安全矩阵

 找回密码
 立即注册
搜索
查看: 4764|回复: 0

攻防演习 | 红军的反击

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2020-6-26 08:19:21 | 显示全部楼层 |阅读模式
原文链接 :攻防演习 | 红军的反击

    距离去年的攻防演习结束快一年了,在作战室里和大家协力作战的场景仍历历在目,激动人心。在网络安全“实战化”的背景下,攻防演习常态化开展,对防守方反制溯源的能力日益提高,网上反制溯源类的文章也逐渐多了起来。这里总结一些在演习中反制溯源的一些思路供防守方(红军)的兄弟参考,希望能够对大家有所帮助。
    在此之前,按照网络安全研究机构SANS提出的网络安全“滑动标尺”模型,反制进攻能力是指“以自卫为目的针对网络攻击者采取合法反制措施和网络反击行动的能力”,这个能力已经超出了企业所能主导的范围,由国家进行主导,反制进攻的行为本身也比较敏感,最好还是提前联系演习指挥部,获得相应授权。



0x01 无处不在的陷阱
    蜜罐已经成了演习中明星产品,高交互的蜜罐,再带上社交平台的接口,可以很快获得攻击者的身份信息,这里就不做赘述了。分享一些更加容易让攻击方上当的诱饵:
    渗透的本质是信息收集。攻击方在渗透之前会进行详细的信息收集,包括在github、网盘、文库、暗网、QQ群中收集目标的敏感信息,而这些地方也是防守方(红军)撒诱饵的好地方。在github、网盘、文库、暗网、QQ群中故意留下一些蜜罐系统的信息、蜜账号,可以更加容易的将攻击方引入高交互蜜罐系统。
    诱使攻击方主动留下身份信息。高交互的蜜罐系统中可以让攻击方主动留下一些身份信息,比如在高交互蜜罐中设置注册功能,需要通过手机号、邮箱进行注册,如果攻击者不小心用了自己的身份信息进行注册,那即便没有通过蜜罐的社交平台接口获得相关信息,也可以拿到攻击者的手机号、邮箱。拿到手机号、邮箱信息后如何定位到人,网站的密码找回、支付宝微信的转账接口都会提供额外的信息,“人肉搜索”涉及到公民个人信息和隐私,请注意不要越界,可参考文章《已知邮箱,求手机号码》
    蜜罐挂马。蜜罐中放上一些文件的下载链接,比如攻击方感兴趣的vpn客户端,手册,里面植入后门,只要攻击方运行,就可以进行反制,可参考文章《DLL劫持+重新制作安装包在钓鱼与反钓鱼的利用》
    高交互蜜罐和低交互蜜罐穿插部署,虚虚实实,让攻击方意识到蜜罐的存在,降低其饱和式攻击意愿。

0x02正面反击

    对于社工类的攻击,比如钓鱼链接,可以尝试对钓鱼网站进行反打,如果钓鱼网站本身存在漏洞,可以进行反制,比如SQL注入、弱口令进后台,XSS获得管理员cookie等等。如果钓鱼邮件里还有恶意程序,可以通过逆向,沙箱等方式获得样本中的C&C、邮箱、手机号等信息,利用搜索引擎进行信息检索,发掘幕后组织或者个人,可以参考文章《HW前期之分析一款远控木马》。如果是现场类的社工,留下可疑人员的身份证复印件、手机号等信息,便于后续查证。受疫情的影响,相信今年演习中的钓鱼邮件有很多会和疫情有关,防守方务必提防。
    对于攻击方的正面网络攻击,演习一开始的前几天将会是攻击的高峰期,攻击方会使用大量的肉鸡、代理批量进行漏洞的探测。这些肉鸡一般都有漏洞,可以进行反打,比如去年遇到的很多都是phpmyadmin 弱口令,然后通过mysql 写入webshell,这些肉鸡完全可以进行批量反打,最快速拿到肉鸡的shell和system权限,并留好隐蔽性较强的后门。溯源反制也要拥有和攻击方一样的警惕意识,记得将历史命令、登录痕迹、所有的操作日志全部清理掉。肉鸡拿下后,再做进一步的信息收集,比如肉鸡中的文件、进程、网络连接等等,尝试找到后面的C&C控制服务器,可参考文章《HW防守|溯源反制攻击方的服务器。另外,对于攻击IP,可以留意一下IP情报信息和地理位置,如果被打上了“你懂的”标签,又离指挥部很近,那么这个IP 会比较可疑。
    利用攻击方的疏漏,比如攻击方常用的工具AWVS 默认postpresql配置密码、AWVS RCE,蚁剑RCE漏洞进行反制。还可以在github上发布假的漏洞利用EXP,里面带上后门,攻击方如果没有判断,直接利用的话也会被反制。
    正面反击还有可能遇到的不是攻击方,而是一些黑产、博彩的攻击行为,正好可以净化一波网络空间,将溯源发现的域名、邮箱、手机、社交ID、攻击证据、受害者信息等信息提交指挥部、公安机关。攻防演习中红军溯源反制能力的提升也会从侧面打击黑产、博彩等违法行为。

0x03 小心“近源渗透”
     攻击方的套路越来越深,当防守方重兵把守互联网出口时,从互联网系统打点的难度越来越高(0day 除外),攻击方会选择一些新的突破口,比如“近源渗透”,通过物理接近、社会工程学及无线电通信攻防等手段实地物理侵入企业办公区域,通过其内部各种潜在攻击面(如Wi-Fi网络、RFID门禁、暴露的有线网口、USB接口等)获得“战果”。可参考文章《物理渗透之我眼中的物理渗透》
     手机、BadUSB、树莓派、无人机、移动伪基站这些黑科技都将是攻击方的攻击手段,可以参考之前的文章《DIY | 树莓派搭载kali Linux》、《免root将手机(Android&IOS)改造成移动渗透神器》、《社工模拟——利用BadUSB穿透3层内网》。攻击方可能从地下车库、货梯等入口混进企业,社工保安、保洁,伪造工牌进入到企业的一些敏感区域,然后通过Wi-Fi网络、USB接口等潜在攻击面进入企业内网,然后再进行内网的横向渗透。
     针对“近源渗透”,还是要加强企业员工(包括保安、保洁)的安全意识,对于可疑的人员要及时报告。当然攻击方“近源渗透”的风险也是比较高的,如果被抓了就gg了。
     说完了这些,攻击方的兄弟估计也有了新应对办法。“兵无常势,水无常形”,这可能就是攻防对抗的魅力吧。祝大家端午安康!




回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-27 23:30 , Processed in 0.014678 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表