本期嘉宾
现代的攻与防——攻防匹敌的汗青变迁
曾经各人谈攻防练习训练,更多的是指通过渗入测试的办法来发现被测目标或平安处理计划的风险及问题,而现代攻防练习训练则较为偏重模仿实战场景下的攻与防的匹敌,详细改变如下:
2016年以前
关于进攻方——次要通过常规渗入测试评估资产平安风险(漏扫+破绽验证形式)。施行前进攻方会得到详细的资产信息列表,施行过程是有标准和约束的,根本点到为行,且有固定的时间。
关于防卫方——堆砌平安设备,称心等保要求,称心国度监管机构的平安审查。
2016年之后
关于进攻方——以目标单元的 内部数据为目标牵引,进攻步队对目标停止 深度进攻,发掘现实场景下的平安问题。练习训练过程只给进攻步队供给单元名称和靶标名称(例如被进攻单元名:华为,靶标名:华为云XX系统),进攻过程不限进攻途径,肆意体例攻到靶标都有效。在进攻途径上所有的资产城市被进攻影响,如下图所示。
关于防卫方——需要专业的平安运维人员(以至有些人之前是进攻步队成员)对平安事务停止阐发。除常规的进攻流量日记阐发、防备战略下发外, 溯源也成为一大新的工做项目。攻防练习训练以至把溯源做为防卫方重点得分项。
攻防练习训练典型进攻手法及防备手段
一般攻防练习训练进攻方的大致流程如下图所示。
1、信息搜集:被动(目标查询拜访、各类帐号搜集、资产信息搜集)+主动(摆设主动化扫描、挂代办署理池、利用云函数)
2、打破鸿沟:阐发信息搜集阶段获取的信息,停止进攻打点,通过0day/Nday破绽+口令破解等打破收集鸿沟,获取权限。
3、权限庇护+横向渗入:进进内网、封闭设备告警实现内网遨游,获取目标数据及权限。
下面从进攻的各个阶段来说说典型进攻手法以及对应的处置办法。
一
信息搜集阶段:主动化多源IP扫描
进攻方通过摆设大量的主动化扫描来施行信息的快速搜集,那些扫描大部门通过代办署理池、云函数办事来施行,以绕过防卫方对扫描方IP封禁的操做。下图为通过某云函数来停止扫描,手艺原理与代办署理池差别,但同样能实现多源IP扫描绕过IP封禁的效果。
利用云函数实现多源IP扫描
下图为被扫描的办事器端的日记,能够看到进攻IP在不竭变更,均为云函数出口IP。
检测、处置构想:
针对该类进攻没有绝对的防备手法,但能够通过各类手段削减可用的进攻IP,大大降低进攻步队的效率。大致办法如下:
1、对单台或多台平安设备威胁日记停止汇总阐发,及时阻断和封禁有风险的外网IP。
2、对重点被扫描或爆破营业及时排查,如非重要营业可暂时关停。
二
鸿沟打破阶段:0day和Nday破绽进攻
0day和Nday破绽进攻不断是近年来攻防练习训练的重头戏,相当一部门进攻步队在提早完成资产信息搜集后,间接操纵0day/Nday破绽+口令破解进进内网。
通过对近期某大型攻防练习训练破绽信息停止整理,破绽类型散布如下图。
而从产物维度来说,攻防练习训练中的破绽次要涉及 OA/ERP软件、平安类产物、Web各类治理平台、Web框架/组件/套件几类产物。
检测、处置构想:
1、 密切存眷破绽信息,及时修补破绽、暂时关破产务,通过自定义签名等手段快速防备。从产物层面来看,攻防练习训练需要重点存眷OA/ERP类产物的破绽及修复,因其可以招致进攻者登录多个营业系统获取大量的数据。而且OA的帐户一般与邮箱、域、VPN能通用。此外,平安类产物破绽也需要重点存眷,被攻破将招致防备系统倾圮。
2、 关于0day/Nday破绽中的通用payload,需要做好检测签名笼盖。例如如下的反序列化RCE0day,需要操纵链特征笼盖。
而有些0day特征和行为比力明显,例如某设备的RCE,能够通过系统号令和灵敏函数特征婚配间接检出。
3、许多高危破绽进攻胜利后的操纵,肯定陪伴着文件生成(上传、不平安函数施行、字符输出重定向等)、外部资本恳求(DNSlog、LDAP/RMI挪用、C2通信成立)。 前者可利用沙箱、EDR类产物检测,后者定见连系外部歹意资产信息库和歹意通信流量检测产物停止检测和阻断。
三
鸿沟打破阶段:垂钓
攻防练习训练中邮件垂钓仍然是次要办法,此外还有微信垂钓、假装内部员工拐骗垂钓、github投毒等体例。
1、邮件垂钓
进攻步队在垂钓样本送达上,一般摘用目标企业存眷的邮件主题类型, 那些主题一般为应聘、应急处置通知、热点事务新闻、员工人事情动、薪酬福利信息、热点破绽清单等。下图为假装面试者送达简历的样本。
文件名:简历张琳.rar
hash值:
5009d3c8b570f4b2f1acc9e6f6d00ffd
假装面试者简历样本
而预备好样本后一般城市大面积批量发送邮件,利用类似如下图的套件,设定好主题模板、垂钓地址、C2办事器垂钓样本,批量发送垂钓邮件。
批量发送垂钓邮件
2、假装蓝队操纵东西github投毒(专钓蓝队)
攻防练习训练期间关于蓝队(防卫方)来说最迫切的无外乎想第一时间晓得一些0day破绽的细节,而红队(进攻方)则会操纵蓝队那一迫切需求,构造含有木马的破绽操纵东西,当蓝队利用破绽东西排查阐发破绽时中招。如下为假装破绽操纵东西:
假装某出名末端防护软件的木马 以软件的破绽为诱饵,在github上发布投毒项目。 项目地址: /******
假装某出名OA软件EXP的木马 假装成蓝队,以OA软件EXP为诱饵,在github上发布投毒项目。 项目地址:
3、添加内部治理人员微信间接发送exe文件
一般通过社工蓝队驻场运维人员,进进防卫单元微信群,再通过一些话术或展示专业防卫技能获得防卫单元治理人员相信,最初添加治理人员微信发送垂钓文件。
检测、处置构想:
1、加强人员平安意识治理,停止需要的平安意识培训
邮件平安意识
看发件人地址: 假设是公事邮件,发件人大都会利用工做邮箱,假设发现对方利用的是小我邮箱帐号或者邮箱帐号拼写比力希罕,那么就需要进步警惕。
看邮件题目: “系统治理员”、“通知”、“订单”、“摘购单”、“**”、“会议日程”、“参会名单”、“历届会议回忆”那类题目的邮件需要隆重翻开。
看注释措辞: 对利用“亲爱的用户”、“亲爱的同事”等一些泛化问候的邮件应连结警惕。
看注释目标: 把稳对方索要登录密码,一般正规的发件人所发送的邮件是不会索要收件人的邮箱登录帐号和密码的。
看注释内容: 把稳邮件内容中的链接,若包罗“redirect”字段,很可能就是垂钓链接;还要把稳垃圾邮件的“退订”功用。
资本平安意识
隆重下载不明来源或不明人士转发的破绽阐发、操纵、检测小东西。不要完全相信杀毒软件的查杀成果(进攻样本一般会做免杀处置),若确实需要利用请在隔离情况(虚拟机)中翻开。
2、诺言度阐发和检测
通过开源威胁信息,对邮件中的邮箱和IP地址停止查询,通过诺言值揣度IP的可信度,能否是歹意IP。
通过域名信息阐发,揣度URL的诺言度。
3、虚拟机阐发及沙箱检测
在可控平安情况中,查看邮件整体内容或翻开各类文件,检测运行历程及其log日记,定位能否存在可疑行为。
对邮件的附件、各类下载文件,通过沙箱模仿实在主机的操做,并对文件操做、注册表操做、收集行为阐发成果停止揣度。
四
权限庇护+横向渗入阶段:后门进攻
据不完全统计,自2020年以来的收集进攻事务中,超越80%的进攻是通过无文件体例完成的。而且,越来越多的Java破绽操纵东西都集成了一键注进内存马的功用。例如Shiro反序列化操纵东西,哥斯拉、冰蝎webshell治理东西。无文件内存马次要类型如下图所示。
检测、处置构想:
1、基于通信层面的检测:通过诺言库及时阻断歹意域名及IP,通过流量检测类产物阐发并及时阻断进攻流量。
2、基于历程、内存级此外检测:因为无文件歹意软件不遵照既定的行为形式,而且经常操纵受相信的历程来掩盖歹意行为,因而依靠行为阐发的平台无法逃踪和表露无文件威胁,也无法检测到他。
所以针对无文件进攻的问题,需要基于利用法式历程、内存级此外平安阐发和检测,一般摘用虚拟化手艺在内存级别监控利用法式历程,并确保他们连结在合法的施行/掌握流上。
完毕语
那些年来跟着红蓝匹敌形式的攻防练习训练越来越普及,攻防两边的存眷点和理论体例都发作较大改变。从实战中总结阐发进攻办法、防卫构想才气不竭提拔企事业单元收集平安防护才能,修建安稳的平安防线。
往期超卓选举
点击“阅读原文”,领会更多华为数据通信资讯!