ネットワークがすでに侵入されており、攻撃者が別のPCを完全に制御しているとします。
以外ネットワーク上の他のすべてのシステムからのトラフィックをインターセプトし、それを使用して不正なトラフィックを挿入するプロキシを設定します。それ以外に、攻撃者がこのネットワーク上のコンピューターの1つに直接侵入しようとする場合の経路は何でしょうか。さらに重要なことに、対応する緩和策はどのようなものになるでしょうか?
注意:
この質問の目的は主に教育的/理論的です。そのため、「AVのインストール」以外に必要な軽減手順が(ごくわずかですが)推奨されます。
すべての攻撃はネットワークを介して行われます。感染したコンピュータと(保護対象の)保護対象のコンピュータの間で物理メディアが転送されることはありません。さらに、共有ストレージ(NASなど)がなく、どのコンピューターにも共有フォルダー、共有資格情報(ユーザーグループ)、RDP/VNCなどがないと想定できます。
ただし、上記以外の硬化ステップはありません。
主な懸念事項はデータの盗難です。 (それが重要な場合、またはそれが質問の範囲を絞り込むのに役立つ場合)
この質問は、回答の範囲を制限し、さらにいくつかの制限のある既存の条件(フォルダー共有とRDPが無効)を提供するために、意図的にWindows 7に制限されています。ただし、ネットワーク内のPCからPCへの脅威の本質的な性質がそれほど変わらない場合は、プラットフォームに依存しない答えも評価されます。
それでも質問が広すぎる場合は、有益な(技術的な場合)ガイドの方向、またはそのような(技術的な/詳細な)ガイドを入手するための出発点に指摘されていただければ幸いです。
Man in the Middleが発生していないと想定した後でも、いくつかのシナリオが考えられます。
パッチがありません:
システムにRCEを許可するパッチがない場合は、簡単に解決できます。多くの 存在するリモートエクスプロイト があり、新しいエクスプロイトがたまにあります。緩和策:システムにパッチを適用します!
ドメインにいますか?
Windows 7 HomeやProfessionalについては触れませんでした。マシンがWindowsドメインに属していて、ネットワーク上の別のマシンが危険にさらされている場合、問題が発生しています。攻撃者がDomain Adminを取得すると、PCをかなり簡単に制御できるようになります。緩和策:ネットワークカードを非アクティブにして泣きますか?
デフォルト構成:
Windowsには、安全でない多くのデフォルト設定があります。 LLMNRはその1つ で、簡単に利用されます。軽減策:LLMNRとNBT-NSを無効にします(リンクの下部を参照)
PSExec
フォルダを共有していないとのことですが、ポート139と445は閉じていますか? PSExec の機能を確認します。
脆弱なアプリケーション
PCでNETSTAT
を実行します。インストールした一部のアプリケーションが着信接続のポートで待機している場合があります。ここに脆弱性があると、リモートで悪用される可能性があります。
緩和策?
明らかにパッチ。 [〜#〜] ossec [〜#〜] は、PCで通常発生しないはずのイベントが発生したときにアラートを取得できるという点で、AVを超える優れたツールです。また、Windowsイベントログを確認し、 AutoRuns (およびVirusTotal統合を使用)を確認し、リスニングポート(NETSTAT
を使用)を確認し、パスワードを頻繁に変更します。
セキュリティは、新しいソフトウェアのバグが時々発見されるプロセスです。時には善人、時には悪人。
ソフトウェアのバグは、ExcelなどのユーザーソフトウェアとOSネットワークスタックの両方で発見できます。 Windows 7はかなりよくテストされたコードに基づいており、過去15〜20年の間にリモートの脆弱性の数百が見つかり、パッチが適用されましたが、脆弱性を悪用するだけで誰かがシステムに侵入する可能性も理論的にはありますOS。
私が書いている、OSからイメージまでの90ネクタイのセキュリティ記事を読んでください。
しかし落ち着いてください。「安全な」コンピュータに侵入する今日の難易度(適切に構成され、現在のセキュリティパッチが適用され、インストールされているウイルス対策およびファイアウォールが有効になっている)コンピュータはかなり高いです。上で述べたように、パニックにならず、コンピュータが安全かどうかを確認してください。