PRE-ATT&CK:侦查阶段对抗设计和实践

  • A+
所属分类:安全文章

 听说今年HW禁止封IP了PRE-ATT&CK:侦查阶段对抗设计和实践。万能的措施失效了怎么办PRE-ATT&CK:侦查阶段对抗设计和实践PRE-ATT&CK:侦查阶段对抗设计和实践?听说今年HW还升级常态化了PRE-ATT&CK:侦查阶段对抗设计和实践。好吧不让封,那就玩八卦阵吧PRE-ATT&CK:侦查阶段对抗设计和实践PRE-ATT&CK:侦查阶段对抗设计和实践

一、时代背景

国内信息安全环境随着国家法律法规的完善,执法案例不断的出现,监管力度也空前的加强。真正对企业利益造成直接或间接损失的案例也屡见不鲜,案例满满。在监管和现实又重压力下,企业对信息安全的重视程度又创新高。对安全从业者来说是利好消息,但同时也面对着来自领导的更高要求。在此大背景下,国家、监管为了能快收到实效,更是直接出杀招『HW行动』,时至今日更是从一次性直接提升为常态化。如何面对这场行动成了行业里热热议的话题,找到可靠的攻防战术成了圈内的主要目的。
PRE-ATT&CK:侦查阶段对抗设计和实践
二、内容范围
ATT&CK 是安全攻防战术框架的集大成者,相较于上一代的kill chain又有了长足的进步。本系列文章主要研究此框架的理论和实践方法,最终目标是能将散乱的攻防措施,融合成统一的整体,相生相克,循环不息。以攻促防,以防验攻。本次讨论内容限制在侦查(recon)阶段的信息收集部分。
PRE-ATT&CK:侦查阶段对抗设计和实践
侦查阶段(recon)
侦查古已有之,是军事对抗中的情报收集手段。《孙子兵法》中对用兵策略的总结性描述:『兵者,诡道也。』,我的理解说的是信息不对称,因信息不对称导致对抗失败的案例数不胜数,大到战场、中到商场、小到职场均是如此。而用兵(攻防)玩的就是信息不对称,消除信息不对称的核心方法就是侦查。只要侦查不到,后续的一切攻击措施均无法开展
PRE-ATT&CK:侦查阶段对抗设计和实践
 

三、阶段性目标

在当前防守方有业务固守的情况下,无法机动转移隐藏整体。但依然可以选择在此阶段最大化消耗攻击者的时间和精力,并与后续阶段联动进行限制或反制。军事上最常用的方法是放出假情报,让对方真假难分,最大化的消耗攻击方有限的时间和精力,有时候甚至起到反制的作用。

PRE-ATT&CK:侦查阶段对抗设计和实践

1、在侦查流程中散布大量的假消息,消耗攻击者时间。
2、将攻击者引入预设阵地,不要在业务环境中对抗。
3、收集攻击者信息、资产,并在后阶段重点监控。
4、最好能通过掌握的信息进行反制,这个太难啦

 

四、对抗策略设计

1、被动侦察阶段

互联网全公开网域。一是在互联网上github、码云等代码平台上传预设的敏感信息。二是在开放业务网中根据GHDB搜索语法,放置对应的蜜罐文件。特别是包含用户名密码的配置文件,数据库备份文件,网站打包文件打包文件,svn信息泄露文件等。

互联网半公开网域。在网盘中共享放置敏感文件,在论坛中放置敏感文件,在互联网通讯工具个人信息中放置敏感链接或用户名密码等。比如xx公司网络拓扑图,互联网IP段,公司通讯录,信息系统列表等。

PRE-ATT&CK:侦查阶段对抗设计和实践

内部网域不在本次讨论范围内,建议服务器区部署独立式蜜罐,终端区部署软件式和独立式蜜罐。

最终所有的诱导均是将攻击者导向预设的蜜网当中,所有的联系方式指向特定的手机号,邮箱当中。蜜网的位置要注意与生产网完全隔离。

 

2、主动侦察阶段

互联网端口

在公司业务网的边界上建立专用的端口转发设备,将禁止在互联网开放的远程管理端口3389,22,4899,数据库端口1433,3306,1521等端口,转发到完全独立部署的蜜罐上。蜜罐有被攻破风险,建议部署到独立的云上。

互联网域名

查找公司未占用的二级域名,建议傅Webmail   Admin  blog  news  mobile tech auto video  photo book city  travel  games等常用的二级域名指向蜜网,申请过程中域名管理员可能不给用,你就说申请临时用两个月。其次是开启泛解析防止域名暴力破解,不过作用不大。

PRE-ATT&CK:侦查阶段对抗设计和实践

互联网应用

在公司业务网中选择部分业务未占用的端口,将端口转发到深交互蜜罐的VPN,OA,ERP类应用上。在公司正常的生产业务中,可以部署注释类蜜罐(用户名密码、API、token)。在这个阶段比较难分辨业务真假,在诱捕和消耗时间上非常有效

 

五、实践部分

在实践之前需要思考一下可能引发的问题,经过讨论主要有三点。一是被监管通报蜜罐是漏洞,二是蜜罐被攻破导致侵入内网,三是HW期间攻击队不认是蜜罐。第一点,监管单位(看你在的行业有没有监管)有可能认为是正常系统的漏洞,而通报企业,我们找CERT打电话问了,目前CERT不接受备案,没有好办法。第二点,关于蜜罐被攻破的问题比较容易解决,将蜜罐部署在独立的云上或独立的安全域中进行隔离。第三点,HW期间可以向裁判组报备,裁判组会处理,不会通知攻击方。

关于生产环境中部署信息泄露类蜜罐问题,找关系好的团队长和开发,分期推进,不要急于一次完成。这类蜜罐也不存在被攻破的问题,可以放心利用。

最后是此类实践细节不方便公开,公开就失效了。执行上较简单,可私聊。

《ATT&CK攻防研究和实践》

 

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: