2022国HW防守心得

admin 2022年8月29日20:29:42HW&HVV评论108 views3130字阅读10分26秒阅读模式

前言

零食已经吃完了,只剩下一些水和可乐,手里拿着最后一罐八宝粥。补给再不来我可就要饿死在这里了。HW不能没有食物,就像3D区不能没有蒂法。得想个办法提醒一下甲方。开着泰式的界面,拿手机水着微步,突然看到泰式有一条CS的连接,身为HW工程师的我瞬间警觉了起来(推了推眼镜),看了一下IP,咦?这不是隔壁甲方王部长的办公室吗?哦~ 懂了,人嘛,总是要摸鱼的,上班打打CS很正常,懂的都懂,理解,理解。我随手给它加了个白名单,相信王部长看到我这么懂事,他也一定会懂事吧。

不一会,王部长急匆匆地找到我,说他鼠标自己动了,让我赶快过去看看。来到王部长的办公桌前,果然鼠标在动,鼠标打开我的电脑,浏览着一些目录。王部长催促着我,让我赶快解决。wc,这我哪会啊,我就是个吃零食的。管不了这么多了,只能硬着头皮上了。我的脑袋在飞速旋转着:“现在黑客控制了电脑的鼠标……所以我只要把鼠标拔掉黑客就控制不了了,哈哈!我真是个小天才!”——然而实际上并没有什么L用。没办法了,看来只能使出那招了!我把电脑强制关机,插上我的U盘,重装了个系统。王部长急切地问我:“怎么样了?怎么样了?”,我摇了摇头,沉重地说:“我尽力了,但黑客把你电脑里的东西都删掉了,我已经尽力去阻止了,可惜还是晚了一步……不过您放心,木马已经清除了。” 王部长看着我有些自责,安慰着说道:“没事,你已经尽力了,既然木马已经清除了,那就没事了。”我回到我的工位上,松了一口气。懂事的甲方也拿来了物资,看来我这“五年渗透老师傅”的身份是保住了。



一、聊聊主防在HW期间做的安全策略

减少互联网资产暴露面

HW期间大家懂得都懂,直接暴露在互联网上的通常都是官网或者一些重要的业务网站。

如果被红队通过WEB打进去,该网络资产的管理员、企业安全负责人都会被追责,少说绩效奖金都没了。所以在HW期间,应该对暴露在互联网的资产实行白名单策略。仅允许通过内部渗透测试,并且由该资产部门负责人签责任书确认后才允许被外网访问。


梳理内网资产和安全加固

HW之前,应该对内网资产的归属、存在漏洞情况的资产进行了一次全面检查。资产梳理的工作主要分为业务系统资产、设备资产、外包或第三方服务资产,通常这项工作都是由甲方运维人员主要负责,而兼职外援通常需要协助甲方运维人员一起进行梳理。HW期间应对内网存在安全漏洞的资产进行全部关停处理,HW期间存在漏洞的设备不打补丁不允许开机。


部署网络监控设备和防护设备

监控设备有全流量监控和日志分析设备,如微步TDP、深信服SIP、天擎终端安全、青藤主机安全、青藤服务器安全、邮件审计、数据库审计、日志审计系统等系统。

防护设备还有下一代防火墙、WAF、IPS等设备。

安全产品基本上覆盖了内网的用户终端、业务服务器、数据库、网络设备,能联网的设备基本都在监控中。

这些监控平台是蓝队主要的工作内容,没有人可以拿个笔记本就把活干了。设备一定要提前调好,确保全流量设备能审计到所有流量。


部署蜜罐设备

修改DNS解析,通过同一域名访问,从外网访问是蜜罐,从内网访问是真实业务蜜罐页面和真实业务页面1:1复刻蜜罐也使用WAF进行防御,从而迷惑红队


对员工进行安全意识培训

通过培训告诉员工,近期要进行XX行动,必须保护好公司的机密信息。并且告知员工泄露机密信息者、被钓鱼成功者,按照公司规章制度处理等等。简单来说就是通过威逼的方式告知员工这次XX行动的重要性,要是出问题后果很严重。


VPN策略

白名单策略,用户需要告知自己的公网IP并申请才能获取VPN权限。(防VPN设备0day)


夜间安全

一个策略是安排值班人员值守,另一个策略是一到晚上9点就拔网线。拔网线是为了防止被0day打穿,如网传某恒堡垒机任意用户登录、某某服VPN存在远程缓冲区溢出漏洞(非web端口)等等。


小结

评价一下就是,外网除非用0day,不然打不进来,用了0day还有被设备捕获的可能。内网风吹草动都会有告警,而且安排了大量安服人员对设备进行监控。个人觉得能打进内网只能靠钓鱼或者近源了。




二、聊聊钓鱼被上线的应急响应

钓鱼案例1:被钓鱼对象为HR,钓鱼样本做了免杀,但是发生异常端口反连(或者其他C2流量特征)还是被流量设备告警,于是主防马上到AC上找到了该员工,并且联系员工并物理接管电脑。之后就是常规的样本分析、备份、重装系统等操作。从设备告警到设备断网,在5~10分钟内完成。


钓鱼案例2:被钓鱼对象为某主管,钓鱼样本做了免杀,并且使用了域前置进行隐蔽信道通信,全流量设备无告警。但是该客户电脑在内网发出异常流量,设备发出了告警。从告警出现到设备断网,在10分钟内完成。


小结

今年红队大多喜欢使用钓鱼战术,主题大多为,求职简历、工资变更通知、疫情防控通知、休假通知等,这也是生活中大家最感兴趣或者经常看到的。既然无法杜绝员工被钓鱼,那就只能减少员工被钓鱼的可能,比如进行安全培训,安装终端安全产品、邮件网关等。

就算红队钓鱼成功了,也还要担心在内网做出破坏行为被发现从而失去跳板。如果发生少量钓鱼成功事件,处理起来还是不费力的。



三、总结

如果以蓝队初级或者蓝队中级的身份参加护网,那做好本职工作(监控、研判、溯源、写报告)就好了,在做好本职工作的情况下,能不能被打穿还得看甲方平时做的安全建设。上班期间能摸鱼是最好的,水水群,吃吃零食。天天盯着几个破设备看十几个小时人得崩溃的。摸鱼的前提一定是在完成好本职工作的前提下,甲方给几千块钱一天不是让人来摸鱼的。



附:HW期间常用的网站

威胁情报

微步 https://x.threatbook.com/天际友盟 https://redqueen.tj-un.com/IntelHome.html360 https://ti.360.net/#/homepage奇安信 https://ti.qianxin.com/启明星辰 https://www.venuseye.com.cn/绿盟 https://ti.nsfocus.com/安恒 https://ti.dbappsecurity.com.cn/安天 https://www.antiycloud.com/#/antiy/index深信服 https://wiki.sec.sangfor.com.cn/index/abroadru

沙箱分析

微步沙箱 https://s.threatbook.com/Virustotal https://www.virustotal.com/gui/home/upload360沙箱 https://ata.360.net/腾讯哈勃 https://habo.qq.com/

其他

查询注册过的网站:https://www.reg007.com/


IP历史解析

IP138:https://site.ip138.com/IPIP:https://tools.ipip.net/ipdomain.php爱站:https://dns.aizhan.com/yougetsignal:https://www.yougetsignal.com/tools/web-sites-on-web-server/

旁站、同站查询

站长之家:https://stool.chinaz.com/samewebscan:https://www.webscan.cc/yougetsignal:https://www.yougetsignal.com/tools/web-sites-on-web-server/私建:https://chapangzhan.com

安装安全产品目的是保证企业的数据安全,防止网络安全事件的发生。



- End -


原文始发于微信公众号(NS Demon团队):2022国HW防守心得

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月29日20:29:42
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  2022国HW防守心得 https://cn-sec.com/archives/1261424.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: