红蓝对抗之 “大杀器”的检测与止血策略

  • A+
所属分类:安全工具 安全文章

本文主要介绍红蓝对抗中攻击方采用的几种重量级攻击手段,防守方的应对措施,以及在对抗演练之后如何提高安全“下限”,补齐安全短板。



01攻方“大杀器”


近两年国家级的红蓝对抗演练不论是涉及的行业,攻防双方对抗的激烈程度还是关注度都是前所未有的。演练中很多防守力量薄弱的单位在演练前几天就被攻击方“打穿”导致出局,但也有单位采购了各类防护设备,24小时安排工程师值守,安全投入确实不低,却也被攻击队入侵成功导致出局,直到复盘后才发现攻击方使用了“大杀器”,来绕过层层防守。


其中一个“大杀器”就是0day。一般0day包含两种类型:一种是从未公开的漏洞,也就是真正的0day;还有一种是Nday,其实是已知漏洞,但网络上没有公开的POC,由于没有受到关注,往往没有安装对应补丁或采取缓解措施,从防守方的角度看这也相当于0day。

 

另外一个“大杀器”就是社工钓鱼。社工钓鱼是指攻击者利用“花言巧语”诱使目标人员点击恶意链接、打开木马文件、直接提供密码或执行其他敏感操作。构造“鱼饵”时,攻击者可能也会结合一些0day,使钓鱼过程更加隐蔽,更难被检测识别。在去年的红蓝对抗中,一个很典型的案例就是攻击方以防守方的口吻写了一篇总结文章,放在朋友圈中公开推送,而文中提到的高危漏洞修复工具实际上是木马程序,不少防守方安全意识不足,下载后直接运行,结果被攻击方成功入侵。



02“大杀器”的检测


“大杀器”的检测首先要了解他们的特征。


就0day而言,如果是已知的攻击类型,攻击流量明文传输,有明显的攻击特征(比如某cms接口参数的SQL注入0day漏洞),旧有的防御手段一般可以抵御;但如果是未知特征的新型0day,或者数据流量是非明文形式,那WAF、IPS、态势感知等设备就无法检测了。


再看社工钓鱼,也可以分为两种情况:一是大规模钓鱼,一般来说动静大,很快就会被安全管理员人员发现;真正危险的是小规模的精准钓鱼,很多攻击方都会使用免杀木马来绕过杀软层面无法感知,并且主要针对频繁对外联系的员工,如HR、会计、采购等,这部分员工安全意识不高,极有可能中招。


通过上面的分析,可以发现针对未知特征的0day和小规模精准钓鱼这两种“大杀器”,理论上似乎确实没有很好的直接防御的手段,难道真的只能“人为刀俎我为鱼肉”?


我们需要把思路放宽:一个真正的攻击事件往往是链状、线状,甚至是网状的,攻击者构建攻击链的过程中肯定会有一些行为,而这些行为我们是可预测的——我们可能无法抵御0day和社工钓鱼的第一波攻击,那我们就从攻击者后续的攻击行为入手。


首先我们来看攻击方一般会有哪些攻击行为。其实无论是什么样的攻击模型,都离不开这“三板斧”:信息收集、建立据点、横向移动。在这三个阶段,攻击者可能会有如下行为:


红蓝对抗之 “大杀器”的检测与止血策略
攻方获得失陷主机后可能会采取的高概率行为

 

感知这些行为就是我们的防御“大杀器”的法门。对攻击行为的感知方法可以分为两个维度:


自我体检——

红蓝对抗之 “大杀器”的检测与止血策略 命令监控:对危险命令告警
红蓝对抗之 “大杀器”的检测与止血策略 进程监控:监控无关进程、异常进程
红蓝对抗之 “大杀器”的检测与止血策略 后门检测:一般可以对web目录、系统临时文件、常见文件夹等进行周期性扫描
红蓝对抗之 “大杀器”的检测与止血策略 通讯监控:监控主机的反向连接行为

 

外部感知——

除了这些常规操作外,还可以引入外部感知力量——采用欺骗防御技术,检测攻击者行为。比如伪造一些文件诱饵、浏览器历史记录、日志记录、服务连接记录等等。



03快速止血


当我们检测到主机被“大杀器”攻陷后,就需要快速止血。


常规应急处置


常规的流程肯定是必需的,一般包括:

红蓝对抗之 “大杀器”的检测与止血策略 网络限制:断网或添加临时ACL规则;

红蓝对抗之 “大杀器”的检测与止血策略 信息同步:失陷主机IP、外联域名同步给所有防守人员,寻找其他攻击痕迹;

红蓝对抗之 “大杀器”的检测与止血策略 溯源排查:梳理攻击线路,清除后门程序;

红蓝对抗之 “大杀器”的检测与止血策略 漏洞修复:安装补丁或使用临时缓解措施,对于不重要的系统可以考虑下线等。

 

快速排查


除了常规的应急处置,还需要快速排查是否有其它主机失陷,可以从以下3个方面入手:


红蓝对抗之 “大杀器”的检测与止血策略 同服务资产排查

针对服务类的漏洞和后门程序,进行端口和进程的排查。


红蓝对抗之 “大杀器”的检测与止血策略 同类型资产排查

一般针对的是提权类的漏洞。例如攻击方通过windows的0day导致某主机沦陷,就需要排查其它windows主机是否存在同样的问题。


红蓝对抗之 “大杀器”的检测与止血策略 基础镜像修复

这一点可能很多人不会第一时间关注到,很多资产开始上云,基础镜像越来越多,基础镜像中存在漏洞,如果不修复,新开的主机上会遇到同样的问题。


这里有人可能会疑惑,端口、进程、服务这些太细了,一般资产管理时根本不会去统计这些,也就没办法做快速排查。所以这里我们需要“未雨绸缪”提前做好资产管理平台的建设。



04未雨绸缪


资产管理平台的建设,可以分为以下几个步骤来逐步推进:


红蓝对抗之 “大杀器”的检测与止血策略 资产扫盲

梳理资产暴露面,通过多视角去发现(攻方、守方、流量等视角),“刨出”隐形资产。

 

红蓝对抗之 “大杀器”的检测与止血策略 端内纳管

将终端和主机自身的内部环境也纳入监控范围,提高每个资产主机的“像素”(由之前的只统计IP、操作系统提高到统计进程、服务、端口)。这点对我们的快速排查至关重要。

 

红蓝对抗之 “大杀器”的检测与止血策略 日常运维

重边界,也重内网;完善资产管理流程,定期应急演练。

 

红蓝对抗之 “大杀器”的检测与止血策略 快速响应

只有做好前面3个步骤,才能最后在遇到问题时做到快速的响应。



05结语


红蓝对抗中攻击方的“大杀器”是最让防守方头痛的一点,业内目前确实也没有能直接解决这些“大杀器”的方案。面对这些“大杀器”,防守方想完全不丢分几乎是不可能的,我们要做的应该是努力提高我们的检测能力和响应速度,将影响范围控制在最小的范围,当然这就需要我们做好日常的资产精细化运维管理,并配合强大的风险异常感知能力来实现。


—The End—


文章转载于默安科技


扫描关注乌雲安全

红蓝对抗之 “大杀器”的检测与止血策略


觉得不错点个“赞”、“在看”哦红蓝对抗之 “大杀器”的检测与止血策略

本文始发于微信公众号(乌雲安全):红蓝对抗之 “大杀器”的检测与止血策略

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: