发布日期:2021/07/12
目前,我國網絡安全形勢仍然嚴峻,信息泄露等安全事件時有發生,網絡空間對抗態勢不斷加劇,網絡攻擊者的手段也是層出不窮。
為應對越來越嚴峻的挑戰,進行網絡攻防演習就是必不可少的方法與策略,通過攻擊和防守方的對抗,在演習中查找防護的不足之處,學習攻防技術,提高網絡安全防范能力。
一、前期檢查與加固
“打鐵還需自身硬”,在網絡安全攻防演習前期準備中,由于很難了解到攻擊方的很多重要信息,所以重點在于梳理自身網絡資產,排查資產存在的風險,以自身充足的準備去防范掉風險,如果防范不掉,也可以為后期處理做好準備。
對于加固來說,小藍也總結了以下可以著重關注的幾方面:
1、安全防護軟件:查看是否安裝安全防護軟件,可利用軟件查看電腦上是否安裝了重大補丁,可利用此類軟件對主機打補丁,比較方便。
2、禁止windows自動運行:windows自動運行功能被許多病毒利用,會因為使用U盤而將病毒激活。
3、安全策略設置:密碼策略設置,賬號鎖定策略設置,審核策略設置,不允許SAM賬號匿名枚舉,遠程帳戶不活動斷連時間設置等等。
4、安全漏洞修補:禁用默認共享,禁止建立空鏈接,禁止遠程修改注冊表,禁用guest帳戶等等。
當然,以上方面只是排查過程中的一部分內容,需要排查和加固的東西很多,所以在網絡攻防演練過程中,可以使用一些工具或者可以編寫批處理文件來自動檢測或者設置,提高排查效率,節省時間。
對于Linux的排查也有很多項,同樣可以編寫腳本來運行,準確且快速。對于Linux系統來說,小藍提醒大家需要特別關注以下幾項:
◆ 檢查是否設置除root之外UID為0的用戶;
◆ 檢查是否存在空口令賬號;
◆ 檢查是否對登錄進行日志記錄;
◆ 檢查是否設置命令行界面超時退出;
◆ 檢查是否使用PAM認證模塊禁止wheel組之外的用戶su為root;
◆ 檢查系統openssh安全配置等等。
二、設備監控
強大的武器是在戰爭中獲勝的重要因素。在網絡安全攻防演練中,借助強大的安全設備可以幫助小藍檢測和防御到各種各樣的攻擊,可以使防守人員快速反應,處理安全事件,及時止損和溯源。
網絡資產安全治理平臺(RayGate)不僅可以幫助客戶梳理資產,同時還有一個強大的功能,就是檢測webshell上傳,通過治理平臺,在前期排查過程中小藍也是發現了有攻擊者上傳webshell。(網站被植入WebShell將使黑客能夠直接控制目標主機,造成數據泄漏,頁面被非法篡改的風險。)
可以通過查看詳情來查看攻擊者的攻擊情況。
后經小藍的驗證,發現系統已經關停,具體影響需要站點負責人確認。
可持續威脅檢測與溯源系統(RayEYE)可以實時分析網絡流量,監控可疑威脅行為,通過多病毒檢測引擎有效識別出病毒、木馬等已知威脅??梢詭椭∷{及時發現攻擊,做出應對,如下圖展示了一次對struts2的嘗試攻擊。
在網絡攻防演習中,還會用到防火墻、WAF等很多的安全設備,小藍們需要結合各種設備不同的功能和特性,結合實際網絡環境,準確分配部署的位置,優化策略,使安全設備發揮到較大價值,出色完成檢測和防守。
三、分析溯源
在網絡安全攻防演練中,主要目的固然是防守成功,但是如果可以溯源到攻擊者,那自然是錦上添花,當然,柿子還要挑軟的捏,小藍在大量的攻擊日志中選取暴露信息多的去進行挖掘,可以通過網上尋找或者自己編寫腳本對攻擊IP進行批量篩選查詢。下面是其中的一種。
這是一個通過IP查詢綁定域名,綁定時間及其歸屬地的腳本。
這是一個通過域名查詢注冊名字,注冊郵箱,公司等信息的腳本。
這天,小藍發現有一個攻擊者ip開啟了redis服務,他想到了redis未授權訪問,立馬拿出滲透神器kali發送語句探測一下,果然存在未授權。
執行命令./redis-cli -h ip 嘗試連接。
寫入公鑰
設置redis的備份路徑為/root/.ssh和保存文件名authorized_keys,使用命令如下:
config set dir /root/.ssh
config set dbfilenameauthorized_keys
私鑰登錄
查看歷史命令,發現有人執行wget命令下載了文件。
利用沙箱查詢此文件檢測到為惡意文件。
去威脅情報平臺上查詢一下此ip,發現這是一個惡意主機。
攻擊方的手段層出不窮,但并非防無可防,防守方守備戒律森嚴,亦不是無懈可擊。千里之堤,潰于蟻穴。在網絡攻防演練過程中,防守方萬萬需要全面心細有針對,對每一個可能有風險的存在都需要了如指掌,然后實施針對性策略。