01 HW日记
—
HW日记
2020年9月24日 周四 大雨+雷电黄色预警(这个城市,每天都是一场雨~)
嗯,很适合养肤~
(因为天气雷同,不得不出现日记的雷同)
HW进入倒计时阶段,还有0天!。。。。
昨天分享了HW报告模板,希望各位用的上吧=HW平安夜 09/23 HW总结模板
今年的总结很难写,因为防守方改变了往年的被动防守的方式。
以被动变主动的方式,打乱了我过去用了三年的防守报告总结模板。。。
防守方联合作战更是让攻击队伍IP资源匮乏,史无前例大团结。
防守方独特的溯源方式,让攻击者在本来就小的安全圈无处可藏。
====最高端的黑客,往往采用最朴素的溯源方式。
====防守方:这个人你认识不?微信,手机号多少?
·攻击方小心翼翼,不用扫描器、不用脚本、重装电脑、清浏览器缓存、访问下网站判断是蜜罐立马就撤离,仿佛人间蒸发一般的招数。
今年的HW真的是对攻击技术与防守溯源技术的考验,同时也是一个技术等级的筛选。
没有往年的热闹,没有大流量扫描、没有ip池狂轰乱炸,一切似乎都在微妙中发生变化~
1.
2.
3.
以上来自朋友的对话,对于你们的无奈我只能摘抄我打油诗的句子:
愿你有一天,从攻击转防守,从钓鱼转溯源。
愿有一天,我们再次相见,是战友,而非敌人。”
同时也有多家单位被打惨,不得不说,攻击技术与防守技术都在进度,而HW更是推动这个安全行业技术的快速发展。
02 2020HW总结
—
今年HW特点我个人总结如下:
1.人才需要加大
···人才需求的加大:常态化地网络安全实战攻防演练,必将导致人才饥荒、人才培养机制改革以及安全服务运营模式的改革,高质量的安全人才非常重要,没质量的不应该太过浮躁。
2.安全产品安全性的考验
···安全产品漏洞发现与处置:HW中多家安全设备报0day漏洞,一些安全设备出现问题相当于致命性问题,可能造成攻击队伍直接进入企业内网。同时,这也给安全厂商带来了技术的挑战性。在每年HW0day的考验下,安全产品的问题将会得到很大的改进。
某活动防守方的感受:不买安全设备就不会被黑
3.蜜罐的普及
···蜜罐的推广与部署:蜜罐在今年被广泛应用于外网,并成功抓取到攻击队伍指纹信息,并结合溯源技术成功溯源到了个人,攻击者的过去与现在😶
蜜罐的普及终会成为一个趋势,不仅是hw时的应用,而且作为长期安全设备应用于企业防护中。蜜罐的长期部署可以提前捕获长期盯着企业业务的一些apt组织,可通过主动手段提前发现潜在威胁。
蜜罐可用于长期安全设备,部署在外网,通过扫描探测可以提前发现攻击行为,通过指纹抓取可以定位到攻击者信息。部署在内网,在边界失守的情况下,内网蜜罐可提前发现攻击者的内网探测行为,利用自身所带漏洞引诱并拖延攻击者的内网横向行为,并抓取攻击者信息使溯源到攻击者身份。
同时蜜罐的普及使用,也是对蜜罐安全性以及仿真性的考验。攻击队伍在不停的鞭策着安全厂商的成长,今年蜜罐的仿真程度与捕获指纹的方式未必还能适应用明年,攻击队伍会根据蜜罐特征识别出蜜罐。这就需要蜜罐要不断更新策略隐藏特征并且研发新的功能获取攻击者指纹信息。
在抓取攻击者的同时,也不要忘了自身产品安全。
4.溯源技术的普及
···溯源技术不仅仅来源蜜罐的捕获,攻击者的钓鱼邮件、恶意程序、社工、payload带vps等都可能成为我们追踪溯源的手段。这就需要我们利用技术手段多渠道的获取攻击者信息。
攻击溯源的技术手段,主要包括ip定位、ID定位与攻击者定位。
通过ip可定位攻击者所在位置,以及通过ip反查域名等手段,查询域名的注册信息,域名注册人及邮箱等信息。
通过ID定位可获取攻击者常用的网络ID,查询攻击者使用同类ID注册过的微博或者博客、论坛等网站,通过对网络ID注册以及使用情况的查询,定位攻击者所在公司、手机号、邮箱、QQ等信息。
或通过其他手段定位攻击者,如反制攻击者vps,获取攻击者vps中的敏感信息、反钓鱼、恶意程序分析溯源等手段。
攻击方改变了往年无所顾忌的使用ip池不断扫描的方式;
防守方改变了往年的被动防守,开始主动出击,蜜罐出彩,溯源技术普及;
攻防不对等的局势逐渐转变;
期待明年~
扫描关注LemonSec
本文始发于微信公众号(LemonSec):HW平安夜 09/23 2020HW总结
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论