目前�����,我國網(wǎng)絡(luò)安全形勢仍然嚴(yán)峻��,信息泄露等安全事件時有發(fā)生����,網(wǎng)絡(luò)空間對抗態(tài)勢不斷加劇�,網(wǎng)絡(luò)攻擊者的手段也是層出不窮����。
為應(yīng)對越來越嚴(yán)峻的挑戰(zhàn),進(jìn)行網(wǎng)絡(luò)攻防演習(xí)就是必不可少的方法與策略�����,通過攻擊和防守方的對抗�,在演習(xí)中查找防護(hù)的不足之處,學(xué)習(xí)攻防技術(shù)����,提高網(wǎng)絡(luò)安全防范能力。
一�、前期檢查與加固
“打鐵還需自身硬”��,在網(wǎng)絡(luò)安全攻防演習(xí)前期準(zhǔn)備中����,由于很難了解到攻擊方的很多重要信息�,所以重點在于梳理自身網(wǎng)絡(luò)資產(chǎn),排查資產(chǎn)存在的風(fēng)險����,以自身充足的準(zhǔn)備去防范掉風(fēng)險,如果防范不掉��,也可以為后期處理做好準(zhǔn)備��。
對于加固來說����,小藍(lán)也總結(jié)了以下可以著重關(guān)注的幾方面:
1、安全防護(hù)軟件:查看是否安裝安全防護(hù)軟件�,可利用軟件查看電腦上是否安裝了重大補(bǔ)丁,可利用此類軟件對主機(jī)打補(bǔ)丁��,比較方便��。
2����、禁止windows自動運行:windows自動運行功能被許多病毒利用�����,會因為使用U盤而將病毒激活���。
3、安全策略設(shè)置:密碼策略設(shè)置�,賬號鎖定策略設(shè)置,審核策略設(shè)置��,不允許SAM賬號匿名枚舉����,遠(yuǎn)程帳戶不活動斷連時間設(shè)置等等����。
4、安全漏洞修補(bǔ):禁用默認(rèn)共享�,禁止建立空鏈接,禁止遠(yuǎn)程修改注冊表����,禁用guest帳戶等等���。
當(dāng)然,以上方面只是排查過程中的一部分內(nèi)容�,需要排查和加固的東西很多,所以在網(wǎng)絡(luò)攻防演練過程中���,可以使用一些工具或者可以編寫批處理文件來自動檢測或者設(shè)置�����,提高排查效率�,節(jié)省時間��。
對于Linux的排查也有很多項��,同樣可以編寫腳本來運行��,準(zhǔn)確且快速�����。對于Linux系統(tǒng)來說�,小藍(lán)提醒大家需要特別關(guān)注以下幾項:
◆ 檢查是否設(shè)置除root之外UID為0的用戶;
◆ 檢查是否存在空口令賬號;
◆ 檢查是否對登錄進(jìn)行日志記錄���;
◆ 檢查是否設(shè)置命令行界面超時退出�;
◆ 檢查是否使用PAM認(rèn)證模塊禁止wheel組之外的用戶su為root�;
◆ 檢查系統(tǒng)openssh安全配置等等。
二�、設(shè)備監(jiān)控
強(qiáng)大的武器是在戰(zhàn)爭中獲勝的重要因素。在網(wǎng)絡(luò)安全攻防演練中���,借助強(qiáng)大的安全設(shè)備可以幫助小藍(lán)檢測和防御到各種各樣的攻擊�����,可以使防守人員快速反應(yīng)��,處理安全事件,及時止損和溯源�。
網(wǎng)絡(luò)資產(chǎn)安全治理平臺(RayGate)不僅可以幫助客戶梳理資產(chǎn),同時還有一個強(qiáng)大的功能���,就是檢測webshell上傳�����,通過治理平臺��,在前期排查過程中小藍(lán)也是發(fā)現(xiàn)了有攻擊者上傳webshell��。(網(wǎng)站被植入WebShell將使黑客能夠直接控制目標(biāo)主機(jī)�����,造成數(shù)據(jù)泄漏����,頁面被非法篡改的風(fēng)險。)
可以通過查看詳情來查看攻擊者的攻擊情況�。
后經(jīng)小藍(lán)的驗證,發(fā)現(xiàn)系統(tǒng)已經(jīng)關(guān)停��,具體影響需要站點負(fù)責(zé)人確認(rèn)����。
可持續(xù)威脅檢測與溯源系統(tǒng)(RayEYE)可以實時分析網(wǎng)絡(luò)流量,監(jiān)控可疑威脅行為���,通過多病毒檢測引擎有效識別出病毒���、木馬等已知威脅��?���?梢詭椭∷{(lán)及時發(fā)現(xiàn)攻擊����,做出應(yīng)對,如下圖展示了一次對struts2的嘗試攻擊��。
在網(wǎng)絡(luò)攻防演習(xí)中���,還會用到防火墻����、WAF等很多的安全設(shè)備�,小藍(lán)們需要結(jié)合各種設(shè)備不同的功能和特性,結(jié)合實際網(wǎng)絡(luò)環(huán)境��,準(zhǔn)確分配部署的位置����,優(yōu)化策略����,使安全設(shè)備發(fā)揮到較大價值��,出色完成檢測和防守���。
三、分析溯源
在網(wǎng)絡(luò)安全攻防演練中�����,主要目的固然是防守成功�����,但是如果可以溯源到攻擊者�����,那自然是錦上添花����,當(dāng)然,柿子還要挑軟的捏���,小藍(lán)在大量的攻擊日志中選取暴露信息多的去進(jìn)行挖掘�����,可以通過網(wǎng)上尋找或者自己編寫腳本對攻擊IP進(jìn)行批量篩選查詢�����。下面是其中的一種����。
這是一個通過IP查詢綁定域名,綁定時間及其歸屬地的腳本�。
這是一個通過域名查詢注冊名字,注冊郵箱�,公司等信息的腳本。
這天�,小藍(lán)發(fā)現(xiàn)有一個攻擊者ip開啟了redis服務(wù),他想到了redis未授權(quán)訪問���,立馬拿出滲透神器kali發(fā)送語句探測一下�����,果然存在未授權(quán)�。
執(zhí)行命令./redis-cli -h ip 嘗試連接����。
寫入公鑰
設(shè)置redis的備份路徑為/root/.ssh和保存文件名authorized_keys,使用命令如下:
config set dir /root/.ssh
config set dbfilenameauthorized_keys
私鑰登錄
查看歷史命令��,發(fā)現(xiàn)有人執(zhí)行wget命令下載了文件�。
利用沙箱查詢此文件檢測到為惡意文件。
去威脅情報平臺上查詢一下此ip�,發(fā)現(xiàn)這是一個惡意主機(jī)。
攻擊方的手段層出不窮�����,但并非防無可防��,防守方守備戒律森嚴(yán)��,亦不是無懈可擊���。千里之堤����,潰于蟻穴��。在網(wǎng)絡(luò)攻防演練過程中���,防守方萬萬需要全面心細(xì)有針對���,對每一個可能有風(fēng)險的存在都需要了如指掌�,然后實施針對性策略��。
