本文选自《交易技术前沿》总第四十二期文章(2020年12月)
情报技战法1:红队利用企业泄露的敏感信息或暴露的资产进行攻击,蓝队利用情报收缩攻击面
背景与目的:
网络安全防护演习攻击队主要采用两种方式进行攻击获取内网权限。一种是利用企业暴露服务端口和资产漏洞,采取正面攻击手段进入内网,并通过跳板进行横向感染直至控制整个内网。另一种是通过爬虫、google hacking、暗网等手段收集企业人员邮箱、IP、域名、代码、用户名、证书等信息,进而配合钓鱼邮件、钓鱼网站、身份仿冒等社会工程学手段直接感染控制内网主机。该技战法在此背景下的主要目的是利用外部威胁情报监控能力与威胁情报关联的上下文信息,识别发现企业暴露在互联网上的服务端口以及企业泄露在公网暗网上的敏感信息(邮箱、账号、密码)等,指导企业收缩资产暴露面,并对泄露的账号密码进行提前加固整改。
思路谋略:
企业相关的IP、域名资产信息与威胁情报基础信息pDNS(IP与域名关联映射)关联,可以对通过零星的信息资产拓展出企业尚未掌握的资产。进而关联威胁情报上下文信息后,获得企业IP、域名资产开放的端口、关联的证书等信息,因此,通过资产与威胁情报关联,企业可以得到所有资产开放端口服务的情况,安全运营人员可以据此收缩暴露的攻击面。
威胁情报监控体系可以通过对企业关键字的录入,在互联网、暗网进行与企业相关的敏感信息的监控爬取,识别企业泄露在外的邮箱、账号、密码等信息,企业安全运营人员得到该情报后,可以针对账号进行重点监控和加固。
上述思路其实与网络安全防护演习攻击队攻击前扫描、踩点获取攻击突破口的思路完全一致,是站在攻击者的视角在网络安全防护演习前对企业暴露资产和泄露信息进行识别监控。
攻防对抗过程:
在网络安全防护演习正式开始前,一般要提前至少一到两周,根据企业现有IP、资产,利用市面上威胁情报查询服务平台或企业内部自由威胁情报平台,关联企业资产开放服务端口,并利用市场上外部威胁情报监控平台对企业相关的敏感信息进行识别。
发现开放在互联网上且非必要服务端口、管理后台,进行及时关闭,并对无法关闭的端口和管理后台进行秘密加固和重点监控。
网络安全防护演习攻击队演习前进行性扫描踩点时。由于大量的敏感数据和暴露端口已经进行清除或加固,绝大多数极易被利用的攻击面无法被红队利用,大大降低被攻破的几率。红队如果利用尚未关闭的端口或管理后台或泄露邮箱进行攻击。企业可以对早已进行重点监控的脆弱点进行监控,及时出发告警,进行封禁和溯源。
应用效果:
据以往的网络安全防护演习经验,绝大多数网络安全防护演习攻击队都是利用暴露的端口、后台或敏感数据进行攻击,该技战法可以在网络安全防护演习前全面收缩攻击面,最大程度避免网络安全防护演习中被攻破的几率。理想情况下,借助该技战法可以使红队完全没有进入企业的机会,实现“运筹帷幄、防患于未然”。
情报技战法2:红队利用钓鱼邮件感染控制内部主机,蓝队借机失陷溯源加分
背景与目的:
在网络安全防护演习中,直接利用0day或资产漏洞进行正面攻击打穿企业的案例其实并不多,该方式对于红队来说不仅要求很高的渗透技术而且相当耗时,在有限的时间内,红队往往“曲线救国”,利用钓鱼邮件这样的社工手段向企业安全意识薄弱的普通职员发送木马,诱导点击链接或附件,进而导致员工电脑被感染控制进而感染内网更多主机。企业一般都有专门针对邮件网关的监控策略,但是往往“头痛医头、脚痛医脚”,只能针对被感染的主机进行清除。很难进一步对其他主机是否被感染进行溯源分析。该技战法不仅能够识别钓鱼邮件,而且能够对钓鱼邮件附件进行木马分析和远控域名情报提取,利用被感染主机与远控域名通信识别内部大量被感染控制主机,进而实现溯源加分。
思路谋略:
通过提取钓鱼邮件或者终端取证的恶意样本,结合沙箱对样本威胁类型、行为签名、网络行为进行动态分析,并自动提取用于远程控制通信的域名或IP地址。并结合上网行为管理等设备的内部主机对外访问日志,发现内网全部与该远控该地址通信的失陷主机。同时,将该远控域名或IP,与其他机构共享情报,实现更大范围的被控主机发现能力,帮助客户获得溯源加分奖励。
攻防对抗过程:
网络安全防护演习演练第二天,我方安全工程师从该企业分公司获取钓鱼邮件恶意样本,并利用沙箱进行威胁分析,成功提取该恶意样本中的远控IP,并在全集团进行情报共享。同时,指导该企业在防火墙进行封禁。
网络安全防护演习演练第三天,我方总部上下午分别收到一份钓鱼邮件,通过沙箱分析,发现上午钓鱼邮件中的远控IP与之前一致。
下午邮件通过分析发现新远控地址。通过与上网行为管理日志比对,发现内网存在数十台与此地址通信的被控主机。
我方工程师第一时间对远控地址进行封禁,并配合终端取证定位设备进行被控源头定位和清除工作。
应用效果:
企业往往对钓鱼邮件心存忌惮,一方面钓鱼邮件很容易被内部人员触发。另一方面,远控木马往往具备横向感染传播能力,内部究竟有多少被控主机不得而知。利用样本分析和情报提取技术,结合威胁情报失陷检测产品或出站日志收集平台可以快速定位内部全部被控主机,不仅能够获得清除加分分数,而且发现内部感染路径也可以得到溯源加分。
情报技战法3:红队攻击IP泛滥,蓝队利用情报对海量网络安全防护演习IP进行精准封禁、溯源
背景与目的:
从网络安全防护演习2020看,网络安全防护演习情报共享集中爆发,蓝队普遍把共享的网络安全防护演习 IP进行封禁作为基本防护手段。但是在禁止封禁C段地址以及海量网络安全防护演习IP爆发,企业防火墙不堪重负,而且极易出现误拦问题。另外,面对海量网络安全防护演习IP如何精准高效筛选出值得溯源的IP,是企业遇到的难题。该技战法是利用威胁情报上下文丰富字段搭建网络安全防护演习IP验证与溯源研判自动化工具,快速筛选准确网络安全防护演习 IP和值得溯源的IP,帮助企业进行有效封禁和针对性溯源。
思路谋略:
结合情报白名单、IP关联签名及相关属性,并根据情报关联属性进行加权计算,自动计算出高可信网络安全防护演习 IP,企业可以直接将经过研判分析的IP进行封禁。针对IP是否关联域名、域名是否具备手机号或邮箱等注册信息,进一步对IP进行溯源价值研判分析。对于筛选出的IP,可以帮助企业聚焦高价值溯源IP。
攻防对抗过程:
利用情报共享交换群组或者第三方威胁情报厂商快速获取网络安全防护演习IP,并导入网络安全防护演习 IP自动化研判验证工具。
情报研判工具关联情报上下文信息,去除带有CDN、移动基站、网关等IP。并结合IP关联签名信息,对网络安全防护演习IP进行真实可信加权计算。进而联动防火墙进行封禁,避免大量误拦或者拦截策略条目过多,导致防火墙过载。
针对研判筛选出的IP,在进一步关联情报信息,例如IP是否关联域名、域名是否具备注册信息,并结合外部溯源价值验证接口,综合判定溯源价值。企业根据高价值IP进一步获取溯源加分。
应用效果:
避免面对海量IP盲目封禁,导致误拦或防火墙过载的风险。溯源人员自愿有限,面对每天上千IP,无法进行一一溯源识别,通过结合情报研判工具,可以快速识别具备溯源价值的IP,并且溯源价值研判工具关联的情报信息进一步指导溯源人员进行溯源分析。
(全文完)
↑↑↑长按图片识别二维码关註↑↑↑
原文始发于微信公众号(全栈网络空间安全):威胁情报技战法总结
评论