网星安全ITDR-vCenter集权安全解决方案
首页
Kubernetes安全痛点
vCenter攻击案例下图是一个2023年护网攻击案例,攻击队通过Web入口打点利用Confluence远程代码执行漏洞(CVE-2022-26134)拿到shell反弹到vps,查看内核版本利用CVE-2021-4034提权到root。内网扫描后发现存在vCenter机器,探测当前版本为6.7.2并存在CVE-2021-22005漏洞,上传蚁剑马拿到vCenter机器root权限。然后获取data.mdb文件,提取Idp证书,进行身份验证获取有效管理员的cookie,用于登录vCenter Web控制台,控制台存在管理DC机器,最终通过克隆虚拟机挂载KON-BOOT的iso镜像拿到域控权限。
勒索病毒组织通过Vmware环境进行病毒传播
Memento是一个新型勒索家族,该家族利用VMware vCenter Server Web漏洞(CVE-2021-21972)进行勒索攻击,在进入到受害者服务器后会进行凭证窃取,获取到正确的凭证后攻击者会尝试进行远程RDP/SSH登录,进行后续的横向移动以及投递勒索病毒。该漏洞其严重性评分为9.8,远程访问vCenter服务器的 TCP/IP 端口443的任何人都可以通过滥用此漏洞进行管理,以使用特权访问在操作系统上执行命令。
Kubernetes挖矿攻击案例
针对vCenter的攻击已经体系化
安全理念
事前:脆弱性梳理
事前:脆弱性梳理
事中:威胁监测威胁监测基于MITRE ATT&CK威胁模型矩阵设计。MITRE ATT&CK是一个基于真实网络攻击的战术和技术知识库模型,该模型将已知攻击的行为汇总成战术和技术的一种结构化列表,由于此列表相当全面的呈现了攻击者再攻击网络时所采用的行为,因此对于各种进攻性和防御性考量机制十分有用。
特色功能:身份威胁诱捕ITDR独特的提供了与集权设施的集成,可以重定向身份认证流量到蜜网以实现身份安全,并分析攻击者行为进行溯源反制。
管理视角威胁分析
管理视角威胁分析
管理视角威胁分析
产品形态
虚拟化部署。
vCenter数据发送到分析运营中心
分析运营中心通过API查询元数据据
配置需求实施周期:资源准备完毕后,1.5h~2h完成平台部署。
解决方案-客户案例(某金融公司Kubernetes遭受攻击)
事中-事件监测:攻击者再次发起攻击,监测密码喷洒、密码爆破、Log4j2 JNDI注入、SSH登录vCenter、强制重置管理员密码、LDAP新增用户等攻击。
事后-应急处置:定位失陷vCenter及终端、分析相关日志及勒索软件样本、全盘杀毒、全公司防病毒软件状态排查、安全意识培训。
事中:实时监测,协助客户发现了针对vCenter的勒索攻击。
事后:协助客户对vCenter进行全面加固,针对vCenter防护弱点进行持续改进。
关于我们北京中安网星科技有限责任公司(以下简称“网星安全”),创立于2020年,作为专业解决企业身份安全威胁的网络安全公司,网星安全始终秉持“创建一个防御者比攻击者更有优势的网络世界”愿景,以更快的速度、更大的规模覆盖和更高的准确性击败攻击者的每一次攻击。
公司聚焦于“身份威胁检测与响应(ITDR)”,以AD安全防护问题切入身份安全治理,延伸覆盖Exchange、Jumpserver、Vcenter、K8S、公有云等场景,为身份安全检测与响应(ITDR)解决方案的落地打下了坚实的基础。网星安全将客户放在首位,将传统的客户关系转变为真正的合作伙伴关系,为用户提供更立体的身份安全体系。凭借扎实的技术研发实力,现已横向覆盖各行业多个领域,包含金融、交通、能源、科技、消费等超100家大型企业。
产品推荐
