色哟哟视频在线观看-色哟哟视频在线-色哟哟欧美15最新在线-色哟哟免费在线观看-国产l精品国产亚洲区在线观看-国产l精品国产亚洲区久久

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

攻防演練典型攻擊手法及防御手段

華為數據通信 ? 來源:華為數據通信 ? 作者:華為數據通信 ? 2022-10-25 09:54 ? 次閱讀

當代的攻與防——攻防對抗的歷史變遷

曾經大家談攻防演練,更多的是指通過滲透測試的方法來發現被測目標或安全解決方案的風險及問題,而當代攻防演練則較為側重模擬實戰場景下的攻與防的對抗,具體變化如下:

2016年以前

對于攻擊方——主要通過常規滲透測試評估資產安全風險(漏掃+漏洞驗證模式)。實施前攻擊方會得到具體的資產信息列表,實施過程是有規范和約束的,基本點到為止,且有固定的時間。

對于防守方——堆砌安全設備,滿足等保要求,滿足國家監管機構的安全審查。

2016年之后

對于攻擊方——以目標單位的內部數據為目標牽引,攻擊隊伍對目標進行深度進攻,挖掘實際場景下的安全問題。演練過程只給攻擊隊伍提供單位名稱和靶標名稱(例如被攻擊單位名:華為,靶標名:華為云XX系統),攻擊過程不限攻擊路徑,任意方式攻到靶標都有效。在攻擊路徑上所有的資產都會被攻擊影響,如下圖所示。

194d289c-53b0-11ed-a3b6-dac502259ad0.png

對于防守方——需要專業的安全運維人員(甚至有些人之前是攻擊隊伍成員)對安全事件進行分析。除常規的攻擊流量日志分析、防御策略下發外,溯源也成為一大新的工作項目。攻防演練甚至把溯源作為防守方重點得分項。

攻防演練典型攻擊手法及防御手段

一般攻防演練攻擊方的大體流程如下圖所示。

1999fd8e-53b0-11ed-a3b6-dac502259ad0.png

1、信息收集被動(目標調查、各類帳號收集、資產信息收集)+主動(部署自動化掃描、掛代理池、使用云函數)

2、突破邊界:分析信息收集階段獲取的信息,進行攻擊打點,通過0day/Nday漏洞+口令破解等突破網絡邊界,獲取權限。

3、權限維持+橫向滲透:進入內網、關閉設備告警實現內網漫游,獲取目標數據及權限。

下面從攻擊的各個階段來說說典型攻擊手法以及對應的處置方法。

信息收集階段:自動化多源IP掃描

攻擊方通過部署大量的自動化掃描來實施信息的快速收集,這些掃描大部分通過代理池、云函數服務來實施,以繞過防守方對掃描方IP封禁的操作。下圖為通過某云函數來進行掃描,技術原理與代理池不同,但同樣能實現多源IP掃描繞過IP封禁的效果。

19b85e14-53b0-11ed-a3b6-dac502259ad0.png

使用云函數實現多源IP掃描

下圖為被掃描的服務器端的日志,可以看到攻擊IP在不斷變換,均為云函數出口IP。

19db225a-53b0-11ed-a3b6-dac502259ad0.png

檢測、處置思路:

針對該類攻擊沒有絕對的防御手法,但可以通過各類手段減少可用的攻擊IP,大大降低攻擊隊伍的效率。大致方法如下:

1、對單臺或多臺安全設備威脅日志進行匯總分析,及時阻斷和封禁有風險的外網IP。

2、對重點被掃描或爆破業務及時排查,如非重要業務可暫時關停。

邊界突破階段:0day和Nday漏洞攻擊

0day和Nday漏洞攻擊一直是近年來攻防演練的重頭戲,相當一部分攻擊隊伍在提前完成資產信息搜集后,直接利用0day/Nday漏洞+口令破解進入內網。

通過對近期某大型攻防演練漏洞信息進行整理,漏洞類型分布如下圖。

1a7ebf5a-53b0-11ed-a3b6-dac502259ad0.png

而從產品維度來說,攻防演練中的漏洞主要涉及OA/ERP軟件、安全類產品、Web各類管理平臺、Web框架/組件/套件幾類產品。

1ababb04-53b0-11ed-a3b6-dac502259ad0.png

檢測、處置思路:

1、密切關注漏洞信息,及時修補漏洞、暫時關停業務,通過自定義簽名等手段快速防御。從產品層面來看,攻防演練需要重點關注OA/ERP類產品的漏洞及修復,因其能夠導致攻擊者登錄多個業務系統獲取大量的數據。并且OA的帳戶一般與郵箱、域、VPN能通用。此外,安全類產品漏洞也需要重點關注,被攻破將導致防御體系崩塌。

2、對于0day/Nday漏洞中的通用payload,需要做好檢測簽名覆蓋。例如如下的反序列化RCE0day,需要利用鏈特征覆蓋。

1ad7a868-53b0-11ed-a3b6-dac502259ad0.png

而有些0day特征和行為比較明顯,例如某設備的RCE,可以通過系統命令和敏感函數特征匹配直接檢出。

1af9cc40-53b0-11ed-a3b6-dac502259ad0.png

3、許多高危漏洞攻擊成功后的利用,必定伴隨著文件生成(上傳、不安全函數執行、字符輸出重定向等)、外部資源請求(DNSlog、LDAP/RMI調用、C2通信建立)。前者可使用沙箱、EDR類產品檢測,后者建議結合外部惡意資產信息庫和惡意通信流量檢測產品進行檢測和阻斷。

邊界突破階段:釣魚

攻防演練中郵件釣魚依然是主要方法,此外還有微信釣魚、偽裝內部員工誘騙釣魚、github投毒等方式。

1、郵件釣魚

攻擊隊伍在釣魚樣本投遞上,一般采用目標企業關注的郵件主題類型,這些主題一般為應聘、應急處置通知、熱點事件新聞、員工人事變動、薪酬福利信息、熱點漏洞清單等。下圖為偽裝面試者投遞簡歷的樣本。

文件名:簡歷張琳.rar

hash值:

5009d3c8b570f4b2f1acc9e6f6d00ffd

1b2cc780-53b0-11ed-a3b6-dac502259ad0.png

偽裝面試者簡歷樣本

而準備好樣本后一般都會大面積批量發送郵件,使用類似如下圖的套件,設定好主題模板、釣魚地址、C2服務器釣魚樣本,批量發送釣魚郵件。

1b5bd458-53b0-11ed-a3b6-dac502259ad0.png1b80a738-53b0-11ed-a3b6-dac502259ad0.png

批量發送釣魚郵件

2、偽裝藍隊利用工具github投毒(專釣藍隊)

攻防演練期間對于藍隊(防守方)來說最迫切的無外乎想第一時間知道一些0day漏洞的細節,而紅隊(攻擊方)則會利用藍隊這一迫切需求,構造含有木馬的漏洞利用工具,當藍隊使用漏洞工具排查分析漏洞時中招。如下為偽裝漏洞利用工具:

偽裝某知名終端防護軟件的木馬

以軟件的漏洞為誘餌,在github上發布投毒項目。

項目地址:

https://github.com/*****RedTeam/******

偽裝某知名OA軟件EXP的木馬

偽裝成藍隊,以OA軟件EXP為誘餌,在github上發布投毒項目。

項目地址:

https://github.com/Sec-****/2022***0day

1b9d8542-53b0-11ed-a3b6-dac502259ad0.jpg

1bba6748-53b0-11ed-a3b6-dac502259ad0.png

3、添加內部管理人員微信直接發送exe文件

一般通過社工藍隊駐場運維人員,進入防守單位微信群,再通過一些話術或展現專業防守技能獲得防守單位管理人員信任,最后添加管理人員微信發送釣魚文件。

檢測、處置思路:

1、加強人員安全意識管理,進行必要的安全意識培訓

郵件安全意識

看發件人地址:如果是公務郵件,發件人多數會使用工作郵箱,如果發現對方使用的是個人郵箱帳號或者郵箱帳號拼寫比較奇怪,那么就需要提高警惕。

看郵件標題:“系統管理員”、“通知”、“訂單”、“采購單”、“**”、“會議日程”、“參會名單”、“歷屆會議回顧”這類標題的郵件需要謹慎打開。

看正文措辭:對使用“親愛的用戶”、“親愛的同事”等一些泛化問候的郵件應保持警惕。

看正文目的:當心對方索要登錄密碼,一般正規的發件人所發送的郵件是不會索要收件人的郵箱登錄帳號和密碼的。

看正文內容:當心郵件內容中的鏈接,若包含“&redirect”字段,很可能就是釣魚鏈接;還要當心垃圾郵件的“退訂”功能。

資源安全意識

謹慎下載不明來源或不明人士轉發的漏洞分析、利用、檢測小工具。不要完全相信殺毒軟件的查殺結果(攻擊樣本一般會做免殺處理),若確實需要使用請在隔離環境(虛擬機)中打開。

2、信譽度分析和檢測

通過開源威脅信息,對郵件中的郵箱和IP地址進行查詢,通過信譽值判斷IP的可信度,是否是惡意IP。

通過域名信息分析,判斷URL的信譽度。

3、虛擬機分析及沙箱檢測

在可控安全環境中,查看郵件整體內容或打開各類文件,檢測運行進程及其log日志,定位是否存在可疑行為。

對郵件的附件、各類下載文件,通過沙箱模擬真實主機的操作,并對文件操作、注冊表操作、網絡行為分析結果進行判斷。

權限維持+橫向滲透階段:后門攻擊

據不完全統計,自2020年以來的網絡攻擊事件中,超過80%的攻擊是通過無文件方式完成的。并且,越來越多的Java漏洞利用工具都集成了一鍵注入內存馬的功能。例如Shiro反序列化利用工具,哥斯拉、冰蝎webshell管理工具。無文件內存馬主要類型如下圖所示。

1beaa89a-53b0-11ed-a3b6-dac502259ad0.png

檢測、處置思路

1、基于通信層面的檢測:通過信譽庫及時阻斷惡意域名及IP,通過流量檢測類產品分析并及時阻斷攻擊流量。

2、基于進程、內存級別的檢測:由于無文件惡意軟件不遵循既定的行為模式,并且經常利用受信任的進程來掩蓋惡意行為,因此依賴行為分析的平臺無法追蹤和暴露無文件威脅,也無法檢測到他。

所以針對無文件攻擊的問題,需要基于應用程序進程、內存級別的安全分析和檢測,一般采用虛擬化技術在內存級別監控應用程序進程,并確保他們保持在合法的執行/控制流上。

結束語

這些年來隨著紅藍對抗模式的攻防演練越來越普及,攻防雙方的關注點和實踐方式都發生較大變化。從實戰中總結分析攻擊方法、防守思路才能不斷提升企事業單位網絡安全防護能力,構筑牢固的安全防線。

審核編輯:彭靜
聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • 數據
    +關注

    關注

    8

    文章

    7004

    瀏覽量

    88944
  • 函數
    +關注

    關注

    3

    文章

    4327

    瀏覽量

    62573
  • 華為云
    +關注

    關注

    3

    文章

    2445

    瀏覽量

    17410

原文標題:論道攻防系列第2期丨攻防演練態勢及防守思路

文章出處:【微信號:Huawei_Fixed,微信公眾號:華為數據通信】歡迎添加關注!文章轉載請注明出處。

收藏 人收藏

    評論

    相關推薦

    面對外部惡意攻擊網站,高防服務器如何去防御攻擊

    絡惡意攻擊,極大提高網絡安全而降低由于網絡惡意攻擊帶來的風險。目前,高防服務器在骨干節點上都設置了各種防御手段,能夠無視CC攻擊防御DDO
    發表于 05-07 17:00

    公司服務器遭受CC攻擊防御的應急記錄

    記一次公司服務器遭受CC攻擊防御的應急記錄
    發表于 06-17 16:29

    cc攻擊防御解決方法

    。使用防護軟件個人認為使用防護軟件的作用是最小的,只能攔住小型攻擊,很多軟件聲稱能有效識別攻擊手段進行攔截,而大部分cc攻擊能偽裝成正常用戶,還能偽裝成百度蜘蛛的ua,導致被
    發表于 01-22 09:48

    802.11b安全防御手段

    802.11b(靜態WEP+11MB傳輸速度)下各層防御手段由于802.11協議集是基于物理層與數據鏈路層作整合的,因此針對其安全的主要問題大多都是基于此兩層的。以下是通過對802.11b進行風
    發表于 08-04 16:02 ?18次下載

    基于攻擊防御樹和博弈論的評估方法

    防御樹為基礎,計算攻擊者和防御者各自的期望收益函數,并建立系統的攻防博弈模型,求解該完全信息靜態博弈模型的混合策略納什均衡,得到攻防雙方的策
    發表于 11-21 15:43 ?2次下載
    基于<b class='flag-5'>攻擊</b><b class='flag-5'>防御</b>樹和博弈論的評估方法

    基于攻防信號博弈模型的防御策略選取方法

    當前基于博弈理論的防御策略選取方法大多采用完全信息或靜態博弈模型,為更加符合網絡攻防實際,從動態對抗和有限信息的視角對攻防行為進行研究。構建攻防信號博弈模型,對策略量化計算方法進行改進
    發表于 02-11 10:44 ?0次下載

    AI技術在網絡安全攻防中可發揮重要作用

    在網絡安全的攻防演練中,攻擊方叫做藍隊,防守方叫做紅隊,藍隊的水平往往決定了這場攻防演練的質量。
    發表于 08-25 10:35 ?1070次閱讀

    常見的網絡攻擊手段都有哪些,我們該如何采取防御措施

    網絡攻擊中,例如常見的Web攻擊、XSS攻擊、SQL注入、CSRF攻擊以及它們的防御手段,都是針對代碼或系統本身發生的
    發表于 12-02 14:31 ?9092次閱讀

    科普:DDOS高防IP的防御手段

    遭到DDOS流量攻擊不用擔心,防護DDoS攻擊CC攻擊, 目前最有效的辦法就是通過高防IP進行防御,有很多人對高防IP不解,今天我們來講一下高防IP是什么,高防IP的原理又是什么呢?
    的頭像 發表于 06-27 17:45 ?2422次閱讀

    基于單點多步博弈的功防網絡防御模型

    當前復雜環境下網絡安全問題頻發,而現有攻防博弈網絡防御模型未考慮網絡攻擊單點多步的特性,無法有效進行網絡防御。針對網絡攻防實際需求,通過模擬
    發表于 03-11 16:55 ?10次下載
    基于單點多步博弈的功防網絡<b class='flag-5'>防御</b>模型

    基于攻防演練的檢測防御體系建設思考

    攻擊方在實戰中只要實現單點突破即可,作為防守方則要從全局出發對各邊界暴露面和重要的內部區域建立相應的監控防護手段,因此對資產進行全面排查和梳理十分重要,是開展檢測、防御工作的前提和根本。
    的頭像 發表于 03-25 09:34 ?702次閱讀

    華為安全大咖談 | 論道攻防第1期:攻防演練之三十六計——開篇

    手段,包括利用0day漏洞和免殺工具等,不斷嘗試突破防御,出“奇”不窮。 當前,攻防演練正朝著系統化、規范化的方向發展。從早期針對門戶和信息系統的對抗,到現在針對網絡基礎設施和供應鏈環
    的頭像 發表于 08-04 20:20 ?855次閱讀
    華為安全大咖談 | 論道<b class='flag-5'>攻防</b>第1期:<b class='flag-5'>攻防</b><b class='flag-5'>演練</b>之三十六計——開篇

    攻防演練寶典丨進攻方的身份攻擊三板斧,企業怎樣才能防得住?

    的第一道防線。在攻防演練中,身份信息必然成為攻擊方的首要目標,遭受各種形式的攻擊攻擊方有哪些圍繞“身份”展開的
    的頭像 發表于 08-11 18:10 ?542次閱讀

    零信任攻防實踐丨基于零信任理念,助力企業攻防演練

    近年來,APT攻擊、DDoS攻擊等網絡安全問題頻發。為了筑牢網絡安全防線,我國自2016年開始進行實戰攻防演練,以此來強化網絡安全隱患排查整改,推動以攻促防,查漏補缺。 而隨著網絡環境
    的頭像 發表于 08-17 10:05 ?553次閱讀

    網絡攻防模擬與城市安全演練 | 數字孿生

    在數字化浪潮的推動下,網絡攻防模擬和城市安全演練成為維護社會穩定的不可或缺的環節。基于數字孿生技術我們能夠在虛擬環境中進行高度真實的網絡攻防模擬,為安全專業人員提供實戰經驗,從而提升應對網絡威脅的能力。同時,在城市安全
    的頭像 發表于 02-04 10:48 ?663次閱讀
    網絡<b class='flag-5'>攻防</b>模擬與城市安全<b class='flag-5'>演練</b> | 數字孿生
    主站蜘蛛池模板: 成人精品视频在线观看| 1区2区3区4区产品不卡码网站| 99re 这里只有精品| 2021年国产精品久久| 97碰成视频免费| 爆乳啪啪无码成人二区亚洲欧美| 动漫美女被到爽了流漫画| 国产精品久久久久久影院| 黑色丝袜美腿美女被躁翻了| 久久精品国产亚洲AV久五月天| 久热这里只有精品99国产6| 欧美国产在线一区| 添加一点爱与你电视剧免费观看 | 国产乱人视频在线观看| 狠狠干女人| 免费在线伦理片| 同房交换4p好爽| 伊人久久国产免费观看视频| qvod激情图片| 国产乱国产乱老熟300部视频| 久久精品视在线观看2| 翘臀后进美女白嫩屁股视频| 小SB几天没做SAO死了H| 中文字幕天堂久久精品| 俄罗斯xxxxxbbbbb| 久久vs国产| 色www.亚洲免费视频| 妖精视频在线观看高清| 伧理片午夜伧理片| 精品国产麻豆免费人成网站| 欧美中文字幕一区二区三区| 亚洲AV久久无码精品九号软件| 最新亚洲一区二区三区四区| 国产传媒18精品免费1区| 久久理论片| 玩弄朋友娇妻呻吟交换电影| 2021国产精品国产精华| 国产精品九九久久| 男人私gay挠脚心vk视频| 羞羞答答dc视频| 99热在线视频|