塞讯安全实验室 | 两种UAC绕过的攻击手法已更新纳入模拟攻击库!

UAC绕过作为攻击者在权限提升、防御绕过两种战术中常见的子技术之一,在各种攻击的前期阶段会被大量尝试使用。
UAC绕过作为攻击者在权限提升、防御绕过两种战术中常见的子技术之一(如图一所示),在各种攻击的前期阶段会被大量尝试使用。

图一 ATT&CK战术、技术(图片来源:https://attack.mitre.org/
如果目标环境中没有足够强大的安全策略控制、终端或主机安全产品检测,黑客一旦得手就可以提权至最高权限并执行任意想执行的动作以建立立足点或执行破坏,比如:修改注册表、执行下载器、执行脚本、执行恶意软件等等,为最终达到攻击目标奠定基础。当然作为防御方,如果在此阶段可以检测或防御到黑客此攻击行为,则可以在攻击的早期阶段阻断攻击链,降低黑客攻击成功的机率。如果有专业安全运营团队则可以发现、持续关注与此攻击相关的所有后续攻击尝试,并自查与此攻击相关的前续行为,主动出击清理所有已发现的入口或立足点,最终实现主动防御。

 

UAC简介

用户账户控制 (User Account Control)是是 Microsoft 的总体安全构想的基本组件。UAC 有助于缓解恶意软件的影响,它通过弹框进一步让用户确认是否授权当前可执行文件来达到阻止恶意程序的目的。如果用户是普通用户,Windows 会给用户分配一个标准Access Token,如果用户以管理员权限登录,则会生成两个Access Token。一个是完整的管理员Access Token(称为:full access token),一个是普通用户Access Token。一般情况下会以标准用户权限启动Explore.exe 进程。如果用户同意,则赋予完整管理员权限访问令牌进行操作。

 

图二 UAC架构
如需了解更多详情,请访问以下链接:
https://docs.microsoft.com/zh-cn/windows/security/identity-protection/user-account-control/how-user-account-control-works

 

模拟攻击库更新

您已经可以在我们平台中选择UAC绕过的相关验证动作进行攻击模拟,以检验您的终端/主机防御手段对这此类攻击手法的检测与防御能力。

 

特别是您可以通过塞讯验证的受保护的沙盘来真实实现勒索软件执行,以使您确定您现在的终端/主机防御手段是否可以在最后一秒钟是否能防御得住它的攻击,而不用担心万一没有防御住时它的破坏性带来的各种影响。塞讯验证的受保护的沙盘将确保其安全性而不会造成影响。