红蓝对抗之 “大杀器”的检测与止血策略

“大杀器”的检测首先要了解他们的特征。

就0day而言，如果是已知的攻击类型，攻击流量明文传输，有明显的攻击特征（比如某cms接口参数的SQL注入0day漏洞），旧有的防御手段一般可以抵御；但如果是未知特征的新型0day，或者数据流量是非明文形式，那WAF、IPS、态势感知等设备就无法检测了。

再看社工钓鱼，也可以分为两种情况：一是大规模钓鱼，一般来说动静大，很快就会被安全管理员人员发现；真正危险的是小规模的精准钓鱼，很多攻击方都会使用免杀木马来绕过杀软层面无法感知，并且主要针对频繁对外联系的员工，如HR、会计、采购等，这部分员工安全意识不高，极有可能中招。

通过上面的分析，可以发现针对未知特征的0day和小规模精准钓鱼这两种“大杀器”，理论上似乎确实没有很好的直接防御的手段，难道真的只能“人为刀俎我为鱼肉”？

我们需要把思路放宽：一个真正的攻击事件往往是链状、线状，甚至是网状的，攻击者构建攻击链的过程中肯定会有一些行为，而这些行为我们是可预测的——我们可能无法抵御0day和社工钓鱼的第一波攻击，那我们就从攻击者后续的攻击行为入手。

首先我们来看攻击方一般会有哪些攻击行为。其实无论是什么样的攻击模型，都离不开这“三板斧”：信息收集、建立据点、横向移动。在这三个阶段，攻击者可能会有如下行为：

感知这些行为就是我们的防御“大杀器”的法门。对攻击行为的感知方法可以分为两个维度：

自我体检——

 命令监控：对危险命令告警

 进程监控：监控无关进程、异常进程

 后门检测：一般可以对web目录、系统临时文件、常见文件夹等进行周期性扫描

 通讯监控：监控主机的反向连接行为

外部感知——

除了这些常规操作外，还可以引入外部感知力量——采用欺骗防御技术，检测攻击者行为。比如伪造一些文件诱饵、浏览器历史记录、日志记录、服务连接记录等等。

当我们检测到主机被“大杀器”攻陷后，就需要快速止血。

常规的流程肯定是必需的，一般包括：

 网络限制：断网或添加临时ACL规则；

 信息同步：失陷主机IP、外联域名同步给所有防守人员，寻找其他攻击痕迹；

 溯源排查：梳理攻击线路，清除后门程序；

 漏洞修复：安装补丁或使用临时缓解措施，对于不重要的系统可以考虑下线等。

除了常规的应急处置，还需要快速排查是否有其它主机失陷，可以从以下3个方面入手：

 同服务资产排查

针对服务类的漏洞和后门程序，进行端口和进程的排查。

 同类型资产排查

一般针对的是提权类的漏洞。例如攻击方通过windows的0day导致某主机沦陷，就需要排查其它windows主机是否存在同样的问题。

 基础镜像修复

这一点可能很多人不会第一时间关注到，很多资产开始上云，基础镜像越来越多，基础镜像中存在漏洞，如果不修复，新开的主机上会遇到同样的问题。

这里有人可能会疑惑，端口、进程、服务这些太细了，一般资产管理时根本不会去统计这些，也就没办法做快速排查。所以这里我们需要“未雨绸缪”提前做好资产管理平台的建设。

资产管理平台的建设，可以分为以下几个步骤来逐步推进：

 资产扫盲

梳理资产暴露面，通过多视角去发现（攻方、守方、流量等视角），“刨出”隐形资产。

 端内纳管

将终端和主机自身的内部环境也纳入监控范围，提高每个资产主机的“像素”（由之前的只统计IP、操作系统提高到统计进程、服务、端口）。这点对我们的快速排查至关重要。

 日常运维

重边界，也重内网；完善资产管理流程，定期应急演练。

 快速响应

只有做好前面3个步骤，才能最后在遇到问题时做到快速的响应。

红蓝对抗中攻击方的“大杀器”是最让防守方头痛的一点，业内目前确实也没有能直接解决这些“大杀器”的方案。面对这些“大杀器”，防守方想完全不丢分几乎是不可能的，我们要做的应该是努力提高我们的检测能力和响应速度，将影响范围控制在最小的范围，当然这就需要我们做好日常的资产精细化运维管理，并配合强大的风险异常感知能力来实现。