作為一名系統運維者你必須能看得懂系統的日志,如果你留意Windows系統的安全日志,在那些事件描述中你將會發現里面的“登錄類型”并非全部相同,難道除了在鍵盤上進行交互式登錄(登錄類型1)之外還有其它類型嗎?不錯,Windows為了讓你從日志中獲得更多有價值的信息,它細分了很多種登錄類型,以便讓你區分登錄者到底是從本地登錄,還是從網絡登錄,以及其它更多的登錄方式。因為了解了這些登錄方式,將有助于你從事件日志中發現可疑的黑客行為,并能夠判斷其攻擊方式。下面我們就來詳細地看看Windows的登錄類型。
登錄類型2:交互式登錄(Interactive)
這應該是你最先想到的登錄方式吧,所謂交互式登錄就是指用戶在計算機的控制臺上進行的登錄,也就是在本地鍵盤上進行的登錄,但不要忘記通過KVM登錄仍然屬于交互式登錄,雖然它是基于網絡的。
登錄類型3:網絡(Network)
當你從網絡的上訪問一臺計算機時在大多數情況下Windows記為類型3,最常見的情況就是連接到共享文件夾或者共享打印機時。另外大多數情況下通過網絡登錄IIS時也被記為這種類型,但基本驗證方式的IIS登錄是個例外,它將被記為類型8,下面將講述。
登錄類型4:批處理(Batch)
當Windows運行一個計劃任務時,“計劃任務服務”將為這個任務首先創建一個新的登錄會話以便它能在此計劃任務所配置的用戶賬戶下運行,當這種登錄出現時,Windows在日志中記為類型4,對于其它類型的工作任務系統,依賴于它的設計,也可以在開始工作時產生類型4的登錄事件,類型4登錄通常表明某計劃任務啟動,但也可能是一個惡意用戶通過計劃任務來猜測用戶密碼,這種嘗試將產生一個類型4的登錄失敗事件,但是這種失敗登錄也可能是由于計劃任務的用戶密碼沒能同步更改造成的,比如用戶密碼更改了,而忘記了在計劃任務中進行更改。
登錄類型5:服務(Service)
與計劃任務類似,每種服務都被配置在某個特定的用戶賬戶下運行,當一個服務開始時,Windows首先為這個特定的用戶創建一個登錄會話,這將被記為類型5,失敗的類型5通常表明用戶的密碼已變而這里沒得到更新,當然這也可能是由惡意用戶的密碼猜測引起的,但是這種可能性比較小,因為創建一個新的服務或編輯一個已存在的服務默認情況下都要求是管理員或serversoperators身份,而這種身份的惡意用戶,已經有足夠的能力來干他的壞事了,已經用不著費力來猜測服務密碼了。
登錄類型7:解鎖(Unlock)
你可能希望當一個用戶離開他的計算機時相應的工作站自動開始一個密碼保護的屏保,當一個用戶回來解鎖時,Windows就把這種解鎖操作認為是一個類型7的登錄,失敗的類型7登錄表明有人輸入了錯誤的密碼或者有人在嘗試解鎖計算機。
登錄類型8:網絡明文(NetworkCleartext)
這種登錄表明這是一個像類型3一樣的網絡登錄,但是這種登錄的密碼在網絡上是通過明文傳輸的,WindowsServer服務是不允許通過明文驗證連接到共享文件夾或打印機的,據我所知只有當從一個使用Advapi的ASP腳本登錄或者一個用戶使用基本驗證方式登錄IIS才會是這種登錄類型。“登錄過程”欄都將列出Advapi。
登錄類型9:新憑證(NewCredentials)
當你使用帶/Netonly參數的RUNAS命令運行一個程序時,RUNAS以本地當前登錄用戶運行它,但如果這個程序需要連接到網絡上的其它計算機時,這時就將以RUNAS命令中指定的用戶進行連接,同時Windows將把這種登錄記為類型9,如果RUNAS命令沒帶/Netonly參數,那么這個程序就將以指定的用戶運行,但日志中的登錄類型是2。
登錄類型10:遠程交互(RemoteInteractive)
當你通過終端服務、遠程桌面或遠程協助訪問計算機時,Windows將記為類型10,以便與真正的控制臺登錄相區別,注意XP之前的版本不支持這種登錄類型,比如Windows2000仍然會把終端服務登錄記為類型2。
登錄類型11:緩存交互(CachedInteractive)
Windows支持一種稱為緩存登錄的功能,這種功能對移動用戶尤其有利,比如你在自己網絡之外以域用戶登錄而無法登錄域控制器時就將使用這種功能,默認情況下,Windows緩存了最近10次交互式域登錄的憑證HASH,如果以后當你以一個域用戶登錄而又沒有域控制器可用時,Windows將使用這些HASH來驗證你的身份。
Google和微軟一直互懟已經不是什么新聞了,不過對于普通的用戶來說,兩家公司的競爭才更能更有利于消費者。Canthink網絡安全攻防實驗室就一直致力于尋找Windows的各種漏洞,而且每次找到后,都是直接將這些發現公之于眾,搞得微軟很是狼狽。
這不就在本月的15號,新曝出了預裝在Windows 10的密碼管理器中發現漏洞,該漏洞可能會導致用戶設置的密碼泄漏,從而讓黑客遠程竊取用戶的登錄憑證。
Windows 10預裝的密碼管理器就是Keeper,Keeper是面向企業和個人的領先密碼安全管理程序和數字保管庫。
從Windows10 版本 1607(也稱為周年更新) 開始,微軟就在其操作系統中增加了一項名為Content Delivery Manager的新功能,該功能會悄悄地安裝最新的“建議應用程序”,而不會通知用戶。而Keeper就是在這樣的情境中被安裝在用戶的電腦上的,要是我不說估計還有許多用戶不知道有此應用,其實說實話我起初也不知道,還是幾個月前Reddit的幾個用戶向我介紹了他們的新發現。
為了驗證他們的發現,我在MSDN官網鏡像下載了Windows 10最新系統,并創建了一個完全的虛擬運行環境。結果證明在默認情況下,我的設備已經安裝了名為Keeper的密碼管理器。
解釋說:
“這是微軟的捆綁銷售,他們可能與Keeper達成了某種交易。”
在發現該問題后,Ormandy決定測試一下Keeper密碼管理器是否有漏洞,如果有能夠進行怎樣的攻擊?
經過幾次測試之后,Ormandy在密碼管理器中發現了一個嚴重的漏洞,而且攻擊者可以利用這個漏洞完全破壞Keeper的安全性。由于Keeper的密碼和系統的遠程根的訪問密碼是共享的,所以該漏洞就允許黑客竊取用戶所登錄過網站的所有憑證。
其實,本次所發現的Keeper漏洞和他在2016年8月所發現的Keeper漏洞非常相似,當時惡意網站就已經可以使用該漏洞就來竊取用戶登錄憑證。不過當時Keeper還沒有在微軟的捆綁銷售中,用戶如果要用還要單獨安裝。
另外,發布了一個利用該漏洞盜取Twitter登錄憑證的演示視頻,并說到:
“Keeper密碼管理器,不但沒有起到任何防護效果的,而且還能讓黑客盜取你的密碼。”
其實在15號曝出這個新聞之前,就已經給了微軟90天進行更新的時間。
不過截止目前微軟還沒有任何行動,用的話來說,他是迫不得已才公開這些發現的,以便督促微軟加快更新速度。
其實,他這樣說并不是沒有道理,因為2015年 Ormandy 曾發文指出,微軟的虛擬DOS機(VDM)中存在一個漏洞,非特權用戶可以將代碼直接注入系統內核,可能改變操作系統高度敏感的部分,從而完全控制系統。而這個漏洞是1993年7月Windows NT首次引入的,已經存在17年了。據Ormandy說,2009年6月他就已經將這個安全漏洞告知了微軟了,也就是說微軟在得到提醒之后的6年中還是什么也沒有做。
不過本次,微軟在Ormandy的帖子發布后不久就很快表了態,并解釋說:
“這個問題是第三方應用程序也就是Keeper的問題,我們已經通知了開發商,要求他們盡快修補此漏洞。”
Keeper公司也已經確認了這個漏洞,并且發布了11.4版本來更新解決該漏洞。
該公司表示:
“建議沒有升級到最新版本的用戶,先不要使用Keeper進行密碼管理。因為這個潛在的漏洞會要求Keeper用戶在登錄到瀏覽器時,把他們重定向到惡意網站,然后通過使用‘clickjacking’技術來欺騙用戶輸入登錄憑證。”
盡管這不是微軟產品本身的問題,但也間接地暴露了微軟產品推廣時所使用的手段,而這種方式很容易造成用戶在不知情的情況下,信息被泄露。
雖然Keeper被預先安裝了進來,不過用戶也可以將其卸載禁用這個應用,這可以通過注冊表設置來完成。