通过攻击看透安全开发、安全运维、安全防御

前言：
        本次从攻击的角度，去解析该如何有效地防御入侵型网络攻击。      
        攻击方式的多种多样，导致了防御手段的多元化。就拿木马举例，各种形式的木马，变相产生了各种杀毒软件，web安全狗，360安全卫士，火绒，windowsdefander,卡巴斯基，各种病毒专杀工具。

0x01    攻防发展剖析

首先，先来剖析传统互联网的信息安全防御体系。传统互联网大多数通过TCP/IP 协议进行通信，而TCP/IP协议分为7层，目前大多数防御手段出现在应用层，对于数据链路层的监听，目前还没有效的防御手段，只能从tcp流量来分析有嫌疑的IP。

应用层的攻击，主要通过端口相对的服务进行，服务要对外进行通讯，必须通过开放端口进行，而一旦端口开放到互联网，就相当于告诉全世界的人，我家在墙上开了一扇窗户，如果其他人知道你家有贵重的资产，就有可能通过有漏洞的窗户进入你家，从而对你家进行破坏、盗窃、甚至是长期对你进行监听。所以定期梳理自己网络资产开放端口及对应相关服务极其重要。

应用层的防御是相对攻击进行的，主要的手段就是入侵检测，日志审计，入侵抵御。入侵检测可以采用流量防火墙的方式，检测到异常畸形包流量发出告警，接着日志审计系统通过审计日志信息锁定漏洞出现点，入侵抵御自动清除留存的木马及后门代码。

数据链路层的攻击，主要通过路由器，交换机，DNS服务器等常见的数据链路传输设备进行。最常见的就是ddos攻击，也是最难防御的，通过发送大量syn，icmp，udp的畸形包，使得dns等转发设备处理大量畸形报文，使得处理正常报文时间大量增加，造成报文堵塞，延迟增加，严重影响及时通信。数据链路层攻击还可以对dns或者路由器及交换机进行监听劫持，进而把流量转发到攻击者搭建的dns服务器上，进行长期的数据链路层流量监听。

数据链路层的防御也是相对攻击进行，缓解ddos攻击最有效的手段就是设置大带宽转发负载均衡服务器，及异地容灾服务器，一旦一地遭受了ddos攻击，立即启用异地的备用服务器接收大量的流量。数据链路层针对设备劫持的防御手段主要就是定期检查dns服务器、路由、交换机等数据链路转发设备，及时排查不明流量的服务及数据链路通信的内容解析。

红蓝对抗的攻与防，对抗即是博弈，通过红蓝对抗深刻认识攻和防的不足，达到以防御增加攻击力度，以攻击看透防御弱点。

0x02    红队攻击剖析

红队作为攻击方，一开始就是以突破防御的目的为主。这种突破外部防御进入内网的方法叫做打点，通俗地说，就是依靠现有攻击手段突破对方外网防御，利用攻破的系统设备作为流量转发跳板机，能跟内网设备资产进行通信，进而攻击内网其他设备系统。

红队进攻的主要方向和手段，在下图清晰展示出红队团队力量的攻击优势。

红队的攻击依靠信息收集进行，信息收集到的cms框架指纹越多，收集到的端口服务越多，服务及框架存在漏洞的可能越大，这也给红队从不同角度攻击目标提供了无限的可能。

通过信息收集可以发现一些git/svn的源码泄漏，有可能获取到数据库等关键账号密码信息，登陆账号密码加密方法等。在下图清晰展示出红队所需要收集的内容。

很多时候，系统都是从内部信息泄漏开始攻破的。在目前大力推广云厂商上云部署及零信任环境下，信息安全中的系统安全问题就显得格外突出。在云厂商部署系统的条件下，本身就无法满足零信任环境。把自己的系统和数据交给一个自己无法把控系统安全的云厂商，本身环境就不存在零信任。云厂商平时云维护过程中必然会接触到你的数据和通过他网络节点的流量，再加上云厂商运维安全环境的严重不足，使得你的资产跟其他公司资产可以在云厂商云内网之间互相访问，这就导致网络安全风险的大批量增加。

就拿阿里云、腾讯云、亚马逊云、谷歌云、天翼云、慧众云等举例，这些不管是esc云厂商还是saas云厂商，为了用户部署方便，都会提供通过api密钥等形式进行系统化上云部署。这就导致一旦该部署系统或该运维系统保存了相关密钥，在红队攻击下拿下了该系统，那么这些密钥就可以控制全部资产，继而影响供应链环节中的运维公司和雇主公司的资产安全。

下图展示了密钥泄漏导致的全部资产控制截图，可以看出，一旦云厂商的密钥泄漏，危害有多大。

红队的漏洞挖掘，可以从以下几个方面进行。

通过挖掘应用层系统及服务的漏洞，从而攻入目标系统，达到信息获取，长期监控的目的。

权限获取的目的是为了以拿下的系统作为跳板机，通过内网穿透的方式攻击内网其他系统，通过维持权限，长期控制跳板机，维持内网访问权限。

内网穿透主要通过各种穿透软件或者协议进行，可以利用nps、frp、ew等穿透工具进行内网访问，或者通过ssh端口代理的方式通过ssh协议进行数据转发和通信。

0x03    蓝队防御剖析

内网扫描是红队战果扩展最重要的环节，蓝队一般会在内网架设IDS和IPS进行网络监听，提前发现告警及抵御异常流量攻击。红队的绕过方式也是五花八门，可以通过伪装成正常访问的tcp流量进行单个IP端口扫描，跳过内网中存在的IDS和IPS的IP，防止扫描流量被防护设备截获。

蓝队要达到反制的效果，需要在内网放置蜜罐，通过蜜罐来收集攻击者的画像，有些蜜罐可以通过jsonp跨域漏洞来获取正在登录中的攻击者的其他网络账号，从而通过社工库锁定攻击者。有些蜜罐也可以放置假的数据库连接来引导攻击者连接数据库，进而向攻击者植入木马，通过木马对攻击者进行反制。

一般的大型内网都有以下这几部分组成。

在内网横向环节中如果要从办公网横向到内网，那就必须要经过公司主干路由，一般公司主干路由都是三层核心路由交换防火墙，具有三层防火墙的功能，能够对发起的恶意攻击进行一定的识别。

红队在横向探测时首先会探测拿到的网络是否属于内网，如果是属于内网，不会进行大规模内网扫描，只会针对存活探测做进一步单个IP信息收集。这时候蓝方可以根据自有IP资产开放端口进行统计，挖掘出薄弱容易被攻陷的系统，部署上蜜罐，等待红方入套，进而做进一步反制。

大型企业都会做SDL建设。下面为SDL建设的一般流程。

每一个安全测试小环节组成一个大的安全生产体系建设。整个企业生产围绕安全进行，弃用不可信代码，反复测试上线代码bug及漏洞。这些都能从源头上缓解红队的内网攻击态势。

以上未全面进行剖析，只是浅显表达了该从哪几个方向防御网络攻击。

未完待续

原文始发于微信公众号（乌鸦安全）：通过攻击看透安全开发、安全运维、安全防御