批量内网主机信息收集方法及系统技术方案

本发明专利技术提供批量内网主机信息收集方法及系统，方法包括：启动预置的批量执行模块，获取不少于2台的远程主机信息，据以确定批量执行参数；利用预置的远程通信模块，根据批量执行参数，从预置WMI库中，获取并注册WMI持久化事件，以提供通信链路，收集并回传远程主机信息，据以获取远程交互式接口SHELL；利用远程交互式接口SHELL，收集内网主机信息。本发明专利技术解决了信息收集准确性较低、收集自动化程度低以及信息收集深度不足的技术问题。息收集深度不足的技术问题。息收集深度不足的技术问题。

【技术实现步骤摘要】
批量内网主机信息收集方法及系统


[0001]本专利技术涉及网络安全领域，具体涉及批量内网主机信息收集方法及系统。

技术介绍

[0002]面对高速发展的互联网技术，确保内网安全是保护企业资产的重中之重。“外强内弱”的网络环境一直持续多年，由于安全策略制定不当，存在部分违反最小特权原则，使内部攻击者日益增多。随着近几年零信任理念的持续升温，企业更加关注内部安全，零信任是“从不信任，始终验证(never trust,always verify)”理念的替代，零信任架构已经在NIST SP 800
‑
207中正式化。通过收集内网主机信息，可以成功掌握局域网终端的运行状态，了解用户的行为模式，可预防和避免计算机安全漏洞而带来的资产损失。现有的内网信息收集技术存在明显的不足：
[0003]例如公布号为CN102123042A的现有专利技术专利申请文献《系统配置智能管理系统及其管理方法》，该现有系统包括：信息收集模块、信息分析模块、信息表示模块和信息展示模块；其中，所述信息表示模块，TCAM发现的配置信息采用JDBC连接Oracle数据库；分类配置信息实现统一格式进行存储，整合；拓扑展示基于主机端光纤卡WWN在存储和交换机端认证的唯一性，把主机，存储和交换机之间的关系关联起来，形成数据中心物理设备之间的拓扑结构；所述信息收集模块用来收集配置信息，基于SSH方式登录到各种系统，执行shell脚本，根据输出结果和需求进行结果分析，获取所需配置信息；所述信息分析模块用来自动分析各配置信息之间的关联关系，对于取出所需配置信息，重新数据格式化，按照规范统一入库；所述信息展示模块用来展示获取的配置信息，通过不同分类，包括：系统平台，存储系统，交换机，物理服务器和虚拟服务器详细展示配置信息；能够对配置信息进行统计分析生产报表，展示服务器，存储系统和交换机之间的动态拓扑结构；管理员能够管理配置信息发现所需的基本信息。以及公布号为CN113791597A的现有专利技术专利申请文献《工业控制系统配置项信息的收集方法、装置及存储介质》，该方法包括：基于至少两种配置项信息提取方式对每一种类型的被运维设备进行配置项信息收集；针对任一类型的被运维设备的任一配置项信息，选择其中信息收集效率最高的配置项信息提取方式作为该种类型被运维设备的该配置项信息的最优配置项信息提取方式；将最优配置项信息提取方式保存至一优化策略库；获取当前被运维设备的类型，根据当前被运维设备的类型在优化策略库中查询各个配置项信息对应的最优配置项信息提取方式，并以最优配置项信息提取方式进行配置项信息收集。前述传统WMI技术信息收集技术存在收集信息有限，且易被EDR等安全软件拦截；
[0004]此外，渗透测试人员在进行信息收集时，需要尝试大量的信息收集软件，难以统一，工作量较大，无法实现自动化，且信息收集的深度与准确性依赖于渗透测试人员的技术能力；
[0005]鉴于以上问题，实现一款全面、准确、支持自动化的内网信息收集软件是亟待解决的问题。
[0006]综上，现有技术存在信息收集准确性较低、收集自动化程度低以及信息收集深度
不足的技术问题。

技术实现思路

[0007]本专利技术所要解决的技术问题在于如何解决现有技术中信息收集准确性较低、收集自动化程度低以及信息收集深度不足的技术问题。
[0008]本专利技术是采用以下技术方案解决上述技术问题的：批量内网主机信息收集方法包括：
[0009]S1、启动预置的批量执行模块，获取不少于2台的远程主机信息，据以确定批量执行参数；
[0010]S2、利用预置的远程通信模块，根据批量执行参数，从预置WMI库中，获取并注册WMI持久化事件，以提供通信链路，收集并回传远程主机信息，据以获取远程交互式接口SHELL；
[0011]S3、利用远程交互式接口SHELL，收集内网主机信息。
[0012]本专利技术基于WMI持久化事件技术，利用Windows系统的事件驱动机制，对命令执行操作注册为持久化事件，当条件满足时触发执行，并且可绕过部分主流安全软件的检测。在信息收集广度层面，包括用户信息、进程信息、网络信息、反病毒软件信息、操作系统、硬件信息收集、最近打开文件及已安装软件等信息的收集。在信息收集深度层面，包括用户信息中用户SID；进程与网络信息中进程PID、通信端口与用户所属域的三元组关系，即PID
‑
PORT
‑
DOMAIN(12252
‑
23312
‑
DOMAIN\user11)，为详细分析进程通信提供了理论依据；最近打开文件信息基于文件系统的树形结构进一步挖掘用户行为信息，为后续的敏感行为分析、用户和实体行为分析(UEBA)提供数据支撑。在绕过反病毒软件层面，由于直接调用wmic.exe、Win32_Process类中Create()方法和psexec.exe等横向移动工具易被反病毒软件拦截，本专利技术在WMI持久化事件的基础上，调用非主流的VBS脚本，通过代码混淆、特征码定制修改、NOP指令替换等技术，克服了应用程序免杀的难点，成功绕过反病毒软件的检测。
[0013]在更具体的技术方案中，远程主机信息包括：IP、用户名以及密码字典。
[0014]在更具体的技术方案中，步骤S1中，对远程主机信息进行参数化以及日志重定向操作，据以指定批量执行参数。
[0015]本专利技术以IP、用户名和密码字典参数化的形式支持批量内网信息收集，收集信息全面，支持多线程，支持结果重定向到日志文件，并且是针对系统脆弱性的信息收集，为后续安全测试提供数据支撑，提高了信息收集的准确性。
[0016]在更具体的技术方案中，步骤S2包括：
[0017]S21、注册WMI持久化事件中的预置类，以根据通信链路，收集并回传远程主机信息；
[0018]S22、根据远程主机信息，基于预置哈希传递命令执行，并获取远程交互式接口SHELL。
[0019]在更具体的技术方案中，步骤S21中，预置类包括：事件过滤器类EventFilter、活动脚本事件消费者类ActiveScriptEventConsumer以及消费者绑定筛选器类FilterToConsumerBinding。
[0020]在更具体的技术方案中，步骤S21包括：
[0021]S21、注册事件过滤器类EventFilter；
[0022]S22、注册脚本事件消费者类ActiveScriptEventConsumer；
[0023]S23、调用VBS脚本；
[0024]S24、注册消费者绑定筛选器类FilterToConsumerBinding；
[0025]S25、利用VBS脚本，根据事件过滤器类EventFilter、注册脚本事件消费者类ActiveScriptEventConsumer以及注册消费者绑定筛选器类FilterToConsumerBinding，据以完成WMI持久化事件的注册操作。
[0026]在本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.批量内网主机信息收集方法，其特征在于，所述方法包括：S1、启动预置的批量执行模块，获取不少于2台的远程主机信息，据以确定批量执行参数；S2、利用预置的远程通信模块，根据所述批量执行参数，从预置WMI库中，获取并注册WMI持久化事件，以提供通信链路，收集并回传所述远程主机信息，据以获取远程交互式接口SHELL；S3、利用所述远程交互式接口SHELL，收集内网主机信息。2.根据权利要求1所述的批量内网主机信息收集方法，其特征在于，所述步骤S1中，所述远程主机信息包括：IP、用户名以及密码字典。3.根据权利要求1所述的批量内网主机信息收集方法，其特征在于，所述步骤S1中，对所述远程主机信息进行参数化以及日志重定向操作，据以指定所述批量执行参数。4.根据权利要求1所述的批量内网主机信息收集方法，其特征在于，所述步骤S2包括：S21、注册所述WMI持久化事件中的预置类，以根据所述通信链路，收集并回传所述远程主机信息；S22、根据所述远程主机信息，基于预置哈希传递命令执行，并获取所述远程交互式接口SHELL。5.根据权利要求4所述的批量内网主机信息收集方法，其特征在于，所述步骤S21中，所述预置类包括：事件过滤器类EventFilter、活动脚本事件消费者类ActiveScriptEventConsumer以及消费者绑定筛选器类FilterToConsumerBinding。6.根据权利要求1所述的批量内网主机信息收集方法，其特征在于，所述步骤S21包括：S21、注册事件过滤器类EventFilter；S22、注册脚本事件消费者类ActiveScriptEventConsumer；S23、调用VBS脚本；S24、注册消费者绑定筛选器类FilterToConsumerBinding；S25、利用...

【专利技术属性】
技术研发人员：张臻，胡绍勇，夏玉明，杨晶，李飞阳，刘祖荣，顾顺，
申请(专利权)人：上海观安信息技术股份有限公司，
类型：发明
国别省市：