PRE-ATT&CK：侦查阶段对抗设计和实践

“ 听说今年HW禁止封IP了。万能的措施失效了怎么办？听说今年HW还升级常态化了。好吧不让封，那就玩八卦阵吧。”

一、时代背景

国内信息安全环境随着国家法律法规的完善，执法案例不断的出现，监管力度也空前的加强。真正对企业利益造成直接或间接损失的案例也屡见不鲜，案例满满。在监管和现实又重压力下，企业对信息安全的重视程度又创新高。对安全从业者来说是利好消息，但同时也面对着来自领导的更高要求。在此大背景下，国家、监管为了能快收到实效，更是直接出杀招『HW行动』，时至今日更是从一次性直接提升为常态化。如何面对这场行动成了行业里热热议的话题，找到可靠的攻防战术成了圈内的主要目的。

二、内容范围

ATT&CK 是安全攻防战术框架的集大成者，相较于上一代的kill chain又有了长足的进步。本系列文章主要研究此框架的理论和实践方法，最终目标是能将散乱的攻防措施，融合成统一的整体，相生相克，循环不息。以攻促防，以防验攻。本次讨论内容限制在侦查（recon）阶段的信息收集部分。

侦查阶段（recon）

侦查古已有之，是军事对抗中的情报收集手段。《孙子兵法》中对用兵策略的总结性描述：『兵者，诡道也。』，我的理解说的是信息不对称，因信息不对称导致对抗失败的案例数不胜数，大到战场、中到商场、小到职场均是如此。而用兵（攻防）玩的就是信息不对称，消除信息不对称的核心方法就是侦查。只要侦查不到，后续的一切攻击措施均无法开展。

 

三、阶段性目标

在当前防守方有业务固守的情况下，无法机动转移隐藏整体。但依然可以选择在此阶段最大化消耗攻击者的时间和精力，并与后续阶段联动进行限制或反制。军事上最常用的方法是放出假情报，让对方真假难分，最大化的消耗攻击方有限的时间和精力，有时候甚至起到反制的作用。

1、在侦查流程中散布大量的假消息，消耗攻击者时间。

2、将攻击者引入预设阵地，不要在业务环境中对抗。

3、收集攻击者信息、资产，并在后阶段重点监控。

4、最好能通过掌握的信息进行反制，这个太难啦。

 

四、对抗策略设计

1、被动侦察阶段

互联网全公开网域。一是在互联网上github、码云等代码平台上传预设的敏感信息。二是在开放业务网中根据GHDB搜索语法，放置对应的蜜罐文件。特别是包含用户名密码的配置文件，数据库备份文件，网站打包文件打包文件，svn信息泄露文件等。

互联网半公开网域。在网盘中共享放置敏感文件，在论坛中放置敏感文件，在互联网通讯工具个人信息中放置敏感链接或用户名密码等。比如xx公司网络拓扑图，互联网IP段，公司通讯录，信息系统列表等。

内部网域不在本次讨论范围内，建议服务器区部署独立式蜜罐，终端区部署软件式和独立式蜜罐。

最终所有的诱导均是将攻击者导向预设的蜜网当中，所有的联系方式指向特定的手机号，邮箱当中。蜜网的位置要注意与生产网完全隔离。

 

2、主动侦察阶段

互联网端口

在公司业务网的边界上建立专用的端口转发设备，将禁止在互联网开放的远程管理端口3389，22，4899，数据库端口1433，3306，1521等端口，转发到完全独立部署的蜜罐上。蜜罐有被攻破风险，建议部署到独立的云上。

互联网域名

查找公司未占用的二级域名，建议傅Webmail   Admin  blog  news  mobile tech auto video  photo book city  travel  games等常用的二级域名指向蜜网，申请过程中域名管理员可能不给用，你就说申请临时用两个月。其次是开启泛解析防止域名暴力破解，不过作用不大。

互联网应用

在公司业务网中选择部分业务未占用的端口，将端口转发到深交互蜜罐的VPN，OA，ERP类应用上。在公司正常的生产业务中，可以部署注释类蜜罐（用户名密码、API、token）。在这个阶段比较难分辨业务真假，在诱捕和消耗时间上非常有效。

 

五、实践部分

在实践之前需要思考一下可能引发的问题，经过讨论主要有三点。一是被监管通报蜜罐是漏洞，二是蜜罐被攻破导致侵入内网，三是HW期间攻击队不认是蜜罐。第一点，监管单位（看你在的行业有没有监管）有可能认为是正常系统的漏洞，而通报企业，我们找CERT打电话问了，目前CERT不接受备案，没有好办法。第二点，关于蜜罐被攻破的问题比较容易解决，将蜜罐部署在独立的云上或独立的安全域中进行隔离。第三点，HW期间可以向裁判组报备，裁判组会处理，不会通知攻击方。

关于生产环境中部署信息泄露类蜜罐问题，找关系好的团队长和开发，分期推进，不要急于一次完成。这类蜜罐也不存在被攻破的问题，可以放心利用。

最后是此类实践细节不方便公开，公开就失效了。执行上较简单，可私聊。

《ATT&CK攻防研究和实践》