=Start=
缘由:
好久没有主动学习提高了,最近公司的事情太多,人也变懒了很多,所以博客也不像之前一样经常更新和打理了。
个人感觉不能老是这样,浑浑噩噩没有个目标,还是要逼自己一把,用输出的flag倒逼自己多去输入、多去整理、多去思考然后落笔记录下来,才有可能取得提高和进步。
这里整理一下前段时间利用闲暇看的快手安全沙龙的PPT的内容框架,方便以后参考和回顾。
正文:
参考解答:
个人觉得,在这些分享里面腾讯的lake2(分享的内容广泛全面且不缺深度)、长亭的崔勤(分享的内容对我来说是比较新的)还有小米的fenggou(「消防员」和「二向箔」的解构和概念)这3个对我的帮助会更多一点。比如:小米IoT自动化审计那里的「二向箔」的概念,我刚好前段时间看完了《三体》丛书,也”记住了”这个概念,但没有往安全扫描、审计这里面套,经过他这么一讲之后,感觉我书真的是读的太浅了,还是缺少思考和泛化,以后还要多看看其它人的分享,应该能获得类似的收获。
以攻促防——企业红蓝对抗体系建设 – 腾讯·胡珀
企业安全体系建设思路——SDL
企业安全体系建设思路——DevSecOps
一个问题——做了这么多(搭建安全团队、建立安全规范/系统/流程、进行安全运营),现在我们足够「安全」了吗?
如何验证安全体系是否有效?实战是检验安全防护能力的唯一标准。
RedTeam与红蓝对抗的概念
渗透测试与红蓝对抗
腾讯蓝军体系建设实践——从单一Web漏洞挖掘到整体安全体系验证,覆盖APT攻击、DDoS、AIoT、风控安全、办公室窃听等场景,衍生出专门的战略支援团队及平台,引入外部白帽子及众测,为腾讯云大客户提供服务
系统安全蓝军(黑客攻防)
网络安全蓝军(DDOS攻防)
业务安全蓝军(风控攻防)
物理安全蓝军(”窃听风云”)
泛蓝军(SRC与众测)
泛蓝军(支援部队——工具平台研发、安全技术研究支持)
红蓝对抗实战案例一
红蓝对抗实战案例二
蓝军经验沉淀——蓝军平台建设
各蓝军团队的分工与协作——腾讯经验,开源协同
总结
- 关注安全风险,更要关注安全防御体系的缺陷
- 不止是渗透,红蓝对抗领域应该是全方位的
- 不要依赖单兵作战,红蓝对抗能力需要沉淀为自动化平台
- 在HW推动下,红蓝对抗将飞速发展,不论是技术还是商业化
- 关注法律风险,一切行动都需要在合法合规条件下进行
==
快手业务安全 – 快手·陈成
- 初识黑灰产
黑色产业链
灰色产业链
短视频下的黑灰产——账号安全
短视频下的黑灰产——引流
短视频下的黑灰产——流量作弊
短视频下的黑灰产——活动”薅羊毛”
黑灰产特点 - 走进风控
黑灰产治理的特点——持续对抗的过程
黑灰产治理的难点——平衡安全和体验
黑灰产治理的难点——业务沟通
黑灰产治理的难点——木桶效应 - 核心打法
业务架构——中台化
核心打法——根据挑战提出核心解法
策略对抗——平台化
策略对抗——从人工到半自动化
策略对抗——无监督和半监督的广泛应用
业务联动——产品手段(奖励延时发放、风险提示、专属文案)
业务联动——统一收口、联防联控
业务联动——风控流程
基础能力建设
情报体系
治理效果——内部数据(反作弊-资损、资损率、客诉率;恶意引流-拦截数量、漏报率、客诉率)
治理效果——外部评价
==
攻防演练中的攻击战术演进 – 长亭·崔勤
变化与机会
监管(增强)
甲方(变化)——更重视服务、更重视安全效果、新的采购模式
乙方(机会)——产品机会、高端服务获得认可、深度参与安全建设
“实战”标准下的安全效果更真实
- 结果导向,不限制手法。
- 攻防两端深度参与,不再仅仅是一份检测报告,体验感更足。
- 低危漏洞?安全意识不重要?
实战标准的特点和挑战
- 不确定性 -> 人的能力更重要
- 动态变化 -> 学习速度
- 结果导向 -> 木桶短板问题更明显
攻防演练
早期依赖个人能力(经验),近两年更为体系化、专业化、团队作战优势更明显。
攻防演练(红队)
- 能力象限
- 框架的演进
- 决策及思考,攻击战术
攻防演练(框架演进)
信息 -> 漏洞 -> 工具
核心要素
- 信息 是APT攻击的第一生产力,贯穿APT攻击的整个生命周期,优秀的情报能力可以令攻击事半功倍;
- 漏洞 是撕开防线的武器,需要依靠信息精确制导;
- 工具 是潜伏敌线、刺探情报的间谍:主要包括远控,日志、流量、密码窃取等后渗透工具。
战术总结及思考 – 高效的信息收集(自动化)
爬虫 -> 扫描 -> 漏洞
战术总结及思考 – 应用漏洞vs基础设施漏洞
优势
劣势
使用范围
战术总结及思考 – 供应链安全
- 外包(驻场)对客户人员架构不熟悉导致被钓鱼。
- 同一外包开发写出相似漏洞(更可怕的逻辑漏洞)。
- 软硬件产品(VPN、虚拟化平台、堡垒机、OA、邮箱等)。
- 网络(专线)与合作方打通。
- 供应商的开发依赖存在安全隐患。
战术总结及思考 – 安全厂商对抗
- 安全产品的自身安全性问题
- 安全产品的能力失效问题
安全/运维/监控设备:
- 提前储备相关0Day或1day,可供内网横纵向扩展利用;
- 一般以server端控agent端,或者先从agent打到server,再打其他agent的形式;
- 安全设备不安全。
战术总结及思考 – 有效权限
简单粗暴——拿开源工具直接内网扫描
白名单权限——入侵系统后,通过漏洞利用转变对系统进行控制的方式为常规运维访问,提升隐蔽性以维持权限
绕过黑名单——加密传输、端口复用;代码混淆、免杀处理;优先利用企业内部已有信息进行横向扩展
攻防演练 – 展望
攻防演练中的某些问题或环节可能会演变成产品,进一步提升普适度,覆盖越来越多的客户,提高整体安全水平。
人 -> 工具 -> 产品
可解问题 -> 已知问题 -> 未知问题
==
快手纵深攻防体系建设 – 快手·黄浩
一、四维时空红蓝对抗推演
“纵深”这个词,空间换取时间,提到空间、时间,又会联想到爱因斯坦的“相对论”,四维时空,你可以洞察过去、预见未来。红蓝对抗演练,更像是四维时空的产物,将未来可能发生的威胁和风险提前感知,所以蓝军更像是未来部队!
二、面对面的纵深攻击演练
面对面的红蓝对抗要关注哪些空间:网络空间[互联网、办公网、生产网]、物理空间、意识空间
三、背对背的目标斩首行动
背对背的红蓝对抗,目的是为了验证安全防御体系在真实的攻击场景下所表现出的威胁的发现能力、告警能力、阻断能力、应急处置能力、分析溯源能力等,检验安全产品有效性的同时,也检验安全服务的质量。同时攻击角色不仅包括内部安全蓝军,也应该包括泛蓝军(外部安全能力),往往不分时间、不分地点、不分方式,目标明确,我们称之为“斩首行动”。
背对背的红蓝对抗往往是实战方式,适用4种场景:
1、由外到内入侵渗透;
2、线上产品漏洞挖掘;
3、移动安全防护逆向;
4、业务安全分析溯源。
四、自适应的纵深防御体系
1、自适应安全架构
2、纵深攻防体系推演大盘
3、红蓝对抗攻防双方共建指标
==
IoT 自动化安全平台体系建设 – 小米·孟卓
我是谁?从哪里来?要做什么?
团队任务如何达成?
- 消:消除隐患
- 防:防患于未燃
- 员:人员的成长
消除隐患
技术难-技术栈复杂
团队难-人才缺失
压力大-产品量激增
无体系-行业经验
初步尝试
团队能力交叉
AIoT 消费级物联网产品安全基线
误入歧途 – 实验室变流水线工厂
二向箔 – IoT自动化审计的突破
将三维化/立体的IoT设备,通过数据化的方式二维化到机器、算法可处理的层面,然后进行自动化的审计。
修完漏洞就安全了?
这是一个巨大的误区,安全是动态的。随着技术的迭代,品类的多样化,开发者的交替、供应的风险以及用户要求的提升,很难找到一个「基点」来说明产品的安全。
防患于未燃
人无远虑,必有近忧。
==
快手应用安全演进之路 – 快手·廖新喜
01 – 作坊阶段
编码规范
知识积累
管控手段/能力
评价指标
指标体系建设
漏洞属性
SRC
众测
自测漏洞
漏洞等级
业务属性
评价指标
按期修复率
自检率
高危自检率
对外自检率
建设目标
外部SRC
内部SOC
漏洞扫描器
重大活动保障
02 – 自动化阶段
静态代码扫描能力建设
三方库漏洞收敛
03 – BP阶段
业务迅速发展-安全诉求高
漏洞发现靠后-修复成本高
业务漏洞突出-发现难度高
新型漏洞突出-治理难度高
……
静态扫描
动态扫描
IAST
DevSecOps
参考链接:
直播回放
https://lpb3f7ev.7r14atyi40.com/f/X-1uA35uWIc8p1cT
或 打开快手,搜索【快手中学】查看直播精彩回放
=END=
《 “[ppt学习]快手安全沙龙” 》 有 6 条评论
红蓝对抗服务之攻击队约束条款、业务首次上云避坑讨论暨sudo账户管理问题 | 总第131周
https://mp.weixin.qq.com/s/VrI7A2XKC_jOTUVJieCcdw
`
# 话题1:大家购买演习服务,攻击队会提供清楚的攻击步骤吗?在演习完毕后提供验证修复服务吗?是比较显然的服务内容,还是说得单独明确、额外写在合同里才可以提供?
A1:目前合作的蓝军只提供攻击结果和结果相关的一些漏洞细节,具体步骤不会提供,如果合同具体写明应该可以。
个人觉得详细的攻击步骤意义不大,不管采用什么攻击步骤,最终都归结到利用的漏洞。
**A2:确实主要是利用漏洞,而且很多公司的报告都有意不写这些细节。至于为何不写,可能是他们手上有一些私货不方便说,怕你抓到。真正交流的时候,通常给一个攻击流程图,你得问他们细节、工具、步骤,要不然白交流。**
A3:问就是用的挖掘的0day,不方便透露,所以我都是私下来和红队的几个朋友交流攻击细节,然后自己处置。红队很多都是买的,后面一大帮人给他们做技术支撑,如工具平台建设team,包括魔改的cs;典型一点的像数字公司的bugclub就是收集购买各种漏洞的。
Q:现在对攻击队都是录屏的,有人对录屏进行分析过么?感觉这就是详细步骤,除非用外围打下的,并没有用指定平台来操作。
A4:很多操作都是在外围打,操作机录屏只有必要的操作,而且录屏基本按周起步,一周的录屏分析起来脑袋都大了,工作量也太大了。
Q:除了保密协议啥的?目前还没有什么好办法吗?最近我正在写红蓝的合同,没想清楚怎么写要求。
**A5:可以让红队记录攻击时间点,然后根据攻击时间点去找视频,并结合当时和指挥部报备时间、要素等情况。相对于之前盲目的翻视频,工作量小了很多。**
A6:这个意义不大,因为乙方红队在做项目时碰到关键漏洞也不是他们自己打的,都是去买。当然,关键漏洞还是要自己操作录屏的,不然就属于违反保密协议和合同内容了。
A7:确实可能不是,因为乙方一般挖漏洞和打红队的属于两个部门,部门之间也不想分享漏洞细节,甚至有一部分是红队自己去购买漏洞的,没有用公司挖掘漏洞团队的东西。
Q:如果买那岂不是违反合同了?
A8:是这样子的,红队探测出了甲方的资产有哪些东西,然后看自己手上有没有这部分的洞,没有的话就去找周围做代码审计或者漏洞挖掘的业内人士购买。这儿的资产不局限于公网资产,还有内网资产。
总之这个特别复杂,有红队自己挖的,红队从朋友那借的,自己公司研究院挖的,漏洞平台收的,还有骗来的,比如通过弱口令等登进某个系统,然后让有漏洞的打,抓流量自己分析。
A9:我觉得红队大部分还是要靠个人的经验和手里掌握的漏洞来得分,买漏洞的有可能存在,但比较少存在这种情况,主要是存在于小乙方想拿名次的。
A10:这个不同设备不同厂商不同类型的day价格差距挺大的,现在0day都泛滥了。一是因为挖漏洞的收入高还能卖,一大堆人去挖漏洞,从提供设备的-破解代码的-代码审计的都成产业链了;二是漏洞一直在那,结果就形成分布式代码扫描器,挖的基数大了,漏洞就更多了。
**A11:回到正题,关于怎么从签合同的红队里面找出来攻击细节,通常在复盘的时候,请红队分享经验,提供细节。这需要甲方在签合同里定义好红队的职责,要求提供详细的报告,在招标的时候写在标书里。**
# 话题2:公司主营业务是数据服务,目前IT设施主要以自建为主,每年投入好几千万(不含人力成本),可用性这块也不理想(如出现多次通信线路故障),业务上云也是一种行业趋势,CTO提出技术部去调研下业务上云的可能性(采用业务分拆上云,核心数据类服务不会上云),但公司无业务体系化上云的经验。对此,个人理解需要搞清楚几个问题:
调研的维度:除技术改造成本,费用,迁移上云辅助技术工具,云设施安全性,云服务多样性,用户案例等之外还有其他维度吗?
是否有主流供应商的竞品分析可以分享一下?
选择云供应商应该遵循哪些原则?
A1:内部支持方面,可以让技术部了解一下k8s,之后对自身的技术架构和业务架构进行评估,如先搭建开源k8s环境试试水。
外部支持方面,可以厂商先做个咨询,让厂商出一些参考方案。云服务提供商和云安全提供商应该是不同的厂商。调研维度建议增加信创相关维度调研,至于选型可以网上搜一下相关厂商,知名大企业,技术实力强,能扛事最好。
A2:这个问题本质上是一个基于领域模型的业务架构问题,上面说的3个问题还只是怎么上,更前置的是能不能上,上什么。
A3:我们18年开始上云,从早期的aws到现在国内的三大云厂商等云,迁移到公有云上觉得有个额外要考虑的几个建议:
0、必须考虑清楚为何要上云,主要目的是什么?不要为了上云而上云,别忘记初衷。
1、该公有云gg后应用怎么使用,怎么持续可用,毕竟公有云的故障也不少,别听他们销售吹。
2、公有云数据备份需要考虑,建议异云或者本地数据中心,需要考虑专线带宽。
3、迁移到公有云的系统和本地数据中心的耦合性如何,需要考虑之间的依赖成本。
4、迁移到公有云的数据做合规风险评估,数据是否涉密,建议征询监管机构意见,是否可以放到该上面。
5、注意做好数据流/网络规划,比如:云上左下系统间数据交互走向、用户访问走向(含内外网用户使用方式)。
6、公有云的网络安全怎么规划,选型的时候需要一起和业务一起综合考虑好,不然后期投入成本也不少。
Q:核心数据业务不上云,两者云上业务依赖的数据,来自公司自建IDC的大数据服务生产的,所以架构应该会是混合云,K8S技术栈公司用了有几年了,也接触了相关公司,领导比较担心就是上云了,后面会被绑架了。
A4:要考虑用某云的云服务后的代替方案,不然有可能在迁移到其他地方的时候掉层皮。一般非必要不用云的专业服务,一旦用了,绑架是必然的,你得把云当组装商一样管理供应链,这对自己的业务架构要求很高,否则就是换不掉。
# 话题3:关于堡垒机的账户管理,堡垒机托管的普通账户可以sudo到root权限吗?或者可接受什么方式提权到root权限?
A1:不建直接sudo,一用就收不回来了,可以配合命令审计功能,sudo命令触发审批。堡垒机自身就有这个功能,可把sudo加入审批,提权审批后再回来还得输普通账号密码。
A2:sudo可以配置能执行的命令,但还是不建议给sudo权限,太危险了,提权的话我最喜欢suid和uid提,而且建议对root的命令做复核。
A3:如果给cap(capabilities)权限应该也可以,权限更加细分,这更多的用在应用程序上,如果如果是用户直接登录操作,可能不适合。
`
以攻促防:Google的红队是怎么做的?
EP71 Attacking Google to Defend Google: How Google Does Red Team
https://cloud.withgoogle.com/cloudsecurity/podcast/ep71-attacking-google-to-defend-google-how-google-does-red-team/
`
Topics covered:
谷歌的“红队”测试理念和方法是什么? What is our “red team” testing philosophy and approach at Google?
我们是如何进化到这种方法的? How did we evolve to this approach?
从测试到让谷歌和我们的用户更安全的途径是什么?我们的测试如何推动我们所做的改进? What is the path from testing to making Google and our users more secure? How does our testing power the improvements we make?
谷歌的红队有什么独特之处? What is unique about red teaming at Google?
愿意分享一些你经验中有趣的测试故事或例子吗? Care to share some fun testing stories or examples from your experience?
`
蓝队【研判专题】莽就对了,三板斧!
https://www.secpulse.com/archives/188961.html
`
# 序
无论是在护网还是在驻场,都会有监测岗和分析岗的区分。那么一般来说呢【现实点】,研判岗的日薪会普遍高一些,而涉及到了研判岗的通常就是招中级蓝队了。我的三板斧是对研判岗的一个概括,并不是全部。这篇文章是一个方法论,会结合部分例子来说明,给初级蓝队一个提升的方向。
强调一点:提升到中级蓝队必须要有脱离设备的思考,运用设备而不依赖设备。并且:监测岗-研判岗-溯源岗-专家岗每一个岗位都是后一个岗位的子集。
# 0x01 研判三板斧
## 0x11 静态分析
静态分析:这个静态指的是一种结果,有一定信息直接表现出来的。也可以理解为一种蓝队的“信息收集”。
这种结果一般获取于结果导向性的设备,比如说:态势感知里的威胁感知/攻击诱捕,防火墙上的攻击拦截,沙箱上的分析报告;除此之外,还有从失陷主机上获取到的信息(落地样本、主机信息、日志等)。
静态分析的作用有二:
1. 当静态分析获取信息导向结果时,可以直接获取结果稍加分析即可。不过这要根据研判动作里的深度结合,如果深度和范围都停留在表面则不需要用到其他两个分析。
2. 当静态分析分析获取的信息呈现碎片化的时候,则需要结合行为分析和关联性分析,对每一个碎片呈现的信息做整理,使用其上下文、意图指向分析得出一个结论。
## 0x12 动态分析
动态分析:动态分析是一种对在过程中变化的信息的分析,主要是在直观上无法得出结论细节时进行的分析。
这个分析在静态分析之后,最常见的应用于持续攻击和失陷扩大的情况中,比如说:挖矿攻击、蠕虫感染和饱和式攻击。
动态分析的目的是:
1. 揭示攻击触发点与结果直接的关系,可以是一个样本落地执行的过程,也可以是饱和式攻击和持续攻击达到目的的过程。
2. 一般说的动态分析指逆向分析这个是对的,但在实时的流量分析和在以某一个值为监测标准分析也是一种动态分析。
PS:饱和式攻击是乱七八糟一大堆攻击去掩盖一个真正的攻击流量,如漏扫。
持续攻击是某一个或者某个组织的攻击者对目标进行不断深入的打击,如红蓝对抗、apt、灰黑产。
对抗攻击是攻守双方已知的情况下,进行不同方面的对抗攻击(流量对抗、代码混淆),如apt。
## 0x13 行为分析
行为分析:其实挺多人会和动态分析搞混,究竟“行为”是什么。行为可以是动态的也可以是静态的,它具备关联性,而行为分析正是对这种关联性分析。
这个分析多数穿插在动态和静态分析上,用于串联起碎片化的信息。利用上下文、特征命中率、攻击指向等关联,其目的是还原攻击路径、明确攻击者意图、阻断攻击者持续攻击。其实这个在attck模型的应用中,青藤云已经做出了对应的一个防御模型,在不同的阶段进行阻断,这就是行为分析的应用之一。
一步一步去拆解攻击者的行为,猜测其意图,具体看攻击过程的描写。
要明确的是:攻击者的意图和目标的薄弱点存在关系,而其中的行为必然有足够的关联性将其描述出来。
# 0x02 三板斧后的三板斧
三板斧是不够的,但是它还能再生出三板斧,最后形成一个完整的攻击画像,对一次事件的多维闭环。这后续的三板斧是对前面的一个补充,具体的展开还需要涉及到其他学科,是一门交叉学科。在这里不过多展开。
## 0x21 静态分析
关联性分析:前面三个分析直接的关系,通过某种指标或者值进行关联。上图:
## 0x22 拓展分析
拓展分析:这个可以和威胁情报、情报收敛【我懒】一起说,把静态分析收集到的,表面上看和攻击者意图关联不大的信息发散开,获取更多的假想结果。
这时会出现一个问题,如何对这些纷繁杂乱的、关联系并不高的信息整理。这里就是收敛情报,收敛的关键在于失陷主体本身,一切都要回归到失陷主体本身。
从历史漏洞上、可能失陷的薄弱点上入手,可以参考几乎消散的痕迹这篇文章,摇人或者自己利用零散的情报对失陷本体做一次模拟渗透,得出结论。
## 0x03 莽是莽,但不能多
莽是莽,但这只是一个框架,分享一种思考方式。而一旦形成自己的方法论后,就可以往高的方向进发。
“未知攻焉知防”是不变的道理,现实的情况复杂多变,蓝队必须有足够的知识存储来应对各种突发情况。我的看法是,目前大部分的防御仍然是“灭huo疫miao”,必须被揍过一次才知道漏洞点触发在哪,所以蓝队人员也必须具备渗透能力、审计能力、开发能力等红队所需技能。
`
论道攻防第2期丨攻防演练态势及防守思路
https://mp.weixin.qq.com/s/yOvmo7RBrpKHL_hetT8jKg
`
# 当代的攻与防——攻防对抗的历史变迁
曾经大家谈攻防演练,更多的是指通过渗透测试的方法来发现被测目标或安全解决方案的风险及问题,而当代攻防演练则较为侧重模拟实战场景下的攻与防的对抗,具体变化如下:
## 2016年以前
对于攻击方——主要通过常规渗透测试评估资产安全风险(漏扫+漏洞验证模式)。实施前攻击方会得到具体的资产信息列表,实施过程是有规范和约束的,基本点到为止,且有固定的时间。
对于防守方——堆砌安全设备,满足等保要求,满足国家监管机构的安全审查。
## 2016年之后
对于攻击方——以目标单位的**内部数据**为目标牵引,攻击队伍对目标进行深度进攻,挖掘实际场景下的安全问题。演练过程只给攻击队伍提供单位名称和靶标名称(例如被攻击单位名:华为,靶标名:华为云XX系统),攻击过程不限攻击路径,任意方式攻到靶标都有效。在攻击路径上所有的资产都会被攻击影响。
对于防守方——需要专业的安全运维人员(甚至有些人之前是攻击队伍成员)对安全事件进行分析。除常规的攻击流量日志分析、防御策略下发外,溯源也成为一大新的工作项目。攻防演练甚至把溯源作为防守方重点得分项。
一般攻防演练攻击方的大体流程如下图所示。
1、信息收集:被动(目标调查、各类帐号收集、资产信息收集)+主动(部署自动化扫描、挂代理池、使用云函数)
2、突破边界:分析信息收集阶段获取的信息,进行攻击打点,通过0day/Nday漏洞+口令破解等突破网络边界,获取权限。
3、权限维持+横向渗透:进入内网、关闭设备告警实现内网漫游,获取目标数据及权限。
下面从攻击的各个阶段来说说典型攻击手法以及对应的处置方法。
## 一、信息收集阶段:自动化多源IP扫描
攻击方通过部署大量的自动化扫描来实施信息的快速收集,这些扫描大部分通过代理池、云函数服务来实施,以绕过防守方对扫描方IP封禁的操作。下图为通过某云函数来进行扫描,技术原理与代理池不同,但同样能实现多源IP扫描绕过IP封禁的效果。
检测、处置思路:
针对该类攻击没有绝对的防御手法,但可以通过各类手段减少可用的攻击IP,大大降低攻击队伍的效率。大致方法如下:
1、对单台或多台安全设备威胁日志进行汇总分析,及时阻断和封禁有风险的外网IP。
2、对重点被扫描或爆破业务及时排查,如非重要业务可暂时关停。
## 二、边界突破阶段:0day和Nday漏洞攻击
0day和Nday漏洞攻击一直是近年来攻防演练的重头戏,相当一部分攻击队伍在提前完成资产信息搜集后,直接利用0day/Nday漏洞+口令破解进入内网。
而从产品维度来说,攻防演练中的漏洞主要涉及OA/ERP软件、安全类产品、Web各类管理平台、Web框架/组件/套件几类产品。
检测、处置思路:
1、密切关注漏洞信息,及时修补漏洞、暂时关停业务,通过自定义签名等手段快速防御。从产品层面来看,攻防演练需要重点关注OA/ERP类产品的漏洞及修复,因其能够导致攻击者登录多个业务系统获取大量的数据。并且OA的帐户一般与邮箱、域、VPN能通用。此外,安全类产品漏洞也需要重点关注,被攻破将导致防御体系崩塌。
2、对于0day/Nday漏洞中的通用payload,需要做好检测签名覆盖。例如如下的反序列化RCE0day,需要利用链特征覆盖。
而有些0day特征和行为比较明显,例如某设备的RCE,可以通过系统命令和敏感函数特征匹配直接检出。
3、许多高危漏洞攻击成功后的利用,必定伴随着文件生成(上传、不安全函数执行、字符输出重定向等)、外部资源请求(DNSlog、LDAP/RMI调用、C2通信建立)。前者可使用沙箱、EDR类产品检测,后者建议结合外部恶意资产信息库和恶意通信流量检测产品进行检测和阻断。
## 三、边界突破阶段:钓鱼
攻防演练中邮件钓鱼依然是主要方法,此外还有微信钓鱼、伪装内部员工诱骗钓鱼、github投毒等方式。
1、邮件钓鱼
攻击队伍在钓鱼样本投递上,一般采用目标企业关注的邮件主题类型,这些主题一般为应聘、应急处置通知、热点事件新闻、员工人事变动、薪酬福利信息、热点漏洞清单等。下图为伪装面试者投递简历的样本。
而准备好样本后一般都会大面积批量发送邮件,使用类似如下图的套件,设定好主题模板、钓鱼地址、C2服务器钓鱼样本,批量发送钓鱼邮件。
2、伪装蓝队利用工具github投毒(专钓蓝队)
攻防演练期间对于蓝队(防守方)来说最迫切的无外乎想第一时间知道一些0day漏洞的细节,而红队(攻击方)则会利用蓝队这一迫切需求,构造含有木马的漏洞利用工具,当蓝队使用漏洞工具排查分析漏洞时中招。如下为伪装漏洞利用工具:
伪装某知名终端防护软件的木马
以软件的漏洞为诱饵,在github上发布投毒项目。
项目地址:
https://github.com/*****RedTeam/******
伪装某知名OA软件EXP的木马
伪装成蓝队,以OA软件EXP为诱饵,在github上发布投毒项目。
项目地址:
https://github.com/Sec-****/2022***0day
3、添加内部管理人员微信直接发送exe文件
一般通过社工蓝队驻场运维人员,进入防守单位微信群,再通过一些话术或展现专业防守技能获得防守单位管理人员信任,最后添加管理人员微信发送钓鱼文件。
检测、处置思路:
1、加强人员安全意识管理,进行必要的安全意识培训
– 邮件安全意识
看发件人地址:如果是公务邮件,发件人多数会使用工作邮箱,如果发现对方使用的是个人邮箱帐号或者邮箱帐号拼写比较奇怪,那么就需要提高警惕。
看邮件标题:“系统管理员”、“通知”、“订单”、“采购单”、“**”、“会议日程”、“参会名单”、“历届会议回顾”这类标题的邮件需要谨慎打开。
看正文措辞:对使用“亲爱的用户”、“亲爱的同事”等一些泛化问候的邮件应保持警惕。
看正文目的:当心对方索要登录密码,一般正规的发件人所发送的邮件是不会索要收件人的邮箱登录帐号和密码的。
看正文内容:当心邮件内容中的链接,若包含“&redirect”字段,很可能就是钓鱼链接;还要当心垃圾邮件的“退订”功能。
– 资源安全意识
谨慎下载不明来源或不明人士转发的漏洞分析、利用、检测小工具。不要完全相信杀毒软件的查杀结果(攻击样本一般会做免杀处理),若确实需要使用请在隔离环境(虚拟机)中打开。
2、信誉度分析和检测
通过开源威胁信息,对邮件中的邮箱和IP地址进行查询,通过信誉值判断IP的可信度,是否是恶意IP。
通过域名信息分析,判断URL的信誉度。
3、虚拟机分析及沙箱检测
在可控安全环境中,查看邮件整体内容或打开各类文件,检测运行进程及其log日志,定位是否存在可疑行为。
对邮件的附件、各类下载文件,通过沙箱模拟真实主机的操作,并对文件操作、注册表操作、网络行为分析结果进行判断。
## 四、权限维持+横向渗透阶段:后门攻击
据不完全统计,自2020年以来的网络攻击事件中,超过80%的攻击是通过无文件方式完成的。并且,越来越多的Java漏洞利用工具都集成了一键注入内存马的功能。例如Shiro反序列化利用工具,哥斯拉、冰蝎webshell管理工具。无文件内存马主要类型如下图所示。
检测、处置思路:
1、基于通信层面的检测:通过信誉库及时阻断恶意域名及IP,通过流量检测类产品分析并及时阻断攻击流量。
2、基于进程、内存级别的检测:由于无文件恶意软件不遵循既定的行为模式,并且经常利用受信任的进程来掩盖恶意行为,因此依赖行为分析的平台无法追踪和暴露无文件威胁,也无法检测到他。
所以针对无文件攻击的问题,需要基于应用程序进程、内存级别的安全分析和检测,一般采用虚拟化技术在内存级别监控应用程序进程,并确保他们保持在合法的执行/控制流上。
# 结束语
这些年来随着红蓝对抗模式的攻防演练越来越普及,攻防双方的关注点和实践方式都发生较大变化。从实战中总结分析攻击方法、防守思路才能不断提升企事业单位网络安全防护能力,构筑牢固的安全防线。
`
通过攻防提高隐私水平/能力:如何建立一个隐私红队
Better Privacy Through Offense: How To Build a Privacy Red Team
https://www.blackhat.com/us-22/briefings/schedule/#better-privacy-through-offense-how-to-build-a-privacy-red-team-27036
`
Red teams are an important component of a holistic cyber security program because they test how well the program stands up to threats from real adversaries. In 2021, Meta created a privacy red team to help improve our privacy posture and preserve the privacy of our ~3 billion users and their data. Based on that experience, we present the case for why a privacy-focused red team is an important part of a holistic privacy program.
红队是整体网络安全计划的重要组成部分,因为他们测试该计划如何抵御来自真正对手的威胁。2021年,Meta成立了一个隐私红队,以帮助改善我们的隐私状况,保护我们约30亿用户及其数据的隐私。基于这些经验,我们提出了为什么以隐私为重点的红队是整体隐私计划的重要组成部分的想法。
In this talk, you’ll learn what a privacy red team is, how it’s different from a security red team, the challenges we faced, and examples of real operations we performed. You’ll walk away with a better understanding of how privacy red teaming can benefit your organization, and the role that offense can play in your privacy defense.
在这次演讲中,您将了解什么是隐私红队,它与安全红队有什么不同,我们面临的挑战,以及我们执行的实际操作的例子。听完之后,您将更好地理解隐私红队如何使您的组织受益,以及攻击在您的隐私防御中可以发挥的作用。
`
http://i.blackhat.com/USA-22/Wednesday/US-22-Tenaglia-Better-Privacy-Through-Offense-How-To-Build-a-Privacy-Red-Team.pdf
大型闪电式红蓝对抗主流攻击行为的研判分析万字总结
https://mp.weixin.qq.com/s/W2repoNPiuTGevv1dHc4DQ
`
# 1.网络攻防发展趋势
1.1.全球网络空间与数字化发展趋势
网络空间面临的威胁包括:
1、数据安全:各级数据打通后面临的数据泄露、数据共享安全
2、智能网联汽车:人车安全、数据安全
3、新基建安全:5G、移动物联网安全
1.2.国际网络空间发展态势
1.3.攻防对抗趋于常态化
1.4.攻防对抗技战术演进趋势
持续至今,每年的大型闪电式红蓝对抗等同于网络安全行业的“高考”。
攻击方的攻击技术能力有了明显的发展,从隐蔽化、专业化,发展到自动化、常态化和体系化。防守一方也从一开始的“不知被攻破”到通过多种手段和能力可以发现、感知攻击行为,再到逐渐专业化的溯源方法与实践,通过主动防御技术发现和捕捉攻击者,至止如今,先进的防守方企业会把视解扩展至攻击方视角,参考攻击方的进攻思路和路线,制订更加积极有效的防御策略。
由此来看,近年来大型闪电式红蓝对抗非常有效并快速的推动了攻防两端能力的进化,这一点是毋庸置疑的。
1.5.攻击技战术发展趋势
# 2.攻击方与防守方技战术应用现状
主要总结攻、守双方近年来的主流攻击和防护技战术的应用现状。
2.1.攻击方
2.1.1. 攻击技战术
攻击战略规划是战前指挥非常重要的工作。红蓝对抗是团队作战,团队作战考虑的是配合,因此,攻击队成员的分工角色就显得尤为重要。小的战役靠个人,大的战役一定是靠机制、流程以及团队合作。好的战法策略,对于一场大的“战役”来讲至关重要。
一般来说攻击可以从五个维度进行实施:
正面突破:最直接的方式。优势是一旦得手收益也是最为直接的,缺点是现在能正面打的防护都较好,不容易得手
侧面迂回:一般是指目标单位的子公司、分支机构等,好处是边缘资产的防护能力较弱,攻击难相对较低,缺点是边缘资产利用价值不大,即使突破了也要从内部再层层突破还能达到核心区域
入侵第三方是近一两年使用非常多的攻击思路:核心、重要的合作伙伴、核心系统的开发商、外包服务商都是潜在的被攻击对象,第三方的防护能力基本为0,容易突破,而且一旦内部有与目标单位可通联的通路就会产生巨大的二次利用价值。
社会工程学:目前最有效、快速的突破防护严密的手段
物理攻击:近源攻击
2.1.2. 攻击思路与流程
步骤一:网络空间测绘(对应信息收集)
攻击者搜集关于目标组织的人员、组织信息,网络资产、技术框架及安全措施信息。后期这些信息将为攻击决策提供支撑。攻击者选择目标的原则是会看资产是否与主体公司有关联。
在对信息收集汇总后,确认出关键系统、边界设备、关键人员等信息后,需要选择一个攻击目标,攻击目标可以是社工钓鱼、WFI入侵、子公司/分支机构渗透、互联网边界渗透。目的是要撕开一个口子进入内网。
步骤二:互联网入侵
利用收集到的信息,通过已掌握的漏洞利用工具、已知的漏洞或0day进行攻击,从而实现互联网入侵突破进入内网。
步骤三:持久化
通过特定的工具,利用初始入侵得到的突破口,建立好进入内网的通道,同时做好免杀等逃避检测机制,防止被发现,在内网中站稳脚跟。
步骤四:内网穿透
通过搭建多条通路的方式,将武器带入内网中,准备下一阶段的行动
步骤五:内网移动
通过对内网信息收集(如网络拓扑、账号密码等)、脆弱性收集(可利用的漏洞),定向攻击核心目标,在内 网中横向移动、渗透,获取到更多的服务器控制权。
内网中攻击者重点攻击目标包括集权类系统、办公系统OA、工单系统、代码库、WIKI知识库这类目标。通过不断渗透以接近最终的目标,完成任务。
2.1.3. 主流攻击姿势
这里总结了一共五类主流攻击技术,分别是防御手段绕过、自动化工具利用、社会工程学攻击、零日漏洞攻击和入侵第三方这五种方式。
2.2.防守方
2.2.1. 攻击技战术
攻击面收敛、人海战术、疯狂封堵和补丁式情报,这组常见的防守技战术虽然在一定时期对抗攻击行为效果明显,但仍是“拔苗助长”式的思路,注定只能有限度地产生价值。
2.2.2. 网络安全的守护者面临的困境
当前网络安全守护者面临的主要困境有两个,一个是总是被攻击方找到弱点;另一个是传统的安全问题其实还没有解决,新基建引入了新的数字资产,也带来了新的安全问题。
* 数字化转型工作近年来取得了卓效的成果,通过Web应用、APP和小程序等多种形式为客户在处理各类证券业务时带来了极大的便利,但也引入了新的安全问题
* 在数字化重塑业务服务模式的同时,线上业务的暴露面也在不断扩大,面临的安全风险防护形势也愈发严峻。
* 潜伏在暗处的攻击者可能在任何时间从任何方向完成突破、入侵,防守者则需要时刻保持警惕。攻防双方极度不对等的态势对安全建设工作带来了极大的挑战
2.2.3. 攻击方与防守方技战术应用现状
当前攻、守双方技战术应用现状。从信息收集及弱点识别、攻击武器利用情况、绕过防护突破边界和内网横向夺取目标四个阶段来分析
# 3. 复盘攻防对抗中主流的攻击案例
3.1.事件概况
3.2.问题分析
3.3.攻击者行为分析
3.4.分析研判难点
从上述事件我们得知分析研判的难点,其实是传统检测方案;发无法解决上述攻击场景,主要体现在四个方面:
1、免杀技术:大多数防病毒应用可能无法可靠地检测到攻击武器,因为攻击者在使用这些工具前,已经对其进行了充分的测试,甚至可能包含一些混淆技术,以便绕开其他类型的恶意软件检测
2、逃避检测:攻击者还能在他们所攻击的系统上使用合法功能、逃避检测,而且许多检测某些人无法收到足够且充分的数据,从而识别恶意软件使用合法系统的和行为
3、情报失效:当前其的网络安全方面,威胁情报信息共享,可能对于检测攻击基础设施也无济于事,因为攻击者可能变化太快,IP已经抛弃使用并二次分配
4、对于加密流量,目前显然不能做到对期进行逆向分析,非典型的网络流量只能从其攻击流量方面进行参考
# 4. 主流攻击行为自动化分析研判思路
4.1.建立防御体系方法论:网络安全防御理论模型与框架:PPDR
4.2.基于攻击框架(Att&CK)的安全检测框架
4.3.基于大数据平台的威胁建模防御思路
4.4.常见建模思路与方法
建模的几个关键要素包括:关联分析、基线、统计、威胁等级判断、各类攻击手法结合。
4.5.威胁模式作用和价值
4.6.基于ATT&CK建立安全模型提升安全运营能力的五个步骤
基于ATT&CK框架,使用大数据平台建立安全模型,提升安全运营能力有五个步骤
1、确定目标
2、数据采集
3、攻击分析
4、场景设计
5、评估效果
# 5. 成功实践与经验总结
建立科学的安全观
* 安全没有银弹,任何模型都有应用场景及限定条件,甚至生命周期
要有顶层设计,也重视循序渐进、稳扎稳打
* 从简单到复杂
* 从单维到多维
* 从点到线,从线到面
降本增效,集中精力解决共同需求
* 先共性,后个性
* 先通用,后私有
在了解了“数字化”及“数字化转型”的历史后,那么企业网络安全的建设与推进路径也就明朗了,即是15字方针,“看得清、守得住、当沉淀、促发展、赢未来”
•看得清:看得清数字化资产的分布与暴露面,看得清业务场景的风险隐患,看得清“云网端数用边”安全形势,看得清宏观层面跨时间与空间的安全态势,看得清微观层面的攻击线索。抽象总结——“两体一道”,既是访问主体、访问通道、访问客体。
•守得住:守得住数字化资产,守得住客户隐私数据,守得住商业秘密,守得住公司信誉。抽象总结——“四问”,即是外部客户访问、内部客户访问、运维管理访问、系统间访问。
•当沉淀:沉淀安全分析规则、沉淀安全脚本、沉淀安全工具与平台、沉淀安全方法论、沉淀安全标准规范流程、沉淀自有安全人员。抽象即是——基础安全保护沉淀、身份与策略管控沉淀、检测响应与运营沉淀、源生安全集成沉淀。
•促发展:促数据有序流通、促创新业务发展、促数字化转型。
•赢未来:赢在业务创新,赢在数据开放,赢在数字化人才,赢在安全生态与安全文化,赢在未来。
`