【安全新闻】兵临城下丨红蓝日记⑥:网络攻防演练防守笔记

目前,我国网络安全形势仍然严峻,信息泄露等安全事件时有发生,网络空间对抗态势不断加剧,网络攻击者的手段也是层出不穷。

为应对越来越严峻的挑战,进行网络攻防演习就是必不可少的方法与策略,通过攻击和防守方的对抗,在演习中查找防护的不足之处,学习攻防技术,提高网络安全防范能力。

前期检查与加固

“打铁还需自身硬”,在网络安全攻防演习前期准备中,由于很难了解到攻击方的很多重要信息,所以重点在于梳理自身网络资产,排查资产存在的风险,以自身充足的准备去防范掉风险,如果防范不掉,也可以为后期处理做好准备。对于加固来说,小蓝也总结了以下可以着重关注的几方面:

1、安全防护软件:查看是否安装安全防护软件,可利用软件查看电脑上是否安装了重大补丁,可利用此类软件对主机打补丁,比较方便。
2、禁止windows自动运行:windows自动运行功能被许多病毒利用,会因为使用U盘而将病毒激活。
3、安全策略设置:密码策略设置,账号锁定策略设置,审核策略设置,不允许SAM账号匿名枚举,远程帐户不活动断连时间设置等等。
4、安全漏洞修补:禁用默认共享,禁止建立空链接,禁止远程修改注册表,禁用guest帐户等等。
当然,以上方面只是排查过程中的一部分内容,需要排查和加固的东西很多,所以在网络攻防演练过程中,可以使用一些工具或者可以编写批处理文件来自动检测或者设置,提高排查效率,节省时间。
对于Linux的排查也有很多项,同样可以编写脚本来运行,准确且快速。对于Linux系统来说,小蓝提醒大家需要特别关注以下几项:

检查是否设置除root之外UID为0的用户;

检查是否存在空口令账号;

检查是否对登录进行日志记录;

检查是否设置命令行界面超时退出;

检查是否使用PAM认证模块禁止wheel组之外的用户su为root;

检查系统openssh安全配置等等。

设备监控

强大的武器是在战争中获胜的重要因素。在网络安全攻防演练中,借助强大的安全设备可以帮助小蓝检测和防御到各种各样的攻击,可以使防守人员快速反应,处理安全事件,及时止损和溯源。

网络资产安全治理平台(RayGate)不仅可以帮助客户梳理资产,同时还有一个强大的功能,就是检测webshell上传,通过治理平台,在前期排查过程中小蓝也是发现了有攻击者上传webshell。(网站被植入WebShell将使黑客能够直接控制目标主机,造成数据泄漏,页面被非法篡改的风险。)

【安全新闻】兵临城下丨红蓝日记⑥:网络攻防演练防守笔记

可以通过查看详情来查看攻击者的攻击情况。

【安全新闻】兵临城下丨红蓝日记⑥:网络攻防演练防守笔记1

后经小蓝的验证,发现系统已经关停,具体影响需要站点负责人确认。
可持续威胁检测与溯源系统(RayEYE)可以实时分析网络流量,监控可疑威胁行为,通过多病毒检测引擎有效识别出病毒、木马等已知威胁。可以帮助小蓝第一时间发现攻击,做出应对,如下图展示了一次对struts2的尝试攻击。

【安全新闻】兵临城下丨红蓝日记⑥:网络攻防演练防守笔记2

在网络攻防演习中,还会用到防火墙、WAF等很多的安全设备,小蓝们需要结合各种设备不同的功能和特性,结合实际网络环境,准确分配部署的位置,优化策略,使安全设备发挥到最大价值,出色完成检测和防守。

分析溯源

在网络安全攻防演练中,最重要的目的固然是防守成功,但是如果可以溯源到攻击者,那自然是锦上添花,当然,柿子还要挑软的捏,小蓝在大量的攻击日志中选取暴露信息多的去进行挖掘,可以通过网上寻找或者自己编写脚本对攻击IP进行批量筛选查询。下面是其中的一种。

这是一个通过IP查询绑定域名,绑定时间及其归属地的脚本。

【安全新闻】兵临城下丨红蓝日记⑥:网络攻防演练防守笔记3

这是一个通过域名查询注册名字,注册邮箱,公司等信息的脚本。

【安全新闻】兵临城下丨红蓝日记⑥:网络攻防演练防守笔记4

这天,小蓝发现有一个攻击者ip开启了redis服务,他想到了redis未授权访问,立马拿出渗透神器kali发送语句探测一下,果然存在未授权。

执行命令./redis-cli -h ip 尝试连接。

【安全新闻】兵临城下丨红蓝日记⑥:网络攻防演练防守笔记5

写入公钥

【安全新闻】兵临城下丨红蓝日记⑥:网络攻防演练防守笔记6

设置redis的备份路径为/root/.ssh和保存文件名authorized_keys,使用命令如下:

config set dir /root/.ssh

config set dbfilenameauthorized_keys

【安全新闻】兵临城下丨红蓝日记⑥:网络攻防演练防守笔记7

私钥登录

【安全新闻】兵临城下丨红蓝日记⑥:网络攻防演练防守笔记8

查看历史命令,发现有人执行wget命令下载了文件。【安全新闻】兵临城下丨红蓝日记⑥:网络攻防演练防守笔记9

利用沙箱查询此文件检测到为恶意文件。

【安全新闻】兵临城下丨红蓝日记⑥:网络攻防演练防守笔记10

去威胁情报平台上查询一下此ip,发现这是一个恶意主机。

【安全新闻】兵临城下丨红蓝日记⑥:网络攻防演练防守笔记11

攻击方的手段层出不穷,但并非防无可防,防守方守备戒律森严,亦不是无懈可击。千里之堤,溃于蚁穴。在网络攻防演练过程中,防守方万万需要全面心细有针对,对每一个可能有风险的存在都需要了如指掌,然后实施针对性策略。

点击查看原文

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
大佬不来一句? 抢沙发

请登录后发表评论