目前����,我國(guó)網(wǎng)絡(luò)安全形勢(shì)仍然嚴(yán)峻,信息泄露等安全事件時(shí)有發(fā)生����,網(wǎng)絡(luò)空間對(duì)抗態(tài)勢(shì)不斷加劇��,網(wǎng)絡(luò)攻擊者的手段也是層出不窮���。
為應(yīng)對(duì)越來越嚴(yán)峻的挑戰(zhàn),進(jìn)行網(wǎng)絡(luò)攻防演習(xí)就是必不可少的方法與策略��,通過攻擊和防守方的對(duì)抗���,在演習(xí)中查找防護(hù)的不足之處��,學(xué)習(xí)攻防技術(shù)���,提高網(wǎng)絡(luò)安全防范能力。
一��、前期檢查與加固
“打鐵還需自身硬”�����,在網(wǎng)絡(luò)安全攻防演習(xí)前期準(zhǔn)備中�,由于很難了解到攻擊方的很多重要信息,所以重點(diǎn)在于梳理自身網(wǎng)絡(luò)資產(chǎn)�,排查資產(chǎn)存在的風(fēng)險(xiǎn)�����,以自身充足的準(zhǔn)備去防范掉風(fēng)險(xiǎn)��,如果防范不掉���,也可以為后期處理做好準(zhǔn)備。
對(duì)于加固來說���,小藍(lán)也總結(jié)了以下可以著重關(guān)注的幾方面:
1��、安全防護(hù)軟件:查看是否安裝安全防護(hù)軟件����,可利用軟件查看電腦上是否安裝了重大補(bǔ)丁��,可利用此類軟件對(duì)主機(jī)打補(bǔ)丁�,比較方便�����。
2���、禁止windows自動(dòng)運(yùn)行:windows自動(dòng)運(yùn)行功能被許多病毒利用���,會(huì)因?yàn)槭褂肬盤而將病毒激活���。
3、安全策略設(shè)置:密碼策略設(shè)置�,賬號(hào)鎖定策略設(shè)置,審核策略設(shè)置��,不允許SAM賬號(hào)匿名枚舉���,遠(yuǎn)程帳戶不活動(dòng)斷連時(shí)間設(shè)置等等����。
4�、安全漏洞修補(bǔ):禁用默認(rèn)共享,禁止建立空鏈接�����,禁止遠(yuǎn)程修改注冊(cè)表�����,禁用guest帳戶等等。
當(dāng)然�,以上方面只是排查過程中的一部分內(nèi)容,需要排查和加固的東西很多����,所以在網(wǎng)絡(luò)攻防演練過程中,可以使用一些工具或者可以編寫批處理文件來自動(dòng)檢測(cè)或者設(shè)置���,提高排查效率���,節(jié)省時(shí)間。
對(duì)于Linux的排查也有很多項(xiàng)��,同樣可以編寫腳本來運(yùn)行�,準(zhǔn)確且快速。對(duì)于Linux系統(tǒng)來說����,小藍(lán)提醒大家需要特別關(guān)注以下幾項(xiàng):
◆ 檢查是否設(shè)置除root之外UID為0的用戶;
◆ 檢查是否存在空口令賬號(hào)���;
◆ 檢查是否對(duì)登錄進(jìn)行日志記錄��;
◆ 檢查是否設(shè)置命令行界面超時(shí)退出��;
◆ 檢查是否使用PAM認(rèn)證模塊禁止wheel組之外的用戶su為root��;
◆ 檢查系統(tǒng)openssh安全配置等等���。
二、設(shè)備監(jiān)控
強(qiáng)大的武器是在戰(zhàn)爭(zhēng)中獲勝的重要因素�����。在網(wǎng)絡(luò)安全攻防演練中���,借助強(qiáng)大的安全設(shè)備可以幫助小藍(lán)檢測(cè)和防御到各種各樣的攻擊���,可以使防守人員快速反應(yīng),處理安全事件�,及時(shí)止損和溯源。
網(wǎng)絡(luò)資產(chǎn)安全治理平臺(tái)(RayGate)不僅可以幫助客戶梳理資產(chǎn)�����,同時(shí)還有一個(gè)強(qiáng)大的功能�����,就是檢測(cè)webshell上傳,通過治理平臺(tái)��,在前期排查過程中小藍(lán)也是發(fā)現(xiàn)了有攻擊者上傳webshell��。(網(wǎng)站被植入WebShell將使黑客能夠直接控制目標(biāo)主機(jī)����,造成數(shù)據(jù)泄漏,頁面被非法篡改的風(fēng)險(xiǎn)���。)
可以通過查看詳情來查看攻擊者的攻擊情況���。
后經(jīng)小藍(lán)的驗(yàn)證,發(fā)現(xiàn)系統(tǒng)已經(jīng)關(guān)停��,具體影響需要站點(diǎn)負(fù)責(zé)人確認(rèn)�。
可持續(xù)威脅檢測(cè)與溯源系統(tǒng)(RayEYE)可以實(shí)時(shí)分析網(wǎng)絡(luò)流量,監(jiān)控可疑威脅行為���,通過多病毒檢測(cè)引擎有效識(shí)別出病毒��、木馬等已知威脅���??梢詭椭∷{(lán)及時(shí)發(fā)現(xiàn)攻擊��,做出應(yīng)對(duì),如下圖展示了一次對(duì)struts2的嘗試攻擊。
在網(wǎng)絡(luò)攻防演習(xí)中�����,還會(huì)用到防火墻�����、WAF等很多的安全設(shè)備�,小藍(lán)們需要結(jié)合各種設(shè)備不同的功能和特性,結(jié)合實(shí)際網(wǎng)絡(luò)環(huán)境��,準(zhǔn)確分配部署的位置�,優(yōu)化策略,使安全設(shè)備發(fā)揮到較大價(jià)值�,出色完成檢測(cè)和防守。
三��、分析溯源
在網(wǎng)絡(luò)安全攻防演練中��,主要目的固然是防守成功,但是如果可以溯源到攻擊者���,那自然是錦上添花��,當(dāng)然���,柿子還要挑軟的捏,小藍(lán)在大量的攻擊日志中選取暴露信息多的去進(jìn)行挖掘��,可以通過網(wǎng)上尋找或者自己編寫腳本對(duì)攻擊IP進(jìn)行批量篩選查詢����。下面是其中的一種。
這是一個(gè)通過IP查詢綁定域名�����,綁定時(shí)間及其歸屬地的腳本���。
這是一個(gè)通過域名查詢注冊(cè)名字����,注冊(cè)郵箱��,公司等信息的腳本。
這天����,小藍(lán)發(fā)現(xiàn)有一個(gè)攻擊者ip開啟了redis服務(wù),他想到了redis未授權(quán)訪問�,立馬拿出滲透神器kali發(fā)送語句探測(cè)一下,果然存在未授權(quán)�。
執(zhí)行命令./redis-cli -h ip 嘗試連接���。
寫入公鑰
設(shè)置redis的備份路徑為/root/.ssh和保存文件名authorized_keys�����,使用命令如下:
config set dir /root/.ssh
config set dbfilenameauthorized_keys
私鑰登錄
查看歷史命令���,發(fā)現(xiàn)有人執(zhí)行wget命令下載了文件。
利用沙箱查詢此文件檢測(cè)到為惡意文件��。
去威脅情報(bào)平臺(tái)上查詢一下此ip�����,發(fā)現(xiàn)這是一個(gè)惡意主機(jī)����。
攻擊方的手段層出不窮��,但并非防無可防���,防守方守備戒律森嚴(yán),亦不是無懈可擊�。千里之堤,潰于蟻穴�。在網(wǎng)絡(luò)攻防演練過程中,防守方萬萬需要全面心細(xì)有針對(duì)�����,對(duì)每一個(gè)可能有風(fēng)險(xiǎn)的存在都需要了如指掌�����,然后實(shí)施針對(duì)性策略���。
