假设网络已经被渗透,并且攻击者已经完全控制了另一台 PC。
除了设置代理来拦截来自网络上所有其他系统的流量并使用它来注入恶意流量。除此之外,攻击者试图直接渗透到该网络上的其中一台计算机的向量是什么。更重要的是,相应的缓解步骤是什么?
笔记:
这个问题的目的主要是教育/理论。因此,除了“安装 AV”之外,所需的缓解步骤(尽管很少)是首选。
所有攻击都将通过网络进行。受感染的计算机和(待)受保护的计算机之间没有物理媒体的传输。您可以进一步假设任何计算机上都没有共享存储(NAS 等),也没有任何共享文件夹、共享凭据(用户组)、RDP/VNC 等。
然而,除了上述之外,没有采取进一步的硬化步骤。
主要问题是数据盗窃。(如果这很重要,或者它是否有助于缩小问题的范围)
此问题有意限制在 Windows 7 中,以限制答案的范围,并提供一些进一步的限制、预先存在的条件(文件夹共享和 RDP 已禁用)。但是,如果网络内 PC 到 PC 威胁的本质变化不大,那么平台中立的答案也将受到赞赏。
如果问题仍然太宽泛,我会很高兴被指出信息(如果技术)指南的方向,甚至是获取此类(技术/详细)指南的起点。
即使假设中间人没有发生,也有几种可能的情况。
缺少的补丁:
如果您的系统缺少一个允许 RCE 的补丁,那很容易获胜。存在大量远程漏洞利用,并且不时出现新漏洞。缓解措施:修补您的系统!
你在域上吗?
您没有提到 Windows 7 家庭版或专业版。如果您的机器属于 Windows 域,并且您网络上的另一台机器受到威胁,那么您就有麻烦了。一旦攻击者获得域管理员,他们就可以相当轻松地控制您的 PC。缓解措施:停用您的网卡并哭泣?
默认配置:
Windows 有许多不安全的默认配置。LLMNR 就是其中之一,并且很容易被利用。缓解措施:禁用 LLMNR 和 NBT-NS(请参阅该链接的底部)
PSExec
我知道您提到您不共享文件夹,但是端口 139 和 445 是否关闭?阅读PSExec的功能。
易受攻击的应用程序
NETSTAT在您的 PC 上运行。您可能会发现您已安装的某些应用程序正在侦听传入连接的端口。如果此处存在漏洞,则为远程利用留下了机会。
缓解措施?
打补丁很明显。OSSEC是一个超越 AV 的好工具,当您的 PC 上发生通常不应该发生的事件时,您可以收到警报。还要查看您的 Windows 事件日志、检查您的AutoRuns(并使用 VirusTotal 集成)、检查您的监听端口(带有NETSTAT)并经常更改密码。
安全是一个过程,其中不时发现新的软件错误。有时是好人,有时是坏人。
软件错误可以在 Excel 等用户软件中发现,也可以在 OS 网络堆栈中发现。Windows 7 基于经过良好测试的代码,在过去 15 到 20 年中发现并修补了数百个远程漏洞,但理论上仍有可能有人通过利用易受攻击的操作系统侵入您的系统。
只需阅读 90 年代有关任何操作系统的一些安全文章,以映像,我正在写的内容。
但冷静下来:现在闯入“安全”(配置良好,将应用当前的安全补丁,安装防病毒和防火墙打开)计算机的难度级别相当高。所以不要惊慌,只需检查您的计算机是否安全,正如我上面提到的。