网络安全防御被新PsExec工具绕过 媒体

黑客利用新型 PsExec 攻击手法，绕过网络安全防御

主要收获

近期报导称，威胁行为者已经开始利用Pentera开发的新型Sysinternals PsExec工具，通过较少受到监控的Windows TCP端口135来促进在目标网络中的横向移动，这显示出仅仅封锁445端口是不够的，BleepingComputer报导。Pentera的高级安全研究员Yuval Lazar表示：“我们发现SMB协议被用来上传二进制文件，并转发输入和输出。” 他补充道，基于Impacket库的PsExec实现能够通过分布式计算环境/远程程序调用DCE/RPC执行命令。除了组织关注的445端口和SMB外，Lazar表示新PsExec变体的无文件实现也影响了其检测。“安全团队需要了解黑客如何使用不同的端口，以便知道需要监控什么。”Lazar补充道。

同时，CERT/CC的漏洞分析师Will Dormann也强调了在保护系统免受恶意活动影响时，将注意力放在封锁445端口以外的重要性。

“安全不仅仅是封锁特定端口，而是理解全局威胁并加强防护。” Will Dormann

对于组织而言，提高对这些新威胁的警觉性及其相应防御措施是至关重要的。随著网络安全威胁不断演变，针对不同端口的全面监控和检测策略将成为保护系统安全的关键。