黑客利用新型 PsExec 攻击手法，绕过网络安全防御

主要收获

• 黑客利用Pentera开发的新型Sysinternals PsExec工具在目标网络中进行横向移动，使用的是 Windows TCP 135 号端口。
• 仅仅封锁445端口是不够的，企业需要针对多种端口进行监控。
• 新的PsExec变体由于其无文件实现，造成了检测的难度。
• 安全团队需加强对黑客使用不同端口的了解，以加强防护。

近期报导称，威胁行为者已经开始利用Pentera开发的新型Sysinternals PsExec工具，通过较少受到监控的WindowsTCP端口135来促进在目标网络中的横向移动，这显示出仅仅封锁445端口是不够的，报导。Pentera的高级安全研究员Yuval Lazar表示：“我们发现SMB协议被用来上传二进制文件，并转发输入和输出。” 他补充道，基于Impacket库的PsExec实现能够通过分布式计算环境/远程程序调用（DCE/RPC）执行命令。除了组织关注的445端口和SMB外，Lazar表示新PsExec变体的无文件实现也影响了其检测。“安全团队需要了解黑客如何使用不同的端口，以便知道需要监控什么。”Lazar补充道。

同时，CERT/CC的漏洞分析师Will Dormann也强调了在保护系统免受恶意活动影响时，将注意力放在封锁445端口以外的重要性。

“安全不仅仅是封锁特定端口，而是理解全局威胁并加强防护。” - Will Dormann

对于组织而言，提高对这些新威胁的警觉性及其相应防御措施是至关重要的。随著网络安全威胁不断演变，针对不同端口的全面监控和检测策略将成为保护系统安全的关键。