赵阳 / 总经理 / Tenable中国区 现任Tenable中国区总经理，超过20年的安全及IT领域从 业经验，有着丰富的网络安全技术及销售背景，了解国内外最 新的安全技术动态，也曾参与国内多家大型金融机构及企业的 网络安全项目建设。 演讲主题：确保AD域控安全应对网络高级威胁攻击赵阳 Tenable中国区总经理确保AD域控安全应对 网络高级威胁攻击AD是网络基础设施的核心单元 Active Directory拥有进入 企业内网的钥匙 控制身份验证，保留所有密码 管理着对每一项重要资产的访问权 是一款已有20年历史的产品设计 升级AD≠配置更新 多年的技术债务积累了太多问题 Active Directory 实现干净的AD是一个神话 黑客知道如何利用它的弱点 USERS & CREDENTIALS ICS & SCADA E-MAIL APPLICATIONS CLOUD RESOURCES CORPORATE DATA 几乎每起登上头版头条 的信息泄露事件背后都 与已知漏洞和不安全的 Active Directory 有关！   广泛被攻击的根本原因 6 UNITED NATIONS January 2020 SINGHEALTH October 2018 CARBANAK February 2015 AURORA January 2010 SONY November 2014 BALTIMORE June 2019 TARGET December 2013 NORSK HYDRO March 2019的企业存在严重关键配置错误的ACTIVE DIRECTORY问题，根据全球组织进行的评估80%新恶意软件包括特定代码 以攻击ACTIVE DIRECTORY为目标 利用CVE-2020-1472 5小时内，从初始网络钓鱼到域管理员RYUK 企业或组织 依赖ACTIVE DIRECTORY服务>95%RYUK 勒索软件案例 8 通过网络钓鱼攻击作 为附件分发的恶意文 档文件（Dropper） 用户被邀请打开附件， 然后运行恶意代码（1） 下载附加代码： Trickbot或Emotet Trojan.W97M.POWLOADTrojanSpy.Win32.TRICKBOT Or TrojanSpy.Win32.EMOTET Dropper下载Trickbot （2）或Emotet（2） 用于： •窃取凭据 •Active Directory侦 察 使用AD执行横向移动： •MS17-010漏洞 （SMB攻击） •网络共享（泄露帐 户） •PsExec当检测到AD错误配置 （攻击路径）时，将 下载代码（3）的最后 一部分并将其部署到 企业中执行后，它将执 行其加密例程： 本地和共享文件 被加密，赎金 notes被激活Ransom.Win32.RYUK 等待AD配置错误 TRICKBOT DomainGrabber AV和EDR被停用12 3 1 2 2 3 DomainGrabber代码是执行Active Directory侦察的特定“工具”