升级杀毒软件,升级所使用的软件,特别是浏览器、Office、Word等必须打补丁
HIPS防护软件--更专业的人使用
Comodo配置,对于未知程序,设置为完全阻止,一般来说执行程序,默认使用沙盒打开,但是大家提过权应该知道,有命令执行权限,不管是user还是服务还是iis应用权限,但凡给执行命令,都有可能提到system权限。所以怎样的设置才安全,当然是完全不给执行机会啊。
PS:声明一点啊,不熟悉的人,可以先使用学习模式慢慢学习,很多所谓黑客并不熟悉木马病毒原理或行为不了解,可能软件提示有网络链接,他都点允许,这种情况下,使用codomo相当于形同虚设。所以这个要求使用还是很高,不然你用了只会非常烦这个工具。因为这个工具不是杀软,不能直接帮你查杀拦截已知病毒,不具备相关能力的,还是不要使用。杀毒软件无论普通人还是技术人员都随便装,但相关HIPS工具,不会虽然也可以装,但是不严格的配置,无法发挥最佳作用。
Comodo拦截未知木马病毒
不管是正常工具,还是非正常程序,不管是主动运行还是不小心运行的,都是拦截,不给执行。假设“亲朋好友”给我们发了一些文件不管是直接的EXE或是Word文档等文件,又或者是访问的一些网站被黑客挂马。大部分木马需要释放到相关目录,然后通过漏洞执行木马。
未知程序,全被拦截,如果确认可信,比如自己写的程序,系统自带程序,我们可以把程序添加为可信程序,不然程序就一直被拦截。如果我们不小心运行了有问题的Word文档,那么程序拦截的EXE肯定是木马。
Noscript插件--拦截恶意XSS 防止挂马
以CSDN为例,安装Noscrit插件后,访问网站,提示相关功能需要允许脚本访问权限,可以看到该网站挂了百度和Google的广告。试想一下如果网站挂的不是广告,执行脚本的域名都不是当前网站,但又非要加载一段JS,十有八九不是XSS攻击就是挂马。
总结
使用Safe008关闭相关高危漏洞、横向攻击,防止黑客攻击
使用Comodo阻止未知程序,防止误点有毒文档或木马程序
浏览器使用Noscript插件,防止XSS攻击或漏洞挂马攻击
按照本文加固方法,个人电脑可阻止,99%的黑客攻击。
加固工具下载: https://github.com/k8gege/K8tools
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...