本发明专利技术实施例提供一种计划任务内网远程横向渗透监测方法及装置。其中监测方法应用于内网中的设备,包括:响应于操作系统的计划任务服务进程调用计划任务创建函数创建计划任务,获取计划任务的创建数据;基于所获取的计划任务的创建数据,若确定计划任务的创建类型为远程调用类型,则获取发起计划任务创建的所述内网中的目标设备的地址;将所获取的内网中的目标设备的地址和计划任务的创建数据,发送至威胁行为识别引擎,以监测创建计划任务的操作是否包含横向渗透行为。本发明专利技术实施例可以解决对网络攻击的监测缺乏有效精确的识别内网远程创建计划任务的行为,提高设备对安全威胁的检测能力。的检测能力。的检测能力。
【技术实现步骤摘要】
计划任务内网远程横向渗透监测方法及装置
[0001]本专利技术涉及网络安全
,尤其涉及一种计划任务内网远程横向渗透监测方法及装置。
技术介绍
[0002]在网络渗透完整攻击链中,内网远程横向渗透阶段是攻击者在一台已经被攻陷的设备上,以这台设备作为跳板,尝试去攻击同一网络内的其他设备,获取更多有价值的凭据,更高级的权限,以此扩大攻击面,进而达到控制整个内网网络。
[0003]计划任务是系统常见的功能,利用任务计划功能,可以将任何脚本、程序或文档安排在某个最方便的时间运行。当我们需要定时执行一些重复性的事件时,可以通过计划任务程序来运行准备好的脚本、批处理文件夹、程序或命令,在某个特定的时间运行。通过计划任务进行远程攻击是攻击者进行内网横向渗透的一个常用攻击手段,它是一种利用操作系统自身机制的能力。
[0004]现有的计划任务监测方法,只能识别本地发起的计划任务操作,对于攻击者利用内网已经被攻陷的设备作为跳板,对内网的其他设备发起远程创建计划任务的行为,缺乏有效精确识别的防护机制,使得作为防御方的设备处于监测失效状态,现有的网络攻击检测手段也无法有效精确的覆盖此类攻击手段。
技术实现思路
[0005]针对现有技术中的问题,本专利技术实施例提供一种计划任务内网远程横向渗透监测方法及装置。
[0006]具体地,本专利技术实施例提供了以下技术方案:
[0007]第一方面,本专利技术实施例提供了一种计划任务内网远程横向渗透监测方法,应用于内网中的设备,包括:
[0008]响应于操作系统的计划任务服务进程调用计划任务创建函数创建计划任务,获取所述计划任务的创建数据;
[0009]基于所获取的所述计划任务的创建数据,若确定所述计划任务的创建类型为远程调用类型,则获取发起所述计划任务创建的所述内网中的目标设备的地址;
[0010]将所获取的所述内网中的目标设备的地址和所述计划任务的创建数据,发送至威胁行为识别引擎,以监测创建所述计划任务的操作是否包含横向渗透行为。
[0011]进一步地,所述监测方法由在所述内网中的设备的所述计划任务创建函数中设置HOOK函数执行;
[0012]在所述计划任务创建函数中设置所述HOOK函数,包括:
[0013]查找所述操作系统的所述计划任务服务进程,在所述计划任务服务进程中安装监控模块;
[0014]通过所述监控模块在所述计划任务服务进程的所述计划任务创建函数中设置所
述HOOK函数。
[0015]进一步地,在所述计划任务服务进程的计划任务创建函数中设置所述HOOK函数,包括:
[0016]确定所述计划任务服务进程调用的计划任务核心功能文件;
[0017]基于计划任务服务接口的标识符,在所述计划任务核心功能文件中确定所述计划任务服务接口;
[0018]在所确定的计划任务服务接口的所述计划任务创建函数中设置所述HOOK函数。
[0019]进一步地,所述基于计划任务服务接口的标识符,在所述计划任务核心功能文件中确定所述计划任务服务接口的地址,包括:
[0020]基于所述操作系统的版本信息,确定所述计划任务服务接口的标识符;
[0021]基于所确定的所述计划任务服务接口的标识符,在所述计划任务核心功能文件中确定所述计划任务服务接口。
[0022]进一步地,所述确定所述计划任务服务进程调用的计划任务核心功能文件,包括:
[0023]确定所述计划任务服务进程调用的Schedsvc.dll或者Taskcomp.dll文件的内存地址。
[0024]进一步地,所述基于所述操作系统的版本信息,确定所述计划任务服务接口的标识符,包括:
[0025]判断所述操作系统的版本信息是否为Windows 7以上的版本;
[0026]若所述操作系统的版本信息为Windows 7以上的版本,则确定所述计划任务服务接口的标识符为第一标识符;
[0027]否则,判断所述操作系统的版本信息是否为Windows XP;
[0028]若所述操作系统的版本信息为Windows XP,则确定所述计划任务服务接口的标识符为第二标识符;
[0029]所述基于所确定的所述计划任务服务接口的标识符,在所述计划任务核心功能文件中确定所述计划任务服务接口,包括:
[0030]基于所述第一标识符,在所述计划任务核心功能文件中确定ITaskSchedulerService接口的内存地址;或者,
[0031]基于所述第二标识符,在所述计划任务核心功能文件中确定IAtSvc接口的内存地址;
[0032]所述在所确定的计划任务服务接口的所述计划任务创建函数中设置所述HOOK函数,包括:
[0033]基于所述ITaskSchedulerService接口的内存地址,在所述ITaskSchedulerService接口的SchRpcRegisterTask函数中设置所述HOOK函数;或者,
[0034]基于所述IAtSvc接口的内存地址,在所述IAtSvc接口的NetrJobAdd函数中设置所述HOOK函数。
[0035]进一步地,获取所述计划任务的创建数据,包括:
[0036]调用应用程序接口函数获取创建所述计划任务的返回数据;
[0037]所述基于所获取的所述计划任务的创建数据,若确定所述计划任务的创建类型为远程调用类型,则获取发起所述计划任务创建的所述内网中的目标设备的地址,包括:
[0038]从所获取的创建所述计划任务的返回数据中,获取所述计划任务的创建类型;
[0039]判断所获取的所述计划任务的创建类型是否为远程调用类型;
[0040]若所获取的所述计划任务的创建类型为远程调用类型,则从所获取的创建所述计划任务的返回数据中,获取发起所述计划任务创建的所述内网中的目标设备的地址。
[0041]第二方面,本专利技术实施例还提供了一种计划任务内网远程横向渗透监测装置,应用于内网中的设备,包括:
[0042]数据获取模块,用于响应于操作系统的计划任务服务进程调用计划任务创建函数创建计划任务,获取所述计划任务的创建数据;
[0043]地址获取模块,用于基于所获取的所述计划任务的创建数据,若确定所述计划任务的创建类型为远程调用类型,则获取发起所述计划任务创建的所述内网中的目标设备的地址;
[0044]信息发送模块,用于将所获取的所述内网中的目标设备的地址和所述计划任务的创建数据,发送至威胁行为识别引擎,以监测创建所述计划任务的操作是否包含横向渗透行为。
[0045]第三方面,本专利技术实施例还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面所述计划任务内网远程横向渗透监测方法的步骤。
[0046]第四方面,本专利技术实施例还提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种计划任务内网远程横向渗透监测方法,其特征在于,应用于内网中的设备,包括:响应于操作系统的计划任务服务进程调用计划任务创建函数创建计划任务,获取所述计划任务的创建数据;基于所获取的所述计划任务的创建数据,若确定所述计划任务的创建类型为远程调用类型,则获取发起所述计划任务创建的所述内网中的目标设备的地址;将所获取的所述内网中的目标设备的地址和所述计划任务的创建数据,发送至威胁行为识别引擎,以监测创建所述计划任务的操作是否包含横向渗透行为。2.根据权利要求1所述的计划任务内网远程横向渗透监测方法,其特征在于,所述监测方法由在所述内网中的设备的所述计划任务创建函数中设置HOOK函数执行;在所述计划任务创建函数中设置所述HOOK函数,包括:查找所述操作系统的所述计划任务服务进程,在所述计划任务服务进程中安装监控模块;通过所述监控模块在所述计划任务服务进程的所述计划任务创建函数中设置所述HOOK函数。3.根据权利要求2所述的计划任务内网远程横向渗透监测方法,其特征在于,在所述计划任务服务进程的计划任务创建函数中设置所述HOOK函数,包括:确定所述计划任务服务进程调用的计划任务核心功能文件;基于计划任务服务接口的标识符,在所述计划任务核心功能文件中确定所述计划任务服务接口;在所确定的计划任务服务接口的所述计划任务创建函数中设置所述HOOK函数。4.根据权利要求3所述的计划任务内网远程横向渗透监测方法,其特征在于,所述基于计划任务服务接口的标识符,在所述计划任务核心功能文件中确定所述计划任务服务接口的地址,包括:基于所述操作系统的版本信息,确定所述计划任务服务接口的标识符;基于所确定的所述计划任务服务接口的标识符,在所述计划任务核心功能文件中确定所述计划任务服务接口。5.根据权利要求4所述的计划任务内网远程横向渗透监测方法,其特征在于,所述确定所述计划任务服务进程调用的计划任务核心功能文件,包括:确定所述计划任务服务进程调用的Schedsvc.dll或者Taskcomp.dll文件的内存地址。6.根据权利要求5所述的计划任务内网远程横向渗透监测方法,其特征在于,所述基于所述操作系统的版本信息,确定所述计划任务服务接口的标识符,包括:判断所述操作系统的版本信息是否为Windows 7以上的版本;若所述操作系统的版本信息为Windows 7以上的版本,则确定所述计划任务服务接口的标识符为第一标识符;否则,判断所述操作系统的版本信息是否为Windows XP;若所述操作系统的版本信息为Windows XP,则确定所述计划任务服务接口的标...
【专利技术属性】
技术研发人员:林岳川,孙诚,
申请(专利权)人:网神信息技术北京股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。