实战攻防技巧 | 别不信,看到这个标题你会忍不住点开

admin 2022年6月29日11:18:37安全文章实战攻防技巧 | 别不信,看到这个标题你会忍不住点开已关闭评论7 views3208字阅读10分41秒阅读模式

图片


图片

点进来之后,你发现作者竟然在钓鱼!

图片

图片
图片

言归正传!在网络渗透过程中,攻击者在构建好攻击武器之后,最需要做的就是将恶意代码或者其他什么东西,通过一定的方式植入到目标系统中去。


通常这个过程被叫做载荷投递,就像邮递员投递邮件一样,是作为攻击者正式开始挑战防守方防御体系的第一步。


1

颇具迷惑性的钓鱼邮件攻击


钓鱼攻击是载荷投递最简单也是最常用的办法。‍‍‍

图片
记得在某次实战攻防演习期间,有一位大佬分享了一篇文章,总结了当天攻击队常用的攻击手法和工具,内容非常翔实,还贴心的在文末附上了一个附件。
此文一出,立即受到了防守方的广泛关注,阅读量迅速冲上十万加。可没想到的是,事情很快出现了反转:有人发现,这是一次攻击队精心构造的钓鱼攻击,以安全圈最受关注的实战攻防演习为诱饵,作者煞费苦心用数千洋洋洒洒的文字扰乱了读者的注意力,而这个附件正是其精心构造的木马

上述例子只是一次攻击者利用特殊热点构造的一次钓鱼攻击,相比之下,钓鱼邮件的使用更为普遍,而且可以向特定人群精准发送诱饵。诱饵往往都和当下流行的热点、时事以及目标单位的工作生活息息相关,具有非常强的迷惑性。

当然,绝大多数的钓鱼邮件,通过肉眼即可轻松识别。比如有的发件人邮箱信息与官方邮箱不一致、有的邮件正文一看就是假的、有的附件是.exe等格式的可执行文件。

不过,也有少部分较为高明的攻击者,使用了一些更具迷惑性的手段,比如窃取目标邮箱服务器管理员权限,利用管理员邮箱下发钓鱼邮件,使其看起来跟公司内部邮件如出一辙,前不久搜狐便因此着了道;再比如使用word宏病毒,附件看起来就和普通的word文档没什么两样,一旦打开word附件,恶意代码便可以通过脚本工具,实现在内存中的永久驻留。

但即便如此,提高员工的安全意识,依然是防御钓鱼邮件攻击的不二法宝,只要不点开来路不明的邮件,再高明的钓鱼手法也难以奏效。

可对于一家拥有数万乃至数十万员工的大型企业而言,想让所有员工都保持统一的高水平安全意识,实在是一件很难办到的事情。

攻击者非常明确知道问题所在,人对于自己感兴趣的事情,总是充满了好奇心,所以钓鱼邮件攻击才能屡试不爽。

图片

这时,安装一款优秀的邮件安全产品,就显得十分重要了。
图片

奇安信邮件威胁检测系统采用多种的病毒检测引擎,结合威胁情报以及URL信誉库对邮件中的链接和附件进行恶意判定,并使用动态沙箱技术、邮件行为检测模型、机器学习模型发现高级威胁及定向攻击邮件。在多次实战攻防演习中(包括奇安信内部举行的防钓鱼测试),该系统均能有效拦截钓鱼邮件。

2

隐藏在加密流量中的恶意软件

如果说利用钓鱼邮件的攻击者擅长骗的话,那还有的攻击者非常擅长藏,他们会使用加密流量进行载荷投递,从而躲避安全网关的过滤。
也就是前几年,加密流量还远没有现在这么流行。
不过,随着网络安全问题越来越突出,加密流量开始逐渐被重视起来,尤其是谷歌宣布将是否支持HTTPS/SSL加密通信纳入到搜索排名算法之中。
这对于网络安全而言,本身是一件好事情,加密通信能够有效防止中间人攻击带来的通信被窃听等诸多安全风险。
但事情总有两面性。
历经多年实战攻防演习的考验,大多数参演单位的纵深防御体系已经比较完善了,使用明文流量很难正面突破防火墙、WAF、IDPS等设备组成的城墙。
图片
于是攻击者开始将目光转向了加密流量攻击,这一趋势在最近三年尤为明显。根据Enterprise
Strategy Group的最新调研报告显示,超过95%的企业明确表示遭遇过由于加密流量引起的安全事件。
如此,流量解密一下子成为了网关设备急需攻克的难关。不过从目前的情况来看,性能损耗一直是防守方使用相关技术的最大障碍。
图片
根据NSS实验室的一项测试结果显示,平均而言,深度包检测的性能损失为60%,连接率平均下降了92%,响应时间则增加了高达672%。
为了满足业务正常开展的需求,流量解密不得不向性能有所妥协,放过一些原本需要解密分析的流量。在某种程度上来说,性能瓶颈为黑客入侵“打开了一扇窗户”。
尽管市面上也开始寻求一些不解密流量检测的方法来避免性能损耗,比如利用静态的特征匹配、行为识别等,但目前对于防守队的技战术水平要求较高,且告警准确率也难以保证,所以流量解密检测依然是最有效的手段。
图片

为了解决性能问题,奇安信新一代智慧防火墙引入了高性能SSL流量解密卡,其内置的加解密引擎,将解密性能提升10倍,同时威胁情报、大数据分析和安全可视化等创新安全技术,能够有效防御并预防病毒、漏洞利用、恶意软件、僵尸网络等攻击载荷从网络边界侵入。

这些经过解密的流量在经过防火墙初步过滤之后,还会以流量镜像的方式,借助明文旁路模式、SSL解密的明文隧道模式同步给其他旁路检测设备(如IDS/NTA),从而实现了“一次解密、多次检测”,大幅降低了反复解密带来的性能损耗。

一旦发现安全问题,奇安信新一代智慧防火墙提供了最多百万级别的IP封禁能力,黑名单导入后即可立即生效,而且几乎没有任何性能损失。

3

无处不在的API调用


除此之外,还有一个特殊组件不得不提——API。

图片
API的全称是应用程序接口,它主要工作于应用程序的不同组件和模块之间,负责各部分的应用通信和数据调用。在数据大量流动的今天,API已经广泛工作在各个应用程序内。
众所周知,每年参加实战攻防演习的单位大多数都属于关键信息基础设施的运营者,这些单位都需要通过API接口对外提供便民服务。
比如银行需要开放部分接口方便客户在网上直接查询以及办理存取款、信贷或者其他理财业务;比如医疗卫健行业,需要开放接口为其他应用提供健康码、核酸检测、疫苗等查询服务……
不同于其他服务的是,某些高危应用可以直接选择下线,然而这些和民生息息相关的接口并不能这样做。

所以,API接口经常会直面攻击者的“枪口”,比如撞库、暴力破解、身份仿冒、未授权访问等等。

由于API是应用程序之间许多重要数据流转的通道,所以伴随着API经济的快速发展,针对API的攻击行为越来越多,并且针对API的攻击已经成为近两年实战攻防演习的主流载荷投递手段之一,比如去年就曾曝出大量有关API接口的零日漏洞遭到攻击队利用。

API的攻防战早已打响。

实际上,防守队并不缺乏针对API的防护手段。作为Web应用程序的重要组件之一,部分API接口当然会受到WAF(Web应用防火墙)的保护。但是API接口不仅仅是通过HTTP协议承载的,他的承载方式很多。而WAF通常基于正则表达式或者语义分析引擎来执行HTTP/HTTPS的安全规则,所以WAF的主要防护对象不是API,而是Web资源。

并且从去年的实战攻防演习结果来看,WAF在防范0day漏洞利用时,几乎很难奏效。

除了WAF之外,不少防守方尝试开始使用API安全网关等更为聚焦的产品。遗憾的是,传统API安全网关在面对盗用登录凭证时(如撞库、暴力破解等),并没有什么太好的办法。

面对严峻的形势,Gartner一语道出了API安全防护的要点:企业需要的是在清晰了解API全量资产的前提下,更注重API运行时对风险的及时准确识别。

图片

对此,奇安信API安全卫士聚焦打造持续监测响应的API安全防护能力,建立基于用户访问行为的用户画像或行为模型,发现API未认证访问、弱口令登录、未授权访问、异常访问行为等。此外,该产品还具有基于自动化发现并可视化展示及管理API能力,能够及时发现与预警僵尸、未知等异常API,以及避免在API设计之初由于缺乏统一规范导致后期大量API无法统一管理而引入的安全问题。

不难看出,奇安信API安全卫士防护的内容已经转变成针对API调用过程中的逻辑、参数、数据字段、文件这个维度,关注的焦点是以API为核心的API调用过程,对于防范攻击队借助API通道投递攻击载荷更加有实战意义。




相关阅读

图片

图片

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月29日11:18:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  实战攻防技巧 | 别不信,看到这个标题你会忍不住点开 http://cn-sec.com/archives/1148602.html