敌军已进入我方内网

目录：

第一部分：实战攻防演习2020

第二部分：企业最缺乏的安全能力 - 安全运营和威胁狩猎

第三部分：0day（零日漏洞）防御

   实战攻防演习的一些背景请见下图，此前我们也有专门的文章做过介绍，所以这里不再赘述。

   一直以来，笔者最担心的事情就是真实的攻击者趁乱入侵并潜伏下来，因为我国95%以上的企业并不具备对抗高级威胁❶的能力，试问又有几家企业能够发现潜伏下来的攻击者呢……实战攻防演习有利有弊，但笔者看到的更多的是给行业带来的更多的是虚假的网络安全感！

第一部分：实战攻防演习2020

完整内容如下，

2020**演练在即，拉个群方便同行沟通。

主要是IoCs和TTPs情报共享，快速检测响应以及防止敌对国混水摸鱼！

成员要求：**一线防守方、**甲方、后方情报人员以及定向邀请的朋友，其他人员不得入群，请大家自觉不要拿诚信开玩笑！

2020-08-07

今天会分享一些

①.战略情报，比如专门针对我国或地区的攻击组织（可能大家之前没听说过）

②.**前线的Threat Hunting技巧

③.情报源和分析取证工具等

2020-09.14

①.战略情报，比如专门针对我国的攻击组织（可能大家之前没听说过）

不再公开

②.**前线的Threat Hunting技巧

这次**主要关注如何hunting APT和红队，所以这里主要讲一下个人感兴趣的点

这里所说的Threat Hunting主要有两种：

1.利用APT组织OPSEC、网络空间搜索引擎、Passive DNS & SSL以及其他类指纹的方式进行APT追踪

关于如何利用网络空间搜索引擎进行APT追踪，黑哥已经分享过不少，这里就不展开说了。

2.基于TTPs和漏洞情报

- 最近参加了好几家甲方的演练，基于TTPs的Hunting局限性比较大，主要是很多甲方企业没有接入终端的数据，另外安全产品对Hunting的支持非常有限。

- 基于漏洞情报的比较好理解，提取漏洞利用特征，利用SIEM进行调查。

③.情报源和分析取证工具等

情报源除了大家比较熟悉的各大厂商的情报平台，这里主要发两个我最近收集到的平台：

https://sonar.omnisint.io/

https://rapiddns.io/

APT情报源，主要还是看手里有没有全球研究情报和APT的厂商、组织及个人的联系方式，比如Twitter

分享一个好用的流量分析工具：Brim

分享 #1

分析平台检测到远控域名：hashtag.sslproviders.net，通过情报中心的平台或其他开源情报平台找出此域名相关的IOCs（同一次活动中攻击者使用的域名），比如这个域名的情报来源为：https://unit42.paloaltonetworks.com/how-cybercriminals-prey-on-the-covid-19-pandemic/，然后在分析平台继续进行调查取证。

分享 #2

121.46.26.158 安全机构接管IP

分享 #3

针对对外的业务系统安排专人负责，目前遇到比较多的情况是红队拿到外网某些服务器的权限后，利用在这些服务器上收集到的Hash以及弱口令进行横向移动，这种情况下安全产品基本上不会产生告警，只能由安全分析师进行Hunting。

思路：

①.取几个周期的数据建模分析

②.实时关注横向访问流量

顺便说一句，在安排护网值守的时候建议按照人员的能力模型来分配具体负责的内容，最好有专门负责Hunting的人员。

分享 #4

这几天爆出一个微软Windows Defender的利用手法

Hunting查询：

User Agent等于MpCommunication

Wireshark：

http.user_agent == "MpCommunication"

分享 #5

CVE-2020-1472 域控提权

Hunting查询：

Wireshark

!(ip.src == x.x.x.x) && netlogon.sec_chan_type == 6

防御方法

https://support.microsoft.com/zh-cn/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

第二部分：企业最缺乏的安全能力 - 安全运营和威胁狩猎

图一是SOC（安全运营中心）团队的参考模型

图二是微软IT SOC团队成员架构

   目前国内很多同行都在谈安全运营，但是很少有讨论安全运营中心团队成员能力模型的文章。然而事实上不论是平时和战时，人永远是攻防对抗的根本。

   一般而然，SOC团队成员由三个梯级组成：

TIER1:负责告警分类，也就是我们实战攻防演习中的监控组。

TIER2:负责事件处置和研判，对应实战攻防演习中的研判组。

TIER3:负责威胁狩猎&威胁情报、取证和溯源。

在SANS滑动标尺模型中，这两个梯级属于被动防御的概念层，TIER3应属于主动防御和进攻反制概念层。

   笔者有幸参加过几次实战攻防演习，从笔者了解到的情况来看，目前我国绝大多数企业并不具备威胁狩猎和威胁情报的环境和能力，所以有时候有同行找我要搞狩猎，其实我内心是很痛苦的。

狩猎过程概述

选择攻击战术 > 形成假设 > 收集数据 > 分析与验证 > 转化为自动化检测

实例1.查找被盗的用户凭据

   攻击者有很多不同的方法来窃取用户凭据，这使他们可以混入正常的活动中，避免被检测。（被入侵是必然的）但是，当攻击者使用这些偷来的凭据访问一个系统时，他们的位置通常与用户的真实位置有很大的不同。例如，京城的攻击者可以用偷来的凭证登录，30分钟后，真正的用户在羊城登录。通过审查成功的用户登录位置，我们可以确定登录活动在地理位置上相去甚远的不正常的登录行为。

实例2.狩猎横向移动和执行战术

第三部分：0day（零日漏洞）防御

   近年来，漏洞的危害被过分夸大了，0day防御非常棘手，但防不住吗？

1.狩猎内核提权0day

2.纵深防御

假设一：

假设攻击队有某厂商VPN RCE

0day，按常规思路，肯定没法防御。如果VPN前面有WAF，那么攻击队成功利用的几率有多大？进一步，防守方收集了VPN系统的内部日志，攻击队成功利用不被发现的几率有多大？

假设二：

攻击队已经拿下域内一台机器的权限且手里有DNS服务器的RCE 0day，这种情况下，防守方是不是就没戏了？其实这种情况通过基线行为分析是完全可以发现异常行为的。

然而，真实的情况是攻击队往往通过0day就能轻松入侵企业内网，为什么呢？其核心的原因是，目前阶段的实战攻防演习，绝大多数情况下还停留在攻击队与安全设备之间的对抗，过分依赖安全设备以及没有完善的安全团队。

实战攻防演习2021花絮下⬇️

以上笔者拙见，欢迎各位同行批评指正！微信：Zer0d0y

There are two types of companies: those who have been hacked, and those who don’t yet know they have been hacked.

—— 思科前CEO John Chambers