当前位置:   article > 正文

hw技战法整理参考

hw技战法

目录

IP溯源反制

账户安全策略及预警

蜜罐部署联动方案

DMZ区防御方案

边界防御策略

拟态防御方案

主机层面防护方案

互联网边界防护

0day漏洞防御思路

API持续识别,精准防控

DNS隐蔽隧道检测防御技战法

UEBA识别内网信息搜集

恶意IP深度追踪与GPS定位

恶意IP自动化识别与封禁

供应链安全风险排查

构建立体防护体系,保障云应用安全

文件检测技术

主机安全防御战略

近源攻击防护体系构建,提升新型边界防护安全

隐蔽攻击杀手Rootkit取证法

内存马检测与防御

联动处置

拒绝钓鱼,建立零信任意识

以攻代守,积极防御

溯源分析技战法

威胁情报与威胁狩猎在溯源中的最佳实践

无指纹代理攻击检测与防御

移动应用攻击与防御


 

 

IP溯源反制

一、技战法简述

        IP作为能够收集到攻击信息中较为关键的一项,如何通过IP回溯攻击源头成为了一件十分重要的技术,IP溯源关系到是否能够从被动地防守转换成为主动的进攻。

在发现有入侵者后,快速由守转攻,进行精准地溯源反制,收集攻击路径和攻击者身份信息,勾勒出完整的攻击者画像。

二、攻击源捕获

       首先通过安全设备的报警,如态势感知等系统进行判断,将扫描IP、木马、威胁阻断、入侵等事件的攻击IP获取出来,通过对日志流量分析,异常的通讯流量和攻击源目标进行筛选,对钓鱼右键,钓鱼网站URL进行分析,提取敏感IP,通过蜜罐捕获,获取攻击方IP。

对相关的攻击源进行相对应的捕获。

对捕获到的攻击源威胁系数进行划分,对攻击源溯源优先等级进行排序处理。

三、溯源反制

       首先通过IP归属地查询和IP定位工具对IP的所属位置进行初步确定,再通过IP端口扫描,对IP所属主机相关信息进行收集,反向渗透服务器进行分析,最终定位相关攻击者的信息。

       通过对攻击源的相关日志信息,通过搜索引擎,社交平台和社工库对其进行查询,对特征进行匹配,利用ID从技术论坛溯源邮箱,继续通过邮箱反追踪真实姓名,最终找到攻击者姓名和简历等相关信息。

      对域名WHOIS查询对注册人或注册组织查询,对IP历史解析记录和域名注册信息进行溯源分析。

       对样本特征查询,如用户名、ID、C2服务器等信息进行同源分析,如若成功可以查询到攻击者的相关信息。

四、攻击者画像描述

对攻击者的攻击目的进行明确:拿到权限、窃取数据、获取利益、DDOS等进行确定

对攻击者使用的网络代理类型进行确定:国外VPN、代理IP、跳板机、C2服务器等

对攻击手法进行分析:鱼叉式邮件钓鱼、Web渗透、深坑攻击、社会工程、暴力破解等

虚拟身份:ID、昵称、网名

真实信息:邮箱、姓名、物理位置、手机号

组织情况:单位信息、职位信息


账户安全策略及预警

        在攻防演练中,账号安全是业务系统的第一道门槛,针对账户安全的防御显得尤为重要。攻击者无法进入系统,无法从系统功能层面找突破口,从而将攻击者“拒之门外”。根据安全培训T01课程以及往年加强域控服务器、集权类管理平台的防护经验,我司重新对账号安全策略进行梳理,制定了更加严格的策略,使之达到“难爆破、双因素、易监控”的效果,从成本、思路、方法、工具等多个方面梳理防守方和攻击方的防护弱点和攻击思路。基于对攻击方行为模式的剖析,在防守端采取了增强型账户安全策略及预警的防护技战法。

  • 排查自建账户体系

        我司内部业务系统数量大,业务性质复杂,用户涉及全国各城市一线业务员、内勤人员等。虽然业务系统使用统一账户体系,但不同的系统具有个性化需求,导致对于业务系统账号安全难管控、难监测。对此,我司全面梳理资产,排查自建系统。

  1. 增加系统密码复杂度,杜绝弱口令

我司通过对自建系统的梳理,检视密码策略等安全配置基线,对系统密码复杂度规则进行测试,排查存在弱口令的系统。禁用应用自带的默认口令、简单口令、通用口令等。加快推进各类系统账号及应用账号、主机弱口令的清理。在演习前临近时间,修改管理员密码,解决历史泄露问题。

  1. 重点检查登录接口安全

排查自建账户体系或平安集团其他分公司账户体系登录入口、合作伙伴API接口,重点加强认证和防爆破措施,自查或检视接入风控策略。对自建系统的登录接口进行渗透测试,检视验证码管理:严格按照手机短信动态密码、手势密码、图文验证码、滑块验证码的安全要求实施开发,防止自动化攻击,防范恶意注册、暴力破解等风险。检视存量系统账户授权体系,默认权限授权满足最小权限原则。对于我司人员使用的系统,强制要求接入统一账号认证体系统管理,并强制开启强认证策略。

  • 强化统一账号认证体系管理
  1. 强化账号安全策略

2019年起我司逐步升级至更加安全的国产加密方式SM2、SM3等算法,认证体系可动态配置安全策略,非常灵活,集成多因素认证,提升安全性,无缝对接风控系统,监控异常用户。

  1. 开启双因素认证

系统登录双因素认证是对撞库暴库等行为最有效的防御手段,在演习之前,我司全面摸排未开启二次认证的系统,所有使用域控或公司统一账号体系认证的系统,在原有的安全策略基础上,统一接入启用双因素令牌认证。严格检视认证逻辑和相关通知的有效性,避免被绕过。2021年攻防演习期间,靶机系统未发生因账号密码泄露导致被攻入的情况,这也验证了双因素认证的安全有效性。

        从OS镜像(包括docker镜像)、初始化配置脚本、中间件等全面梳理,清理无用账户,修改已被泄露的账户。长期未使用账号进行冻结处理。对于离职员工账号,离职后账号自动失效;长期未使用的账号,由安全人员进一步确认处理清除;外包人员账号,最小权限化。

  • 多维度异常告警监控

任何攻击都会留下痕迹,攻击者会尽量隐藏痕迹、防止被发现;而防守方恰恰相反,需要尽早的发现攻击痕迹,并通过分析攻击痕迹,调整防御策略、溯源攻击路径、甚至对可疑攻击源进行反制。建立全方位的安全监控体系是防守者最有利的武器。

  1. 全流量网络监控

任何攻击都要通过网络,并产生网络流量。攻击数据和正常数据肯定是不同的。部署7套流量监控集群,覆盖公司多个机房内的所有来自互联网、办公测试、分支机构等访问生产、测试的南北向流量。目前平台平稳运行,每日流量日志量为20亿条以上,每日告警信息5万条以上,告警类型包括APT事件、恶意软件、攻击利用、拒绝服务和侦察等,监控人员对告警进行第一时间响应、分析和处置。针对登录接口以及系统关键接口设置了频率告警阈值,当登陆接口存在的大量异常请求,安全监控平台将产生告警信息,联动waf将封禁攻击者IP,从应用层强化了互联网资产的安全保护。

  1. 账号异常行为监控

对于系统一些敏感、高危操作的功能,通过埋点,对涉及业务系统账号的操作行为纳入监控,可精准追踪各业务系统账号登录后的相关操作行为,可知谁在什么时间段做了什么操作,接入风控平台实时监控,一旦发现反常规操作,立即响应确认,封禁账号,查看日志记录,排查系统问题。

  1. 互联网账号密码泄露监控

Github作为一款开源代码平台,给程序员提供了很多便利,但也让很多没有安全意识的员工将账号密码、密钥等配置文件上传。使用Github敏感信息监测,7*24小时不间断监测,对新增敏感信息泄露进行预警和快速处置。

  • 小结

综上所述,此次演习中,我司通过使用该套账户安全策略及预计防护技战法,使之达到“难爆破、双因素、易监控”,基于对账户安全的防御,在防守时采取了一系列更有针对性、更具系统性的防守技战法,优化上线后,取得了一定效果。

通过本次网络实战攻防演习,平安人寿取得了宝贵的经验,这些经验和成果对我司今后整体安全防护策略的进一步演进,整体安全技术的进一步提升具有非常重要的意义。接下来,我司将回顾教训、吸收经验,对演习中所形成的有效工作机制以及所暴露的问题与不足继续深入认真总结,并将相关成果落实到未来常态化的安全管理机制中,进一步推动我司网络安全工作的优化及改进。


蜜罐部署联动方案

  • 概述

为了顺利完成本次演习任务,切实加强网络安全防护能力。在演习中对攻防场景下的常见OA,VPN等管理后台路径进行梳理,如:/admin、/manage、/console 等,在互联网边界WAF针对这些敏感目录进行流量牵引,将命中该目录的攻击流量引流到蜜罐,将把击者引诱至蜜罐,帮助进行定向溯源和攻击诱捕。

  • 实施步骤

     当前主流的网络安全防御体系,一般是由防火墙、入侵检测和防御、Web应用防火墙以及杀毒软件组成,虽然从某种程度上也实现了纵深防御,但是这些安全产品的运作方式主要依赖已知攻击特征库对网络流量进行模式匹配,而对于新型攻击、0day漏洞利用等攻击方式无能无力。

     为了切实加强网络安全防护能力。在总部外网网段使用默安幻阵设备及微步HFish蜜罐建立整体蜜罐体系。在蜜罐上对总部使用的OA及邮件系统进行仿真,通过给攻击方真实的反馈,将攻击方困在仿真的业务环境中,从而在避免攻击方察觉的情况下进行攻击行为的捕获及取证。

  • 在边界安全设备上设置策略,诱敌深入

    配置好以假乱真的蜜罐后,为蜜罐设置与OA,VPN系统高度相似的域名,例如修改oa.xxx.com.cn(实际使用域名)至oa.xxx.com(蜜罐伪装域名)或vpn.xxx.com(实际使用域名)至vpn.xxx.cn(蜜罐伪装域名)等,oa.xxx.com和vpn.xxx.cn均为真实有效的一级域名。在互联网边界WAF上对真实站点设置相关规则,对远程命令执行,SQL注入等漏洞直接阻断,设置相关路径至蜜罐的转发。当攻击者普通漏洞攻击失败后,进一步目录扫描到后台路径时,大概率会对后台进行访问并尝试攻击,从而陷入蜜罐中。

  • 分散部署内网蜜罐位置,威胁感知

     在外网蜜罐部署后,同样在总部内网建立整体蜜罐体系,将蜜罐分散至各隔离网段内,分散至各子网中作为探针节点,在单点被突破的情况下,攻击者极大概率会进行内网探测,获取内网资产,并针对存在的漏洞的业务系统进行攻击。蜜罐在被攻击者横向移动时立即向监控人员告警,监控人员由此可及时发现定位被攻击的网段及资产并进行应急处理。在攻击事件发生的早期对其进行抑制,降低攻击事件损失及影响。即使发生蜜罐逃逸,攻击方也会被限制在该网段内,防止造成更大损失。

  • 记录攻击整体事件,溯源反制

     蜜罐检测到攻击方对互联网VPN蜜罐发生攻击行为,下载VPN安装包及操作手册,立即向监控人员告警,监控人员从攻击日志中提取攻击方IP,反连域名及备案信息,恶意代码等。研判人员根据日志判断攻击者意图,溯源人员对提取的域名备案信息及恶意代码特征对攻击方进行溯源,定位攻击者真实身份。在VPN安装包,VPN操作手册等文件中已预先植入反制木马,攻击方执行VPN安装包后,我方通过蜜罐管理后台进行反制,反控攻击方主机。

  • 实例分析

      自演练开始以来,总部经共截获四百余条蜜罐扫描事件,并对涉及的IP从边界防火墙及时进行封禁。对部分获取到其他网站ID信息的事件进行溯源尝试,发现攻击者使用的IP及反连域名均位于境外,推测攻击者通过代理服务器对总部网络进行攻击,未能在此基础上获取进一步信息。


DMZ区防御方案

1.DMZ

        在网络层面为了解决外部网络不能访问内部服务器的问题,同时针对不同级别资源的保护,DMZ(Demilitarized Zone)的出现很好的解决了这个问题,在网络安全防护当中,我们也可以合理地运用其特性来达成不错的防护效果。

       针对不同资源提供不同级别的保护机制,同时对不含机密信息的公共服务器,比如Web服务器,Email服务器放置在DMZ区中,通过合理的策略策划,在保护DMZ区域中服务器免受来自外部网络入侵和破坏的同时也不会对内网中的机密信息造成影响。对DMZ主机的防护压力会比DMZ隔离区内的主机防护压力小很多,所以我们使用DMZ法也可以很大程度上的减少防御压力。

      首先针对资产的信息系统安全保护等级进行界定,从等保一级至等保五级逐级增高,进行划分,尽可能让DMZ主机设置为等保等级低的机器。把没有包含敏感数据、担当代理数据访问职责的主机放置于DMZ中,这样就为应用系统安全提供了保障。或将区域中设备设置为管理防火墙设备作为一个多个接口的集合方便管理员对相同安全需求的接口进行分类管理,并且划分到相应的安全域,以实现安全策略的统一管理。

        当前网络内DMZ区部署了web应用防火墙对应用层威胁进行防护,保证DMZ区域内的网站系统、邮件网关及其他系统的安全。护网期间为降低从互联网出口处访问网站、邮件、视频的风险,防止红队通过互联网出口访问DMZ区,进行页面篡改或通过DMZ区访问承载系统数据的服务器区进行破坏,需要设置严格的web应用层防护策略,保证DMZ区域安全。

2、策略规划

        通过设置web通用防护策略,提供OWASP定义的十大安全威胁的攻击防护能力,有效防止常见的web攻击。(如SQL注入、xss脚本、CSRF跨站请求伪造)从而防护网站免受网页篡改、网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。同时安全规则集是安全策略的技术实现,一个可靠、一个成功、安全的防火墙高效的安全规则集起到了十分重要的作用。在建立规则集时必须注意规则次序,因为防火墙大多以顺序方式检查信息包,同样的规则,以不同的次序放置,可能会完全改变防火墙的运转情况。如果信息包经过每一条规则而没有发现匹配,这个信息包便会被拒绝。一般来说,通常的顺序是,较特殊的规则在前,较普通的规则在后,防止在找到一个特殊规则之前一个普通规则便被匹配,避免防火墙被配置错误。


边界防御策略

       原有边界防护已较完善,无需进行架构变动,只需要确保防御设备的策略有效性和特征库的及时更新。针对目标系统,通过在目标系统接入交换机和汇聚交换机之间透明部署一台下一代防火墙,实现目标系统的针对性防护,防止服务器群内部的横向威胁。

       下一代防火墙除基本的ACL访问控制列表的方法予以隔离以外,针对用户实施精细化的访问控制、应用限制、带宽保证等管控手段。通号业务系统中存在对外发布的网站、业务等,因此需要对WEB应用层进行有效防护,通过下一代防火墙提供SQL注入、跨站脚本、CC攻击等检测与过滤,避免Web服务器遭受攻击破坏;支持外链检查和目录访问控制,防止Web Shell和敏感信息泄露,避免网页篡改与挂马,满足通号Web服务器深层次安全防护需求。

        根据现有网络,核心交换区部署了应用性能管理系统,攻防演练期间,需要对应用性能管理系统进行实时关注,应用出现异常立即上报,并定位责任人进行处置,保证网络性能稳定,流畅运行。核心交换机双机部署了两台防火墙,物理上旁路部署,逻辑上通过引流所有流量都经过防火墙,通过防火墙对服务器区和运维管理区提供边界访问控制能力,进行安全防护。

        攻防演练期间,核心交换区防火墙进行策略调优,对访问服务器区和运维管理区的流量数据进行严格管控,对访问服务器区内目标系统请求进行管控;防止安全威胁入侵运维管理区,对整体网络的安全及运维进行破坏,获取运维权限。在各分支机构的边界,通过对各类用户权限的区分,各分支机构的不同访问需求,可以进行精确的访问控制。通过对终端用户、分支机构不同的权限划分保障网络受控有序的运行。分支机构的不同访问需求,可以进行精确的访问控制。通过对终端用户、分支机构不同的权限划分保障网络受控有序的运行。专线接入及直连接入分支通过广域网接入区的路由器-下一代防火墙-上网行为管理-核心交换机-服务器区的路径进行访问,因此通过完善下一代防火墙防护策略,达到安全加固的目的。

       通过对全网进行访问控制、明确权限划分可以避免越权访问、非法访问等情况发生,减少安全事件发生概率。

       攻防演练前,需要对下一代防火墙的各类规则库、防护策略进行更新和调优。


拟态防御方案

  • 蜜罐需求

目前绝大部分企业在考虑成本的情况下,对安全设备的投入主要集中在边界防护上面,而边界防护也不是万能的,被攻击者单点突破后大面积内网失控,安全溯源无法快速锁定问题或者无法溯源到真实攻击组织身份等。这就需要有欺骗防御、高捕获率、高仿真度、可溯源可反制的安全产品支撑。

  1. 边界失守

往企业都注重建设外网边界防护能力,但是外网边界防护能力也不是一定牢不可破,比如0day攻击、边界防护设备故障、策略配置异常、未及时更新规则遇到Nday攻击,定向APT攻击、钓鱼社工等等都可能导致边界失守。

  1. 内网失控

内网安全建设中,因为内网的流量较大、内网相关安全、内网出事故后社会影响力较小等原因,企业在进行安全体系建设过程中往往不考虑内网安全建设或者过轻考虑内网安全建设,导致攻击者成功进入内网后畅通无阻,通过一个突破点获取到整个内网的敏感数据等。

       在企业发现安全时间后,时常因为安全设备部署不足、日常存储数据不够、攻击者泄露信息太少无法定位等等原因,导致在应急工作中往往无从下手,溯源时间较长或者无法追溯到攻击者真实的身份等问题。

  • 检测与防护思路

本次的介绍主要有两种蜜罐的部署和防护思路,各有各的优点和不足。

  1. 传统模拟部署、外网部署一拟态防御

拟态防御是指将蜜罐系统进行伪装,伪装自己的身份模拟真实的业务形态,使攻击者无法感知防御系统的存在,从而混下攻击者的目标,或者引导攻击者下载蜜罐系统蜜标为防守方进行网络追踪溯源创造条件。

整体的来说需要达到以下效果:

  1. 让攻击者感知不到蜜罐系统的存在,反制攻击者采用高强度的绕过攻击,或者高度的伪装攻击,避免与攻击者硬碰硬和加大溯源难度。
  2. 对外呈现真实的地址,即便攻击者研究透了业务系统也很难区分真实业务和虚拟业务,后台能动态进行真实业务的和蜜罐系统的调整。
  3. 不用提前定制蜜罐,无需铺设大量的资源,极少熟练的蜜罐,就能实现全面的伪装欺骗效果。
  • 检测模块
  • 检测到攻击,配置成熟的WAF与检测模块进行一个联动,通过WAF产生的告警日志传输到检测模块进行二次分析,发现高度可疑攻击后,检测模块调度分流器,基于攻击者的cookie保持会话,将数据引流到蜜罐的伪装模块。
  • 正常的业务,正常的业务数据则交由真实服务器处理流量。
    1. 伪装模块
  • 承受真实的攻击数据,避免真实的攻击数据影响正常服务器。
  • 动态模拟业务,使攻击者无法识别当前服务器的真伪。
  • 密标诱导,蜜罐系统植入蜜罐,有道攻击者进行下载,协助对攻击者进行溯源分析。
    1. 技术说明
  • 在检测模块识别攻击者数据后,采用热迁移技术将攻击者数据引流在拟态蜜罐系统中,使整个过程攻击者毫无发现。
  • 基于cookie保持会话,避免因为WAF的部署方式或者攻击者切换地址导致会话中断等。
  • 对于后门的引流,采用进程牵引技术,在攻击者不知情下植入webshell攻击。
    1. 外网部署二混淆防御

        因为第一种方式需要独立针对业务系统对蜜罐进行开发、涉及等,成本较大,因此将降低难度的情况下,可以在外网部分通过互联网端口的映射方式进行部署,假设真实的业务地址使用端口120.1.1.1:443,为“某某商城系统”,为了诱导攻击者转移攻击视线,我们将蜜罐探针系统映射120.1.1.1:8089端口,更改前端页面数据为“某某商城系统管理系统”,刻意制造一种我们的仿真蜜罐系统价值更大,更容易攻破的假象。

  1. 内网部分

        在内网侧,根据内网的实际环境在有空闲的IP的业务段,采用单独蜜罐系统模拟生成服务器的形式,在IP资源满了的业务地址是,直接在服务器中部署agent的形式生成虚假的服务,混淆攻击者视野,诱导攻击者优先攻击欺骗服务,从侧面保护企业真实的业务。

       在互联网业务主机,堡垒机,蜜罐中投放蜜标,针对不同场景定制不同蜜标,引诱攻击者进行点击,下载。同时远程服务器检测到相关异常,接收回传的攻击主机信息并向安全管理员发出告警,使其能够利用获取到的攻击数据进行追踪定位及对攻击者的相关分析。

  1. 蜜罐隔离

       蜜罐系统也不是完全安全的,多数蜜罐也采用的docker容器技术,存在一定的容器突破风险,因此对于蜜罐的系统从探针到管理平台均需要独立的建设、引流、严格的网络控制等,确保蜜罐的任何部位被入侵成功后均无法获取到有价值的数据或者突破到其他网络系统。

针对不通重要区域的蜜罐探针,建议分开建设不同、互不相通的蜜罐系统,采用态势平台统一对蜜罐告警日志进行接收、整合。

  • 其他说明

       针对不同行业,如果条件允许,可以结合基站定位、网络流量识别、注册信息调用等手段快速锁定境内的攻击者,这个手段也不建议集成到安全系统中,建议还是手动通过各系统查询,避免不必要风险、额外的成本投入等。


主机层面防护方案

1.态势感知

       利用安全态势感知平台,通过对边界网络流量的全流量的感知和分析,来发现边界威胁。通过潜伏威胁探针、安全边界设备、上网行为感系统,对服务器或终端上面的文件、数据与通信进行安全监控,利用大数据技犬感知数据来发现主动发现威胁。

2.主机层防护

        为了防止服务器主机之间的横向互访攻击,针对系统的服务器主机系统访问控制策略需要对服务器及终端进行检测和加固:

        终端主机被入侵攻击,导致感染勒索病毒或者挖矿病毒,其中部分攻击是通过暴力破解的弱口令攻击产生的。EDR主动检测暴力破解行为,并对发现攻击行为的IP进行封堵响应。针对Web安全攻击行为,则主动检测Web后门的文件。针对僵尸网络的攻击,则根据僵尸网络的活跃行为,快速定位僵户网络文件,并进行一键查杀。

       另外通过下一代防火墙开启服务器防护功能模块,可实现对各个区域的We服务器、数据库服务器、FTP服务器等服务器的安全防护。防止黑客利用业务代码开发安全保障不利,使得系统可轻易通过Web攻击实现对Web服务器、数据库的攻击造成数据库信息被窃取的问题:

       利用下一代防火墙通过风险评估模块对服务器进行安全体检,通过一键策略部署的功能WAF模块的对应策略,可帮助管理员的实现针对性的策略配置;利用下一代防火墙入侵防御模块可实现对各类服务器操作系统漏洞(如:winserver2003、inux、unix等)、应用程序漏洞(TTS服务器、Apache服务器、中间件weblogic、数据库oracle、MSSQL、MySQL等)的防护,防止黑客利用该类漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击获取服务器权限、使服务器瘫痪导致服务器、存储等资源被攻击的问题:

        另一方面针对系统的服务器主机系统访问控制策略需要对服务器及终端进行安全加固,加固内容包括但不限于:限制默认帐户的访问权限,重命名系统默认帐户,修改帐户的默认口令,删除操作系统和数据库中过期或多余的账户,禁用无用帐户或共享帐户;根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;启用访问控制功能,依据安全策略控制用户对资源的访问:加强终端主机的病毒防护能力并及时升级恶意代码软件版本以及恶意代码库。


互联网边界防护

  1. 1、安全感知防御、检测及响应

构建从“云端、边界、端点”+“安全感知”的防御机制。相关防护思路如下:

        防御能力:是指一系列策略集、产品和服务可以用于防御攻击。这个方面的关键目标是通过减少被攻击面来提升攻击门槛,并在受影响前拦截攻击动作。

        检测能力:用于发现那些逃过防御网络的攻击,该方面的关键目标是降低威胁造成的“停摆时间”以及其他潜在的损失。检测能力非常关键,因为企业应该假设自己已处在被攻击状态中。

        响应能力:系统一旦检测到入侵,响应系统就开始工作,进行事件处理。响应包括紧急响应和恢复处理,恢复处理又包括系统恢复和信息恢复。

  1. 安全可视及治理

1、全网安全可视

       结合边界防护、安全检测、内网检测、管理中心、可视化平台,基于行为和关联分析技术,对全网的流量实现全网应用可视化,业务可视化,攻击与可疑流量可视化,解决安全黑洞与安全洼地的问题。

2、动态感知

       采用大数据、人工智能技术安全,建立了安全态势感知平台,为所有业务场景提供云端的威胁感知能力。通过对边界网络流量的全流量的感知和分析,来发现边界威胁。通过潜伏威胁探针、安全边界设备、上网行为感系统,对服务器或终端上面的文件、数据与通信进行安全监控,利用大数据技术感知数据来发现主动发现威胁。

互联网的区域隔离

       在互联网出口,部署入侵防御IPS、上网行为管理,提供网络边界隔离、访问控制、入侵防护、僵尸网络防护、木马防护、病毒防护等。

        在广域网接入区边界透明模式部署入侵防御系统,针对专线接入流量进行控制和过滤。

        办公网区应部署终端检测和响应/恶意代码防护软件,开启病毒防护功能、文件监测,并及时更新安全规则库,保持最新状态。

       服务器区部署防火墙和WEB应用防火墙,对数据中心威胁进行防护;汇聚交换机处旁路模式部署全流量探针,对流量进行监测并同步至态势感知平台;部署数据库审计系统,进行数据库安全审计。

       在运维管理区,部署堡垒机、日志审计、漏洞扫描设备,实现单位的集中运维审计、日志审计和集中漏洞检查功能。

1、互联网出口处安全加固

      互联网出口处双机部署了因特网防火墙以及下一代防火墙进行出口处的防护,在攻防演练期间,出口处防火墙通过对各类用户权限的区分,不同访问需求,可以进行精确的访问控制。通过对终端用户、分支机构不同的权限划分保障网络受控有序的运行。

      对能够通过互联网访问内网的网络对象IP地址进行严格管控,将网段内访问IP地址段进行细化,尽量落实到个人静态IP。

      开启精细化应用控制策略,设置多条应用控制策略,指定用户才可以访问目标业务系统应用,防止出现因为粗放控制策略带来的互联网访问风险。

      对所有通过联网接入的用户IP或IP地址段开启全面安全防护策略,开启防病毒、防僵尸网络、防篡改等防护功能。

       通过对全网进行访问控制、明确权限划分可以避免越权访问、非法访问等情况发生,减少安全事件发生概率。

       攻防演练开始之前,将防火墙所有安全规则库更新到最新,能够匹配近期发生的绝大部分已知威胁,并通过SAVE引擎对未知威胁进行有效防护。攻防演练期间,通过互联网访问的用户需要进行严格的认证策略和上网策略,对上网用户进行筛选放通合法用户阻断非法用户,同时对于非法url网站、风险应用做出有效管控。根据企业实际情况选择合适流控策略,最后对于所有员工的上网行为进行记录审计。需要将上网行为管理设备的规则库升级到最新,避免近期出现的具备威胁的URL、应用等在访问时对内网造成危害。

2、DMZ区应用层安全加固

      DMZ区部署WEB应用防火墙对应用层威胁进行防护,保证DMZ区域内的网站系统、邮件网关、视频会议系统的安全

       攻防演练期间,为了降低用从互联网出口处访问网站、邮件、视频的风险,防止攻击手通过互联网出口访问DMZ区,进行页面篡改、或通过DMZ区访问承载系统数据的服务器区进行破坏,需要设置严格的WEB应用层防护策略,保证DMZ区安全。

       通过设置WEB用用防护策略,提供OWASP定义的十大安全威胁的攻击防护能力,有效防止常见的web攻击。(如,SQL注入、XSS跨站脚本、CSRF跨站请求伪造)从而保护网站免受网站篡改、网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。


0day漏洞防御思路

  • 总结概述

通过诱,捉,查,溯,补,五字技战法发现并处置零日漏洞攻击。

  • 技战法谋略

诱,围绕攻击人员重点目标系统,搭建互联网仿真蜜罐,在此基础上构建欺骗防御体系,成功引诱攻击者使用0day攻击XXX仿真蜜罐;

捉,围绕蜜罐配置全流量监测,日志监测,行为监测,开启蜜罐反制功能,对攻击行为瓮中捉鳖;

查,组织溯源分析组人员,针对攻击全流量与系统日志开展研判分析,精准定位功能接口路径与0day漏洞所在的系统代码文件;

溯,对相关系统文件代码逆向分析,最终定位0day漏洞为XXX,进而实现攻击手法复原重现;

补,针对攻击手段制定防护措施,在WAF等安全设备上临时封禁相关功能接口目录,利用主机加固系统对所有系统下发虚拟补丁,组织全网开展隐患排查,全面消除目标隐患。

  • 实践成效

XXX单位利用如上五字技战法,成功发现处置XXXXX 0day漏洞攻击。据悉,该0day系统广泛应用于金融,电信,能源,政府,军工等领域X万余企业,影响范围极大。


API持续识别,精准防控

为加强集团对业务系统API调用的安全防范,建设部署了API 安全监测与管理平台,提前爬取业务系统已知的相关API接口,并对API接口进行持续发现,建立API清单,基于已知业务逻辑和依赖关系定义API接口调用顺序,防止绕过业务逻辑的访问行为,对API请求参数采用白名单规则的方式进行限制,拒绝非法的API请求参数调用。基于身份鉴别、访问控制、接口限流、API参数校验的方式,对API内外部调用进行精细化的策略管控,有效防范未授权调用、越权调用、DDos等各类API攻击行为;基于语义分析规则和访问基线,如访问成功率、耗时、TPS、并发数等,综合性地对异常行为进行检测分析,对流量、日志等多维度进行实时监控,从采集API数据、解构API报文、联系API上下关系等,能够及时发现并阻断偏离既定规则的异常接口调用行为,如:撞库、爬虫等。X月X日,我单位成功溯源发现一起**黑客组织网络爬虫事件,并上报演习指挥部。


DNS隐蔽隧道检测防御技战法

  • 总结概述

网络隐蔽通道是攻击者绕过网络安全策略进行数据传输的重要途径,而DNS(域名系统)则是实现应用层隐蔽通道的常用手段。

此技战法是通过关联分析技术识别DNS隐蔽隧道攻击,快速定位源地址,达到快速预警,并及时处置的效果,提升实战攻防演练防护能力。

  • 技战法谋略

通过采集全流量监控设备日志、DNS服务器日志、处置知识库、IP地址分配库等数据,利用关联分析等技术,发现利用DNS 隐蔽隧道特征、单位时间内DNS 报文流频率、长度等网络攻击行为,并产生实时告警,告警信息包含有告警时间、告警源IP、告警源所属单位、DNS隐蔽隧道攻击、后门文件特征、风险等级、处置建议等内容,并根据处置建议及时对受攻击主机进行处置,达到保证集团内全网安全性,降低安全威胁的目的。

  • 实践成效

我司在网络攻防实战中通过以上技战法,成功抵御了多起DNS隐蔽隧道攻击行为。


UEBA识别内网信息搜集

单位通过部署安全态势感知平台,采用UEBA用户实体行为分析功能对内部用户和资产的行为分析,对这些对象进行持续的学习和行为画像构建,以基线画像的形式检测易于基线的异常行为作为入口点,结合以降维、聚类、决策树为主的计算处理模型发现异常行为,对用户/资产进行综合评分,识别内鬼行为、已入侵的潜伏威胁、外部入侵行为提前预警。

1、对主机、应用系统等账号登陆时间、地点、频率、次数等进行持续学习和监控,判断是否存在账号登录异常,发现存在xx次主机异常登录行为,经过分析研判证实xx次为正报,已完成处置;

2、对数据库登录地点、登陆时间、访问表、访问数据量、访问数据库频率等进行持续学习和监控,判断是否存在数据异常行为。发现存在xx次数据库异常行为,经过分析研判证实xx次为正报,已完成处置;

3、对服务器主动外连的地址进行持续学习和监控,判断设备是否存在外联异常,发现存在xx次非常见地址下载请求,经过分析研判证实xx次为正报,已完成处置;

4、对终端外发数据地址进行持续学习和监控,判断是否存在外发数据异常,发现存在xx次外发数据行为,经过分析研判均为真长请求,排除数据泄露风险;

5、对访问服务器的地址、端口、时间段、地点的异常监控,判断是否存在访问异常,发现存在xx次新地区RDP访问记录,经过分析研判证实为正常业务维护行为。


恶意IP深度追踪与GPS定位

1.总结概述

在网络安全演习行动时,由于攻击藏匿技术“IP秒拨”的应用,以及防守规则“禁止封C段地址”的限制,在千万IP中精准筛选出恶意IP,是进行深度追踪与GPS定位的首要难题。该技战法基于XX单位自建的“业务系统互联网IP白名单基础库”,以及“威胁情报库”和“攻击队IP数据库”,并结合攻防专家溯源经验,形成以下攻击队IP验证与追踪定位分析战法。

2.技战法谋略

1)消除“噪音IP”,甄选高可信的恶意IP

一是借助深信服防火墙的威胁情报功能,自动化封堵恶意IP,且不记录相关日志,从而消除部分“噪音IP”。

二是依据单位自建的“业务系统互联网IP白名单基础库”,通过深信服防火墙地域访问控制功能,限制与业务访问无关的境外IP、省市地域IP的访问,克制IP秒拨平台的动态地址切换效率,进一步消除“噪音IP”。

三是凭借多重异构的纵深防御体系,拖延攻击者进攻时间。通过深信服防火墙自定义单位时间内IP的访问次数告警阈值、以及设置触发特定行为IP的告警等,并依托深信服SIP平台日志检索分析功能,自动化甄选高可信恶意IP。

2)“三库一平台”联动分析,专家研判恶意IP追踪的价值。

汇聚“三库一平台”数据,即单位自建的“业务系统互联网IP白名单基础库”,以及第三方的“威胁情报库”和防守方集中共享的“攻击队IP数据库”,态势感知平台甄选的高可信恶意IP数据,去除共享类IP,如:CDN、移动基站、网关等,保留独占类的家庭宽带IP和数据中心IP。专家针对遴选出的独占类恶意IP,进一步进行溯源价值研判。溯源价值主要判读依据有:IP是否关联域名、域名是否具备手机号或邮箱等注册信息、IP是否开放可利用的应用端口、IP是否有同C段旁注机会。

(3)恶意IP的GPS定位

尽可能多的采集恶意IP的关联IP信息,以时间为轴,进行攻击者画像,并借助chaipip.com、IPIP.NET等平台,最终确定恶意IP的真实位置。

3.实践成效

将封禁IP,以及“噪音IP”消除的体力活交给了自动化设备,让安全专家有足够的时间和精力去做高价值的工作,该技战法有效克制IP秒拨平台”藏匿技术的同时,也不会对海量攻击IP一封了之,真正贯彻落实了演习活动“以演促防、以练促战”的目的。


恶意IP自动化识别与封禁

  • 总结概述

面对各种各样的网络攻击,在防御上实现自动化入侵响应是企业安全自始至终的诉求,各种防护类、日志审计类等安全产品,最终目标还是为了对网络攻击做出合理的响应,依托当前大数据、人工智能等智能化技术等概念驱动下,实现恶意IP的自动化识别与封禁。

  • 技战法谋略

对于网络攻击,从防御角度来看可以大体分为检测和响应两大步,对应的系统称之为入侵检测系统(IDS,intrusion detection system)和入侵响应系统(IRS,intrusion response system),早期的网络中入侵事件并不频繁,防御系统的设计中心偏向系统的监测和分析模块,把响应的任务留给用户处置,这种设计在现代复杂的网络环境中已逐渐凸显其弊端。

  1. 机器学习模型训练与效果

从采集的TLS网络流量中提取TLS握手阶段关键信息,分析证书特征与握手阶段信息特征,在对原始数据提取相应字段后,根据数据类型进行数据提取、离散化、归一化与独热表示,建立特征工程。主要提取TLS流量的握手特征与证书特征,包括加密套件类型、证书长度等特征。

  1. 深度学习识别模型训练与效果

深度学习建模与机器学习建模的不同之处在于,在特征工程处理时,深度学习无需人工建立特征工程,而是由算法对数据特征进行学习,将流量数据转化成图像的思路。

  1. 策略选择算法

为了对攻击影响进行评估,通常会构建攻击图或者攻击树的数据结构,这种结构用于描述资产之间的联通性和依赖性。具体来说,攻击树用于描述系统的安全状态,能够直观地描述可以通过哪些路径对该目标系统进行攻击,攻击图把网络拓扑、可能的漏洞联系起来,描述了攻击者可能通过哪些路径接触到特定的目标系统。

  • 实践成效

以AI学习为代表的人工智能技术与网络安全相融合的实践日益增多,可以在国家HW、重保等时期,在网络流量方面由人工智能为解决隐蔽隧道恶意加密流量检测识别提供了新的思路。以机器学习为代表的新型流量检测技术领域开展探索与实践,实现恶意IP的自动化识别与封禁。


供应链安全风险排查

  • 总结概述

       大部分软件并不是完全从头进行开发设计的。相反,现在的开发人员频繁的依赖一系列第三方组件来创建他们的应用程序。通过使用预构建的库,开发人员不需要重新发明轮子。他们可以使用已经存在的工具,花更多的时间在专有代码上。这些工具有助于区分他们的软件,更快的完成项目,降低成本,并保持竞争力。这些第三方组件库构成了软件供应链的一部分,虽然它们的集成是有益的,但同时也给软件供应链带来了风险,需要加以保护。

软件供应链是指直接参与开发应用程序的所有组件。它们包括:

  1. 硬件和基础设施
  2. 操作系统
  3. 编译器和编辑器
  4. 驱动程序和依赖关系
  5. 开源脚本和打包软件
  6. 存储库引擎、测试套件和CI/CD工具
  7. 云服务和数据中心

供应链还应该包括各种人员,如外包公司、顾问和承包商。

软件供应链安全的主要重点是将风险管理和网络安全原则结合起来。这样做可以检测、减轻和最小化与应用程序中这些第三方组件相关的风险。

  • 技战法谋略
  1. 评估供应链

为了让应用程序的依赖关系具有完全的可见性,需要对一些问题进行评估,例如:

  1. 开发生命周期的每个步骤涉及到什么?
  2. 是否有承包商具有代码访问权限?
  3. 谁安装软件更新,如何安装?

企业应审核其所有应用程序以及授予内部和外部各自的访问权限。理想情况下, 这应该有完备的文档记录和高度自动化的流程。这样,当发生一些突发情况时,可以很快找出谁有访问权限。

  1. 安全的访问权限管理

一旦攻击者获得了对系统的访问权限,他们往往会尝试通过网络横向移动来找到一个特权账户。如果从成功,他们将使用该账户访问敏感数据或控制其他系统。

出于此原因,一个负责的安全团队应该密切监视特权账户的异常活动。它应该监视密码更改、登陆活动和权限更改,并且应该做出相应的响应。例如,假设一个域管理员账户多次尝试错误密码。在这种情况下,安全小组应该调查并锁定账户,直到他们确定这是一个失败尝试的合法案例。

另外,管理员应该在所有网络账户上应用最小特权原则,只要在必要时才授予高级的访问权限。最后,系统管理员应该使用自动化和组态管理的相关工具来控制和监控账户,这样就没有人为干预和可能出现错误的余地。

  1. 监控第三方

持续监控第三方就有助于减轻供应商泄露或攻击的影响。这有助于解决一些问题,例如在暗网中暴露出来的证书或者任何过去数据泄露的历史。企业可以要求并检查任何供应商的安全文档,以确保其政策和程序符合行业最佳实践和相应安全标准。

  1. 挖掘并修复漏洞

供应链攻击的罪魁祸首是未打补丁的软件。一旦漏洞公告发布给公众,攻击者就会搜索未打补丁的系统并加以利用。因此,安全服务团队必须利用相关工具或进行人工审计来发现第三方代码中的漏洞,并提出补丁和更新等修复方法。

  1. 只使用可信任的伙伴

评估任何潜在合作伙伴的可信度、服务历史、过去的项目和市场声誉是很重要的。对于个人来说,要经常进行严格的背景审查,以确定诸如犯罪记录或破产申请之类的危险行为。对供应商和服务提供商进行类似的尽职调查,事实上,一些法规要求某些供应商必须具备ISO 27001这样的资质。

  • 实践成效

通告本技战法可以识别供应链存在的潜在风险,审核所依赖的第三方,扫描软件组件中的漏洞,并建立一个健全的事件管理计划。


构建立体防护体系,保障云应用安全

  • 总结概述

基于云服务架构的安全防御理念和PDCA持续改进,建立云应用全方位、立体安全防护体系,实现了多级防护、统一安全管理。

  • 技战法谋略

1、网络隔离:通过资源规格和网络规划,实现每个VPC之间默认都是网络隔离的,没有授权相互是不可以访问的。

2、端口最小化:梳理不必要的端口,并进行关闭。建立服务开放机制,定期检查端口开放情况。

3、强化云平台后端防护:强化对云平台后台的防护,加强访问权限控制。

4、漏洞加固:定期检查云平台官网最新的安全补丁情况,并进行安全加固。

5、威胁可视化:通过安全平台对内外部威胁与风险进行可视化监管,并对当前安全态势做出预判。

6、安全审计:通过审计工具对运维和管理资源的操作进行实时录屏和事后追溯,并对操作日志进行审计。

7、数据备份:采取数据备份或快照,防止因攻击导致的数据丢失。

  • 实践成效

1、安全可视化

通过安全态势感知平台,降低主动发现安全威胁的时间,实现可视化监管,规避了由潜在威胁造成的安全事件。

2、威胁闭环管理

采用“威胁风险安全工单”形式,对安全威胁事件进行处置跟踪,保障每个安全事件均100%有效处置。

 


文件检测技术

一、总结概述

在典型攻击链中,文件威胁是入口点的重要一环,通过病毒文件入侵内网主机、恶意文件在用户主机执行等方式,导致主机被控制或敏感数据被盗。本技战法主要通过无特征检测技术针对具体文件威胁事件进行进一步分析。

二、技战法谋略

通过部署终端检测平台将安全云脑和AF等产品持续汇聚并分析热门数据,及时演进提升检测能力,覆盖最新病毒,从而快速定位到恶意文件将问题扼杀在摇篮。SAVE防病毒引擎,基于企业级安全数据,采用合理的黑白识别判定机制,借助精细化的特征工程,提取高层次特征数据,训练出的智能模型具备很强的自我泛化能力,能够有效检测已知和未知病毒及变种,摆脱依靠特征库识别的弊端。不需要频繁更新病毒库,保持高检出率。SAVE 会从文件的头、节、资源和签名等多个部分提取信息,作为判别输入。对于原始二进制文件,SAVE 通过多种方法提取出信息量丰富、类间界限明显,稳定可靠的的高层次向量化特征。基于特征向量,SAVE 利用集成学习,综合多种分类算法进行鉴定。最后,综合评分系统整合各模型检测结果,综合判断文件黑白属性。同时对于文件检测能够直接穿透多层压缩包进行精确检测,当主机上存在恶意文件写入、读取和修改等操作时,终端检测平台能够及时发现并进行弹框告警,以便对事件进行快速闭环处置。

三、实战成效

当服务器或终端存在恶意文件时,并打开样本所在文件夹,文件实时监控能检测到威胁文件,并弹出如下告警提示。


主机安全防御战略

  • 总结概述

主机安全防御战略是抵御攻击者利用Quantum(量子)攻击劫持国铁集团网上用户的正常网页浏览流量,同时防止0DAY攻击并远程植入后门等一系列复杂网络攻击的专项技战法。

  • 技战法谋略

(一)浏览器0DAY漏洞利用攻击防护

对浏览器及插件异常进程行为、堆栈模块异常调用进行内存级的全面监控,提供基于网络层的实时拦截能力,实时捕获通过FoxAcid(酸狐狸)发送的各类浏览器0DAY漏洞,有效阻止针对浏览器的0DAY漏洞利用攻击的发生。还能对流入本机的网络数据包和行为进行检测,根据策略在网络层拦截漏洞攻击。

(二)恶意样本下载拦截

通过实时动态鉴定识别木马病毒的行为、计算行为的特征,再结合木马病毒的特点,对通过下载软件、浏览器下载的文件进行安全检测,防止从网络应用下载恶意程序,对VALIDATOR(验证器)、UNITEDRAKE(联合耙)为代表的NSA专属后门程序实现精准识别,对发现的风险进行提示和拦截。

(三)终端恶意行为监测

依靠多维度高质量的威胁情报、多维度全景安全知识库,聚焦终端异常行为事件,以ATT&CK技战术视角实现归因分析和精确溯源,能够对Quantum(量子)攻击系统在目标终端的攻击指标进行全面侦测,通过持续监测终端异常活动行为、检测安全风险、深度调查威胁事件、提供补救响应等手段,主动发现高级持续攻击行为。

  • 实践成效

在信息中心的持续赋能之下,不断持续升级针对国内外APT攻击的检测与对抗能力,为集团、各路局的实战攻防演练及防御外敌提供有力支撑。同时,在技术层面也补充了传统终端安全产品防御高级威胁能力的不足,解决了终端作为Quantum(量子)攻击的重要跳板和载体,实现高效防御效果。


近源攻击防护体系构建,提升新型边界防护安全

近源攻击作为可落地的新型攻击形式,已经逐步渗入近年的攻击范围。利用新型边界的理解,对目标的网络状态、现场环境、物理位置等因素灵活地更换攻击方式。为构建完整的各类无线通信技术、物理接口和智能设备防护体系,从内部根治问题,从多个维度对整体进行防御。

无线网络(主要的近源攻击手段):

  1. 模仿有线网络下的蜜罐环境部署,通过在企业内部部署无线蜜罐的方法,利用含有明显缺陷(例如弱口令、低安全加密算法等)的无线网络接入点来吸引攻击者连接,通过蜜罐网络中的多台蜜罐主机延缓攻击者攻击进度,收集攻击者信息;
  2. 开启具有强制登录入口的公共wi-fi热点,引诱攻击者设备对公共wi-fi热点进行连接。构建与公共wi-fi热点服务区别号相同的隐藏蜜罐热点,并将攻击者设备从公共wi-fi热点踢出,迫使攻击者设备与隐藏蜜罐热点重连,最终利用隐藏蜜罐热点对攻击者设备进行溯源分析。

HID(提供数据输入的人机交互设备):

  1. 对单位大楼过道、楼道、大厅等位置预留的网线接口,采取安全管理,禁止“即插即用”;
  2. 对USB接口进行安全管理,利用统一终端管理系统对单位内USB接口设备实行信任认证,实现USB接口设备与人员一一对应。确保陌生USB接口设备(包括但不限于“钓鱼U盘”“病毒U盘”)无法接入;
  3. 智能设备统一安全管理,包括但不限于大屏、终端缴费机、终端取票机,定期对设备进行安全修复,指定专人对设备进行日常安全运维。谨防在存在漏洞的情况下,攻击者可绕过限制使用其进行网络攻击。

物理潜入:

  1. 对单位内部实行人员身份管理,限制陌生人员进场,可进场人员均实行身份校验;
  2. 对单位“隐藏入口”加强人员管理,大多数单位正门均为严格审核区域,但对于员工通道、消防通道、货梯、地下车库等“隐藏入口”,往往就处于安保薄弱区域。而对于近源攻击人员而言,越深入目标单位内部,发现问题的可能性越大。

20XX年X月X日,我单位成功发现一起可疑人员恶意潜入单位内部组织开展近源攻击行为,已于控制人员后第一时间分析记录并上报演习指挥部,并及时对单位内部区域管理薄弱处进行筛查加固。


 

隐蔽攻击杀手Rootkit取证法

  • 总结概述

Rootkit是业内公认的最难检测的隐藏手段,因此经常被攻击者使用在高质量的APT攻击中。于攻击者经常利用Rootkit秘密地实施入侵,窃取敏感信息,因此Rootkit在业内经常会被当成恶意软件,但从技术视角,Rootkit并无正邪之分,攻击者可以利用Rootkit秘密地实施入侵,窃取敏感信息,防御者也可以利用Rootkit进行实时监控,搜集证据。

  • 技战法谋略

从防守方的角度出发,主要可以通过内存、网络流量和磁盘文件三个维度对Rootkit进行取证。

内存取证:内存取证的对象是系统在运行时保存在内存中的数据,将运行系统的物理内存中的数据保存到固定的存储介质上,从而达到把易失性的内存数据转化成非易失性的文件。

网络流量取证:网络流量取证是抓取、记录和分析网络流量以发现安全攻击或其他的问题事件的来源,通过流量取证可以获取攻击者的流量特征及其使用的网络基础设施。

磁盘文件取证:磁盘文件取证的对象是保存在存储介质(硬盘)中的数据,通过分析硬盘中的文件,以发现与安全事件相关的异常文件。

  • 实践成效

在本次HW中,我方利用内存取证排查了一件利用rootkit的攻击事件,大致过程如下:

1)攻击者通过Awstats脚本awstats.pl文件的漏洞进入了系统,在/var/tmp目录下创建了隐藏目录,然后将rootkit后门文件传到这个路径下。

2)攻击者通过植入后门程序,获取了系统超级用户权限,进而控制了这台服务器,通过这台服务器向外发包。

3)攻击者的IP地址62.xx.6可能是通过代理过来的,也可能是攻击者控制的其他肉鸡服务器。

4)攻击者为了永久控制这台机器,修改了系统默认帐号mail的信息,将mail帐号变为可登录,并且设置了mail帐号的密码。

5)攻击者在完成攻击后,通过后门程序自动清理了系统访问日志,毁灭了证据。

虽然入侵者删除了系统的一些日志,但是还是留下了很多可查的踪迹,其实还可以查看用户下的.bash_history文件,这个文件是用户操作命令的历史记录。


内存马检测与防御

  • 总结概述

基于硬件虚拟化技术架构构建的内存保护、行为分析、漏洞防御、动态枚举等检测防御,可以有效帮助国铁集团抵御各类内存马攻击。

  • 技战法谋略
  • 脚本内存马检测

可通过对脚本运行时环境(例如:.NET CLR.VBScript执行引擎、JavaScript执行引擎等)内的脚本运行时行为进行监控,发现异常行为来识别此类攻击。

  • 二进制内存马检测

通过对内存中的读,写、执行动作进行监控,发现异常来识别此类攻击。

  • Java内存马检测

通过JVM进程自省,对敏感Java应用服务器接口调用行为监控,收集潜在的内存马载体进程的操作,关联分析敏感行为识别此类攻击 。

  • PHP内存马检测

通过对PHP进程执行行为进行监控,关联分析敏感行为以识别此类攻击。

  • 实践成效

解决内存马无逻辑结构边界问题,可发现内存马仅存在于进程的内存空间与正常的/合法的代码、数据混淆的难题。

解决内存马缺乏稳定的静态特征问题,它依附在进程运行期间的输入数据进入进程,数据可能被加密混淆,可通过特征识别内存马。

解决内存马种类多难检测问题,可检测机制复杂而多样二进制代码片段(Shellcode)、PowerShelll脚本、Web中间件等类型。


联动处置

XX集团于20XX年搭建了态势感知平台,已积累了极为丰富的安全事件处置经验库,集团于去年组织对库内事件类型进行整理、分析和萃取,通过以下思路实现基于事件特征的关联分析并实现处置联动。

基于安全事件场景的攻击树建模:通过梳理业务场景中的攻击事件,以树形图的方式拆解业务访问入口、脆弱性等要素,并事件的攻击链进行最小化拆解与组合。

多源日志采集:从各类安全设备告警、安全日志及系统日志中,匹配攻击链利用的漏洞利用类型,作为安全场景关联分析的“原材料”。

多维度关联分析判定:将攻击链中各项漏洞的利用、异常行为等,逐级关联组成不同层级安全事件场景,并通过时序规则、置信度分析、威胁情报碰撞等组合判断方式指向特定类型安全事件场景。

处置联动:对其中处置方案固定且误报率低的特定事件,通过安全设备联动编排实现自动处置。

同时由于该类模型对于未知的安全事件类型难以生效,XX集团采用了数据挖掘和机器学习的方法训练事件告警相关数据集,生成事件关联规则集合,并由人工确认新型攻击事件模式后收录至规则库中。

通过以上两种方式,XX集团结合实际业务情况,制定了数据库信息泄露、钓鱼攻击等XX项安全事件场景规则,并对外部扫描探测、外部漏洞利用等基础事件场景规则实现了实时阶梯联动处置。

自场景规则于今年3月运行以来,共命中XX次场景规则,协助XX次快速定位安全事件,联动处置率达XX%


拒绝钓鱼,建立零信任意识

  • 总结概述

拒绝钓鱼战略是抵御攻击者构造具有迷惑性的邮件、网站来诱导用户点击下载,获取隐私数据,同时防止木马植入、病毒传播等高危害网络攻击的专项技战法。

  • 技战法谋略

(一)诱导点击攻击防护

钓鱼攻击利用人对迷惑性网站和邮件的信任程度,因此主要通过加强安全意识来防范。用户查看打开网站的地址,是否与输入的网址有差异,是否与官方网址有细微差别,同时注意接收邮件的内容,如果邮件中要求输入账号密码等隐私信息则判断为钓鱼攻击,可以进行上报溯源。

(二)伪装通信方攻击防护

通过身份验证等安全技术,利用安全证书来确定双方身份,在客户端检查传入电子邮件的状态是否是由受信任的证书颁发机构进行数字签名;使用SSL、S/MIME等加密通信协议对通信进行端到端加密;对邮件内容或敏感信息进行加密,确保不外泄。

  • 实践成效

用户接收到“补丁下载”、“信息更新”等具有诱惑的链接和邮件时能够自行判断是否由官方发送,从而接收或放置;对于在聊天群看到的链接则采取非必要不点击的措施,从而拒绝被钓鱼。

对电子邮件发送方进行身份验证符合《互联网电子邮件服务管理办法》,并且能够显示邮件是否为钓鱼邮件,一定程度上防御用户遭受钓鱼攻击;对邮件内容和通信的加密则确保了电子邮件机密性、完整性和身份真实性。


以攻代守,积极防御

XX集团经过近年来的安全体系建设,已经初步实现了网络安全滑动标尺模型中的架构安全、被动防御、主动防御与威胁情报的安全类别,但对于积极进攻与反制这部分还未有过系统性的探索。

今年XX集团通过深度解读MITRE Shield积极防御战术,联动集团安全监测体系与蜜场体系并结合集团实际情况,选取8种战术中的6种:引导、收集、遏制、检测、促进、合理化进行探索,同时辅助以威胁情报及溯源反制技法,快速定位攻击源,掌握主动性。实战中以多点监测、牵引判定、蜜场隔离、仿真环境及系列诱饵诱导、指纹信息情报匹配、溯源反制等方式实现基于XX集团现状的整套积极防御理念的落地,真正做到了以攻代守。

集团通过基于积极防御理念搭建的蜜场防护体系,共捕获了XX起非法攻击事件,经溯源确认为XX组织攻击行为。在本次护网行动中发现了XX起攻击行为,并将其诱导至蜜场XX环境中,并成功通过XX反制攻击者XX服务器,获取XX关键指纹特征,最终成功溯源。


 

溯源分析技战法

本次护网防守,监测溯源分析按照三个阶段开展,第一阶段:监测及威胁分析研判阶段,通过监测组初步研判分析后,同步需要溯源的IP至溯源组,进入第二阶段。详细的溯源分析技战法如下:

(一)IP定位技术

在拿到可进一步溯源的攻击IP后,对IP进行物理位置定位,根据查询到IP情报信息判断IP是否为IDC的IP、CDN的IP还是普通运营商的出口IP,通过IP反查可能会查询到攻击者使用的web域名、注册人、邮箱等信息。

一般常用的IP查询工具有:

  1. https://site.ip138.com/3566t.com/domain.htm
  2. https://www.aizhan.com/
  3. http://ip.tool.chinaz.com/ip.tool.chinaz.com
  4. http://whoissoft.com/
  5. IP地址查询,IP whois信息查询,IP域名反查 - T00ls.Com
  6. http://www.ipip.net/ip.html

具体分析过程如下:

  1. 首先通过IPIP.net网站或者其他接口,查询此IP为IDC的IP、CDN的IP还是普通运营商的出口IP。

  1. 通过ti.sangfor.com.cn、站长之家或者whois.domaintools.com等网站可以查询域名的注册信息。

在通过IP定位技术溯源过程,应注意以下情况:

  1. 假如IP反查到的域名过多,考虑就是CDN了,就没必要继续去查了。
  2. 假如是普通运营商的出口IP只能使用一些高精度IP定位工具粗略估计攻击者的地址,如果需要具体定位到人,则需要更多的信息,比如攻击者使用的工具指纹等。

(二)ID追踪技术

在通过IP定位技术追踪到攻击者后,可通过指纹库、社工库等或其他技术手段抓取到攻击者的微博账号、百度ID等信息,一般通过以下技术手段实现:

  1. 进行QQ等同名方式搜索、论坛等同名方式搜索、社工库匹配等。
  2. 如ID是邮箱,则通过社工库匹配密码、历史注册信息等。
  3. 如ID是手机号,则通过手机号搜索相关注册信息,以及手机号使用者姓名等。

例如,当通过ID追踪技术手段定位到某攻击者的QQ号、QQ网名等信息,通过专业社工库可以进一步追踪攻击者使用的QQ号注册过的其它网络ID,从而获取更多攻击者信息,从而确定攻击者的真实身份。

(三)攻击程序分析

攻击者如果在攻击过程中对攻击目标上传攻击程序(如钓鱼软件),可通过对攻击者上传的恶意程序进行分析,并结合IP定位、ID追踪等技术手段对攻击IP进行分析溯源,常用的恶意程序分析网站有:

  1. 深信服安全中心(ti.sangfor.com.cn)
  2. Anubis(http://anubis.iseclab.org)
  3. joe(http://www.joesecurity.org)
  4. 微步在线云沙箱:https://s.threatbook.cn/
  5. Virustotal:https://www.virustotal.com/gui/home/upload

当发现攻击者对防守目标尝试进行远程木马下载攻击后,可以通过下载链接取样,进行恶意程序分析,提取回连代理IP、域名等,进一步对回连代理IP、域名做详细分析溯源。

(四)仿真环境诱捕

搭建模拟生产环境的服务器主机,并在主机上放入伪装成机密资料的免杀远控木马。

反攻思路:

  1. 通过github等公开资源共享网站投放预先选定的员工邮箱,诱导攻击队对邮箱发送钓鱼邮件,收到钓鱼邮件后放在事先准备好的模拟服务器上运行,被攻击队控制后,攻击者下载被控主机上伪装成敏感资料的木马,运行后反控获取到攻击者主机shell,并结合钓鱼邮件、攻击者主机等信息进行溯源。
  2. 通过互联网蜜罐捕获到的远控木马,在仿真环境中运行,诱导攻击者进行敏感文件下载运行,从而实现反控对方主机,获取攻击者个人信息。

(五)监测设备定位追踪

分析监测设备流量日志以及业务系统日志,排查业务系统注册记录,对护网期间注册用户信息进行收集和定位追踪,需要特别留意省外的注册用户,根据用户注册/登录时使用的手机号、邮箱、微信等个人信息指纹,进行ID追踪溯源。

(六)溯源成功上报模板

成功溯源到攻击者信息后,进入第三阶段溯源成果上报,溯源报告需要包含以下三点:

  1. 攻击者画像描述:对攻击者个人信息的详细描述(姓名、在职公司、QQ号、身份证号、手机号、常用邮箱账号、人物照片等)
  2. 攻击路径还原:还原攻击者入侵路径(告警事件、告警时间、源IP、目的IP、处置方式等)
  3. 溯源分析过程描述:溯源过程描述(详细的溯源分析过程描述及相关截图)


 

威胁情报与威胁狩猎在溯源中的最佳实践

  • 总结概述

威胁狩猎是深度检测,采用威胁狩猎专家、安全检测和监测产品等,将检测结果在基线范围之外的,需要做进一步的专项筛查进行“望闻问切”+西医影像,对病灶(例如肿瘤)早发现、早诊断、早处置。

威胁狩猎通过威胁情报的输入,Cyber Kill-Chain(网络杀伤链)、TTPs(战术、技术和过程等)的结合,来发现攻击痕迹并还原攻击链。

  • 技战法谋略

威胁情报数据分类战术:

  1. 事件类分析报告:此类情报描述了攻击的发生方式,对了解攻击者的进程和意图特别有用。
  2. IoCs: IoCs通常使用通用格式进行结构化并通过自动提要获得,因此它们可用于以编程方式配置检测系统。
  3. 恶意软件报告:该类情报可分析攻击者工具的功能,这些报告是由逆向工程二进制文件的工程师生成的,通常使用IDA ProGhidra

攻击链使用战术:

根据攻击链构建攻击模型,生成一个知识图谱用来做攻击者画像和归集。

本质上,威胁狩猎是在IT环境中寻找活动威胁证据的过程。

威胁狩猎实践的核心:

  1. 主动:狩猎不是等待警报或其他信息,而是在警报产生之前寻找入侵者。
  2. 关注线索和假设:搜索是关于遵循线索和想法,而不从工具和基于规则的检测的结论性警报。
  3. 互动和迭代:狩猎遵循线索或线索的过程,目的是寻找入侵者的证据。
  4. 知识依赖:威胁搜寻依赖于先进的威胁知识-严重依赖威胁情报和对组织IT环境的深入了解。

威胁狩猎最后应以某种行动结束,如事件响应、新的检测内容开发,或者至少为下一个更有效的搜索吸取经验教训。

  • 实践成效

通过威胁狩猎过程,溯源得到攻击者的攻击路径。


 

无指纹代理攻击检测与防御

  • 总结概述

随着企业网络安全建设成熟度的不断提高和防守方防御思路由被动变主动的转换,攻击方绕过防护和防溯源意识也明显增强,其中无指纹代理攻击更是攻击方隐藏自身的重要手段之一,本技战法主要针对无指纹代理攻击难检测、难防御的特性进行剖析和谋略部署。

  • 技战法谋略

传统代理攻击检测手段主要基于浏览器User-Agent、访问频次、IP属性及威胁情报等进行单一维度的识别,存在误报率高、时效性差等问题,对于定制化切换代理的黑客工具更是望尘莫及,所以如何高性价比的提高攻击成本,是对抗代理攻击的首要目标。

通过精确唯一关系链算法,在首次访问时即建立隐式绑定关系,该关系的核心要素为“两点一链”,其中“两点”分别为客户端综合身份ID和服务端鉴定标识ID,“一链”为基于访问时间轴和行为特征的基线。三要素共同作用结合人工智能持续优化算法精准识别无指纹代理攻击行为:

  1. 客户端综合身份ID

配合应用负载均衡、WAF、API网关等无感嵌入采集身份的JavaScript,将采集的信息(如软硬件细节、操作系统、浏览器、地理信息等)回传至服务端,服务端根据采集到的信息综合运算生成客户端身份ID。

  1. 服务端鉴定标识ID

针对独立客户端ID的每次访问,服务端均会根据访问的行为特征即标签(如业务正常访问、批量扫描、WEB攻击、系统攻击等)聚合归并后再结合历史置信度生成对应的鉴定标识ID。

  1. 基于访问时间轴和行为特征的基线

基于服务端实际提供的服务形式和内容,建立正常业务访问基线,当出现偏离该基线的情况(服务与访问时间轴、形式不匹配等)及时产生告警以便采取更有针对性的处置措施。

  • 实践成效

本技战法可快速定位和识别高隐蔽性代理攻击,算法结合多个评价维度,攻击者绕过和破解难度更大、攻击成本更高,实现攻击者更换IP、UA等均无法改变唯一关系链的效果,并可以在收集一定量访问的客户端信息和访问行为基线后进行更精准的攻击画像。也可以为业务安全设计提供数据支撑。


移动应用攻击与防御

  • 总结概述

       随着移动互联产业的兴起,移动应用软件(App)逐渐渗透到社会生活的各个领域,App种类和数量呈爆发式增长。然而,随着更复杂、更新颖的恶意软件攻击方法出现,移动业务应用的网络威胁也正在迅速演变,移动应用安全事件频繁发生。

移动应用攻击特点

1. 设备端欺诈

移动应用攻击领域最令人不安的新动向之一,是恶意软件能够直接控制受害者的终端设备来实施欺诈行为。目前,这种高级攻击手法出现在移动银行木马中,可以在用户无感知的情况下操作手机设备实施非法活动。

2. 电话呼叫重定向

攻击者在应用程序安装期间获得呼叫处理权限,通过恶意软件使呼叫者在不知情的情况下,断开用户发起的呼叫连接,并将呼叫重定向至攻击者控制的另一个号码。由于呼叫屏幕继续显示合法电话号码,因此受害者无法知道通话已被转移到非法的呼叫对象,因此也不太可能采取相应的安全措施,会给受害者造成较大的财产损失。

3. 窃取通知直接回复功能

这种攻击模式让恶意软件可以拦截双因素身份验证码来实施欺诈性金融交易,并在需要时篡改通知的内容。此外,通知直接回复功能还可被用于通过向社交媒体应用(比如WhatsApp和Facebook Messenger)发送自动恶意响应,以类似蠕虫的方式将恶意软件传播给受害者的联系人,这种手法名为“推送消息网络钓鱼”。

4. 通过域生成算法规避检测

DGA(Domain Generation Algorithm,域名生成算法)是一种传统恶意软件经常使用的算法,可定期生成大量域名,让C&C服务器更加隐蔽,降低攻击发现几率,增强僵尸网络的鲁棒性。

5.恶意软件功能模块化、流程化

虽然采用模块化方式设计恶意软件已较为常见,但现在发现的移动APP恶意程序开始有体系化的功能更新流程,比如近期发现的Xenomorph恶意软件通过结合模块化设计、可访问性引擎、基础架构优化和C2协议,已能够实现流程化的功能更新和版本迭代,使其危害性和攻击能力更快速地增长,包括自动传输系统(ATS)功能的实现。将来,更多的移动恶意软件家族会通过更完整的更新模式和流程,在受感染的移动设备上不断启用全新的攻击功能。

攻击方式

  1. 大多移动端接口与WEB使用共同接口,通过抓包方式可对接口进行测试,攻击者可对移动端应用进行命令执行、SQL注入、XSS等测试;
  2. 攻击者对移动端应用的IP资产进行扫描,C段、子域名等信息收集;
  3. 攻击者对服务器漏洞、端口漏洞、架构漏洞的挖掘
  4. 信息收集:外包商、技术研发人员等,将代码共享造成敏感信息泄露;
  5. 测试环境对外接口忘记关闭,被攻击者利用直接拿到测试环境服务器权限;

防护思路

  1. 业务功能逻辑的安全:防止数据包重放、短信炸弹、0元支付、优惠券刷单等逻辑漏洞;
  2. 代码安全:防止SQL注入、XSS、CSRF、命令执行等代码漏洞;
  3. 端口漏洞:除了8080、443必须开放端口外,不开放非必须开放端口;
  4. 系统漏洞:服务器补丁的更新、系统漏洞的防护;
  5. 测试环境的防护:测试环境不开放在外网;因特殊需求开放在外网的测试环境,测试中需加强防范,测试完毕后立马关闭;
  6. 边缘资产:对资产的定期梳理,边缘资产的定期排查,发现开放后忘关闭资产系统要及时关闭;
  7. 信息泄露:外包商、分支机构、分公司、技术人员、员工等泄露在外网的资产定期进行线上排查,发现后立马进行清除;
  8. 病毒库检测:对病毒软件、木马文件的安全检测发现;
  9. 边界安全:边界安全防护,其中包括安全产品的部署,waf、ids、ips等部署;
  10. 定期的安全渗透检查、安全基线检查、服务器漏扫等;
  11. 对外包商、第三方接口服务商的管理要求,以及信息的安全存储等
  12. 网路架构的安全规划,测试环境与生产环境、办公环境做到严格隔离;

安全防护

       移动应用攻击正在成为网络犯罪活动的主战场。大多数移动应用安全事件是由系统漏洞、不安全的编码实践,以及缺乏足够的安全测试能力造成的。为了应对这些新的移动应用攻击手法,企业需要确保其网络安全计划中包含了全面的防御手段,包括移动设备管理解决方案、多因素身份验证以及有效的员工访问控制等。

此外,企业安全团队需要在移动业务开发生命周期中加强对应用的测试,更快地发现漏洞,同时监控部署的所有移动应用,以降低发生重大移动应用安全事件的几率。企业可以通过动态移动应用安全测试、对移动开发人员的更好培训以及更加重视移动应用安全来避免发生这类事件。

  • 实践成效

本技战法站在移动应用攻击的角度深入剖析了移动应用的攻击特点及手法,针对攻击链条中的每一步都指出了防护手段,有利于企业自查移动应用安全和抵御攻击,提到移动应用的安全性。


 

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/小蓝xlanll/article/detail/723990
推荐阅读
相关标签
  

闽ICP备14008679号