پژوهشگران امنیتی مایکروسافت موفق به طراحی ابزاری موسوم به NetCease شدند. این ابزار قادر است با ایجاد موانعی فعالیتهای مکاشفانه هکرها را با دشواری همراه سازد. اولین اولویت هکرها در یک حمله مرحله اکتشاف و شناسایی است. در این مرحله هکرها اقدام به جمعآوری اطلاعات مختلفی میکنند که در ارتباط با اهداف بالقوه، مجوزهای تخصیص یافته به کاربران و هرگونه دادهای است که برای هکرها حائز اهمیت است. ابزار NetCease محصول جدیدی است که ایتای گریدی و تال بری، دو کارشناس مرکز تحلیل تهدیدهای پیشرفته مایکروسافت (ATA) آنرا طراحی کردهاند.
مایکروسافت گفته است این دو کارشناس امنیتی ابزار خود را به منظور ارائه یک توضیح مفهومی در ارتباط با روشهای دفاع تهاجمی سایبری (Advanced Threat Analytics) به طور رسمی در کنفرانس کلاه سیاه که قرار است در قاره اروپا برگزار شود، ارائه خواهند کرد. این کنفرانس از 11 تا 14 آبان ماه در اروپا برگزار خواهد شد.
در حالی که این برنامه جزء ابزارهای رسمی مایکروسافت طبقهبندی نخواهد شد، اما در قالب Microsoft’s TechNet Gallery در اختیار کاربران قرار دارد. برای دانلود این ابزار به آدرس Net Cease – Hardening Net Session Enumeration مراجعه کنید. به طور معمول هکرها زمانی که موفق به شناسایی اهدافی شوند از تابع NetSessionNum به منظور جمعآوری اطلاعاتی درباره نشستها/جلسه (sessions) روی کنترل کنندههای دامنه (Domain Controllers) یا سایر سرورها در شبکه استفاده میکنند. تابع فوق به هکرها این توانایی را میدهد تا نام دستگاه، آدرس IP، نام کاربری که متعلق به نشست در حال اجرا است را به همراه مدت زمانی که نشست در جریان بوده است به دست آورند.
هکرها از چنین اطلاعاتی برای حرکت در شبکهای که قربانی خود ساختهاند استفاده میکنند. هر کاربر عضو دامنه به طور پیشفرض این توانایی را دارد تا تابع NetsessionNum را از راه دور اجرا کند. اما زمانی که مقدار یک کلید در رجیستری ویندوز (SrvsvcSessionInfo) مورد ویرایش قرار گیرد، دسترسی به تابع فوق سختتر میشود. NetCease یک اسکریپت ویژه powershell بوده که قادر است مقدار کلید خاصی را در رجیستری ویندوز تغییر داده تا مانع از اجرای تابع فوق شود. ابزار Netcease یک اسکریپت کوتاه powershell بوده که مجوزهای دسترسی پیش فرض به تابع Net Session Enumeration م(NetsessionNum) را تغییر داده میدهد. این رویکرد مانع از آن میشود تا هکرها بتوانند به سادگی هر چه تمامتر به اطلاعات حساس در یک شبکه قربانی دست پیدا کنند.
لازم به توضیح است که ابزار Netcease به سادگی قابل استفاده است. مدیران سامانهها تنها باید اسکریپت powershell را روی ماشینی که مدنظر دارند (یک کنترل دامنه) اجرا کرده و در ادامه ماشین هدف را یکبار راهاندازی کرده تا تغییرات اعمال شود.
منبع: shabakeh-mag