业界首个开源域安全入侵感知系统 —— 360WatchAD
2019年10月26日,由360信息安全中心0kee Team 自主开发的域安全入侵感知系统——360WatchAD正式对外开源,成为国内域安全检测领域的开拓者。
什么是360WatchAD?
360WatchAD是360公司在面临高级域渗透活动的威胁下,研发出的一款威胁检测产品。适用于基于Windows域构建的企业内网。通过对域控服务器数据的即时分析,360WatchAD能够及时准确发现高级域渗透活动,检测覆盖内网攻击杀伤链大部分手法。
本产品作为内部安全防线的最后关键一环,可让企业具备针对公司级别高级域渗透活动的感知与预警能力,加固基于windows域的办公网安全。
工作原理
WatchAD收集所有域控上的事件日志和kerberos流量,通过特征匹配、Kerberos协议分析、历史行为、敏感操作和蜜罐账户等方式来检测各种已知与未知威胁,威胁检测项覆盖了目前大部分常见的内网域渗透手法。
检测功能
-
信息探测:使用SAMR查询敏感用户组、使用SAMR查询敏感用户、蜜罐账户的活动、PsLoggedOn信息收集
-
凭证盗取:Kerberoasting(流量)、AS-REP Roasting、远程Dump域控密码
-
横向移动:账户爆破、显式凭据远程登录、目标域控的远程代码执行、未知文件共享名、Kerberos票据加密方式降级(流量)、异常的Kerberos票据请求(流量)
-
权限提升:ACL修改、MS17-010攻击检测、新增组策略监控、NTLM 中继检测、基于资源的约束委派权限授予检测、攻击打印机服务 SpoolSample、未知权限提升、MS14-068攻击检测(流量)、Kerberos约束委派滥用(流量)
-
权限维持:AdminSDHolder对象修改、DCShadow攻击检测、DSRM密码重置、组策略委派权限授予检测、Kerberos约束委派权限授予检测、敏感用户组修改、域控新增系统服务、域控新增计划任务、SIDHistory属性修改、万能钥匙-主动检测、万能钥匙-被动检测(流量)、黄金票据(流量)
-
防御绕过:事件日志清空、事件日志服务被关闭
核心优势
1. 检测覆盖广,准确度高
360WatchAD检测的维度覆盖了整个内网攻击杀伤链的大部分常见攻击手法。从横向移动到权限提升,从凭证窃取到后渗透权限维持,我们监控了高级域渗透活动的完整过程;并且可从多个维度的数据进行关键点分析,确保攻击者无法绕过我们的检测。360WatchAD最后生成的高质量告警内容,每一条都对应不同程度威胁,方便运营人员及时处理。
2. 兼容性好,轻量化部署
360WatchAD仅在所有域控服务器上安装数据收集终端,对整个办公网域环境和网络环境没有任何影响,不改变现有网络架构,不做任何侵入式部署,收集终端对域控服务器的负载控制在极低的范围内。360WatchAD兼容从Windows 2008之后的所有版本服务器,部署要求极其简单,只需在域控安装agent,连通域控所在网络,配置安装检测引擎即可。
应用场景
1.抵御高级域渗透威胁
【问题】:没有产品监控内网高级域渗透活动。
企业不是没有被入侵,而是不知道已经被入侵到了内网。用户数据是否遭到窃取?高级管理人员域账号是否被黑客控制?机密邮件和公司战略是否泄露?内网安全的重要性远大于边界业务安全。业务遭到入侵影响范围是几台服务器,而内网被入侵影响范围是整个公司。
【解决】:360WatchAD可以全方位监控内网的域渗透活动,告警通过时间线详细展示了攻击者的具体活动,既可以及时发现入侵,也可以评估内网被入侵的程度,如是否已攻入域控,是否获取高级管理人员账户,具体入侵了哪些计算机等。
2. 攻防演习
【问题】:攻防演习中,内网关键设施是最终目标。
攻击者一旦攻入内网,边界防御设备不再有效,目前国内没有产品能够有效阻止和检测内网的域渗透活动。内网服务器被入侵后,只能通过分析日志来尝试还原攻击手段,费时费力且没有效果。
【解决】:360WatchAD除了能有效监控内网域渗透活动,还可以灵活自定义分析域控日志,记录所有用户的行为,展现某用户的完整活动记录。我们的检测维度覆盖已知的绝大部分关键攻击手法,在攻防演习时,除了能及时检测攻击活动,还能有效还原攻击路径,展示攻击手法详情,提供应对建议,帮助防守方占领先机。
开源共建
GitHub:
https://github.com/0Kee-Team/WatchAD
如果您有认为需要加入到WatchAD检测的攻击方法,请提issue告诉我们相关复现方式,或者提交PR,成为本项目的贡献者。
如果您发现某个检测模块有较多的误报(日均超过10条),请提issue告诉我们,或由你优化之后提交PR,成为本项目的贡献者。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
NutzBoot v2.3.8.v201901031
NutzBoot,简称 NB,源于2k star 的nutz 项目, 是可靠的企业级微服务框架,提供自动配置,嵌入式 Web 服务,分布式会话,流控熔断,分布式事务等一篮子解决方案,只需简单几行代码,即可一个完善的微服务进程. 已经在几十家企业深度使用, 码云 GVP 加持, 代码稳健可控. 不止代码开源, 开发过程也公开. 完善的 git 提交日志,响应及时的 issue 系统,随时秒回的问答社区^_^ 本次更新带来: 新增了几个实用的demo, 更新了几个核心的组件, 特别是dubbo和seata 时间:2019-10-31 曲目:那年那兔那些事-第一季 兼容性:兼容2.0.x/2.1.x/2.2.x/2.3.x 主要变更: add:添加starter-thrift-server add:添加loveexception的项目链接 add:添加NutzBoot版的justauthdemo地址 add:添加物联网项目irtu-gps作为demo, PCB/固件/服务器端/小程序均开源. update:完善nacos-config-client update:jettydemo,确保w...
- 下一篇
不用 Notepad++ ,你还有这些更好的选择!
前两天开源文本编辑器 Notepad++ 发布了 7.8.1 版本,然后在该版本中作者对摸黑中国,具体的内容请大家自行百度。而且这已经不是 Notepad++ 第一次这么干了! 对此广大中国的开发者用自己的方式进行了回击: 对一个文本编辑工具而言,有比 Notepad++ 更好的替代工具: Sublime Text (非开源) Sublime Text 是一个轻量、简洁、高效、跨平台的编辑器。 Sublime Text的特色功能: 良好的扩展功能,官方称之为安装包(Package)。 右边没有滚动条,取而代之的是代码缩略图,这个功能非常赞 强大的快捷命令“可以实时搜索到相应的命令、选项、snippet 和 syntex, 按下回车就可以直接执行,减少了查找的麻烦。” 即时的文件切换。 随心所欲的跳转到任意文件的任意位置。 多重选择(Multi-Selection)功能允许在页面中同时存在多个光标。 支持 VIM 模式 支持宏,简单地说就是把操作录制下来或者自己编写命令,然后播放刚才录制的操作或者命令。 更新非常勤快 Visual Studio Code Visual Studio Co...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- SpringBoot2整合Redis,开启缓存,提高访问速度
- CentOS关闭SELinux安全模块
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- 设置Eclipse缩进为4个空格,增强代码规范
- MySQL8.0.19开启GTID主从同步CentOS8
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- Docker安装Oracle12C,快速搭建Oracle学习环境
- CentOS7安装Docker,走上虚拟化容器引擎之路