应急响应|护网蓝队总结

5f381d74e9ae090182bbb5e3999f57ca

针对即将到来的HW行动,故发表本文希望大家的应对HW防的能力有所提升。

红队角度

对抗!对抗!对抗!
在打目标的时候,一般都是使用迂回战术
因为目标的系统多而杂,有些企业甚至可能不知道自己有哪些系统 ,利用这点从底往上摸,但凡有交互的地方都会摸一遍,只要给个口,里外摸个透。

外紧内松,门户网站或重要系统 多个防护设备,蜜罐,而内网为了办公的便利,防护巨差,甚至内网0防护,一旦从外面打进去,内网横向去打 就会发现一片光明。

什么运维机,什么密码.xls xxx拓扑,里外翻个遍。

上帝视角

最近一段时间,在某行业的HW中做裁判,收到的防守方报告基本都是防御、处置、溯源。(这里说一下,如果在大HW的时候,自身溯源能力差的话,尽早找外援吧,某行业的HW,红队被反控,各个都能去搞情报,如果不是亲眼所见.!)

前期排查

HW的准备阶段也是尤为重要,建议可以在HW前先自行开展一次小HW,发现问题,解决问题。

资产梳理

对废弃边角资产梳理是重中之重,在HW行动开始之前,企业需对自身的资产进行梳理,减少被攻击面。

排查服务器补丁情况,业务系统安全性自查

排查企业自身信息是否泄漏 如:csdn,github,码云,百度文库,百度网盘 等

信息清理

梳理出来的资产进行分组,无用资产 该关就关吧。

蜜罐

蜜罐是个好东西,只能多不能少,能否得分还得靠蜜罐。

防钓鱼

加强对员工的安全意识培训!加强对员工的安全意识培训!加强对员工的安全意识培训!
划重点,很多主目标被沦陷,入口点在钓鱼直接控运维机(你说你气不气)
包括但不限于:邮件、QQ、微信、电话等手段进行钓鱼社工
exe就别说了,想要年终奖 就别乱点。
办公PC机可以安装火绒,因为目前只找到了火绒的策略(文末下载,附使用方法)

防不胜防

各种防护设备放上去 你就觉得你行了?

一般能参加HW的都是国内渗透能力较强的大佬,手里有些Day也比较常见。甚至可能会遭受APT攻击,而大多企业针对定向0day、1day、APT攻击毫无还手之力,尽管手里购买了很多设备,也只能进行被动防御

心态

比赛&发现问题

如果奔着打个比赛。拿个名次,那没救看 该撸穿撸穿吧。
如果本着发现问题为前提的心态,你就会发现 如今的HW,已经实战化,在实战中发现全面问题,大概这才是HW的真正意义。

应急小组

明确应急小组职责,定期排查邮件系统,个人PC机是否被控

面对的问题

防火墙或网闸买得再多、访问控制策略做得再细致和规范,若它们自身就存在0day漏洞或1day漏洞未修补,则直接可被攻破

业务系统接入了云防御,即使云端防御再好,一旦攻击者找到了未做信任策略的源站地址,一切防御将全部失效

内网部署了很好的防御产品和策略,包括防病毒、反垃圾邮件等,但内部员工被鱼叉攻击,依然会泄露重要和敏感信息

业务系统防范严密,却在某个具有出口的测试环境中存在暗资产,或者在GitHub上泄露了数据,导致其成为跳板甚至被进行内网漫游或使攻击者直接获得了某些重要资料和信息

等等场景,不胜枚举

守住自身系统后,也该拿点分数证明实力

得分点

发现

通过日志审计,蜜罐发现攻击日志及路径,快速响应攻击者是否已攻破

处置

尽可能在未攻破时,将漏洞修复,或清除webshell 。

发现钓鱼邮件后分析回连IP,由应急小组进行通知并排查分析是否被钓鱼。

溯源

蜜罐,威胁情报设备。此项可助你获得N+分,自动化设备会通过攻击者指纹,结合社会关系。溯源到QQ、姓名、手机号等一系列信息。

反制

1.1 放置高交互蜜罐

放置高交互蜜罐,例如一个邮箱服务类型的蜜罐,攻击者有可能会进行邮箱注册,这样子攻击者就主动向我们留下了自己的身份信息。

放置多个容易被发现的蜜罐

放置多个攻击者可以轻而易举发现的蜜罐,攻击者就会知道自己所在的环境是被蜜罐所包围的,有可能就会放弃进行大范围攻击,变相保护了蜜罐背后的真实核心系统。

在蜜罐中使用JSONP探针

蜜罐中设置一个网页,网页中写入指定的代码。当攻击者访问指定网页的时候,就会窃取攻击者的cookie并上传到服务器上,被窃取的cookie是可以被指定的,例如可以窃取攻击者登陆百度的cookie,登陆豆瓣的cookie等,可以通过此来得到攻击者画像,获取黑客的ip地址,分别通过webrtc与淘宝接口。但是在最新版的浏览器中,webrtc因为隐私问题,已经被浏览器禁止通过该接口获取用户ip。淘宝接口从浏览器端调用该接口的话,获取的ip准确度较高。
条件:

1. 攻击者登陆过社交媒体并且未退出账号

2. 拥有相关媒体的jsonp接口

2.信息干扰

红队攻击前都会进行信息收集,一般都是通过天眼查,github,gitlab等,我们可以在github上放置恶意exp或者无效等源代码,可以拖延红队的攻击实现,甚至实现反制(如果红队运行了我们的恶意exp的话),然后通过网络故意透露我们的蜜罐信息,诱导红队去攻击蜜罐,进而得到黑客画像。

3 反制钓鱼页面

直接对钓鱼页面进行web渗透攻击,尝试直接控制。攻防演戏开始前期,红队成员肯定会用许多肉鸡去对目标资产进行批量漏洞扫描,或者自己使用肉鸡生成钓鱼页面等,这些肉鸡基本都含有漏洞,这时候去反击成功率会比较高。

4 反制钓鱼邮件

1. 对附件进行逆向分析,得到C2地址,然后对目标ip进行渗透攻击。
通过邮箱求手机号码可见:已知邮箱,求手机号码?
有一个网站可以查询利用目标邮箱注册过的网站:查找邮箱注册过的网站

发现钓鱼邮件后,将钓鱼邮件放在我们提前配置好的蜜罐中执行,在蜜罐中放上恶意的加入木马的vpn安装包与密码本,等待攻击者下载并连接。2021123013562793

本文来自投稿,不代表安强科技社区立场,如若转载,请注明出处:https://community.anqiangkj.com/archives/2019

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2021年12月30日 下午10:40
下一篇 2022年1月1日 下午12:25

相关推荐

发表回复

您的电子邮箱地址不会被公开。