LG CNS首次发布深度安全报告：涵盖模拟黑客攻击与防御演练

by Lee Jungyun

Published 09 Sep.2024 07:53(KST)

Updated 09 Sep.2024 14:58(KST)

open/close

LG CNS于9日表示，将公开一份基于大数据的《安全漏洞深度分析报告》。

LG CNS“Purple Lab”通过该报告，参考了为应对全球网络威胁而对信息进行收集、分析和利用的威胁情报大数据，对10种典型的活动目录（AD）攻击技术进行了分类。

LG CNS通过开展红队（在组织内部发现弱点、提出问题并推动解决的团队）演练，以及在红队发现的漏洞基础上对系统进行补丁并探查其他潜在漏洞的蓝队模拟演练，将10个攻击场景及相应安全应对方案也纳入了报告。

LG CNS重点讨论了黑客锁定为攻击对象的AD漏洞。AD是全球众多企业为高效管理基础设施和成员而使用的一项服务。企业可通过AD在中央统一管理内部成员的用户账号和权限。一旦黑客控制了AD，就可以盗用企业成员账号，轻易窃取内部机密数据；同时，黑客还可利用AD信息渗透企业的多套系统，植入病毒并使系统瘫痪。由于此类AD黑客攻击可能给企业带来致命性损失，因此其安全重要性极高。

LG CNS列举的主要AD攻击技术包括：Kerberoasting攻击、DCSync攻击、Moniker Link漏洞攻击、Pass-the-Hash攻击、Golden Ticket攻击等共10种。

Kerberoasting攻击是指在AD网络中，为使用共享文件夹、数据库等服务而由用户申请并获得的“票据”（许可权）成为攻击目标，从而获取脆弱账户的密码。票据是通过组合用户账户密码生成的。

为防御此类攻击，有必要使用包含大写字母、特殊符号等在内、长度不少于8位的复杂密码，至少每90日定期更换密码，并持续监控密码漏洞。

DCSync攻击是指黑客伪装成拥有与域控制器同等权限的主体，发起同步请求并尝试访问企业敏感信息的行为。

在Windows服务器域中，负责响应安全认证请求的域控制器因需同步用户凭证更新等变更事项，而拥有域复制权限。这正是其成为黑客攻击目标的原因。一旦黑客实施DCSync攻击，就可伪装成域控制器，复制企业敏感信息，并可能获取所有域用户的账号信息。为追踪黑客攻击痕迹并阻止后续攻击，安全专家必须全面审查主体账户、目标服务器以及事件日志属性。

LG CNS计划通过将于本月26日举行的网络研讨会介绍《安全漏洞深度分析报告》，并讨论制定AD安全强化战略的方法。

Bae Min LG CNS安全与解决方案事业部部长（常务）强调称：“黑客的攻击目标正呈现向内部网络AD转移的趋势。LG CNS正通过AD安全漏洞诊断咨询及渗透测试服务，为企业客户提供差异化的网络安全战略。”