制定了以监测主机异常命令执行为核心,以识别网络及应用层异常行为、收敛攻击面、制定快速攻击定位及处置流程为辅助的 0day 漏洞防护战术。
部署高交互、高仿真蜜罐
将 VPN、OA 系统做蜜罐备份,攻防期间替换掉真实业务域名,混淆攻击者,捕获零日漏洞。
将下载页面中的 VPN、OA 客户端替换为 CS 免杀木马,在云服务器部署,通过 CNA 脚本进行上线微信提醒,一旦上线即可第一时间反制溯源。
出网管控与最小化授权
绘制攻击路径,最小化授权,确保出网管控。
零信任网络
不信任办公网、生产网所有网络流量,基于身份属性、设备属性、设备状态、权限关系并结合密码技术实现细粒度可信网络访问度量及管控。
零信任网络解决网络边界被突破后对数据及应用的过度访问带来的数据窃取、服务器沦陷等安全问题。
连环陷阱的 APT 攻击捕获战法
利用动态伪装和反向水坑,对抗 0day 高级攻击者,捕获攻击行为并实施反制,获得攻击者真实身份信息。
投递污染信息
对数据库配置、缓存配置、交互服务器配置以及令牌加密因子,写入污染信息,指向蜜罐或诱捕探针。在 Linux 系统中主要针对 history、shadow、config、ssh 等核心配置文件进行伪造。
配置虚拟进程
配置虚拟进程,模仿真实的高危服务,与真实业务共同对外发布。选定具有未授权访问漏洞的数据库服务作为陷阱模板,详细分析每个应用系统真实业务模式,针对性部署 Redis、Zookeeper、ES、MongoDB 等虚拟进程。
构造反向水坑
在捕获的 WebShell 中插入 JS 代码(探针),获取攻击者操作系统和浏览器资产信息。若出现不同版本资产信息,插入 Canvas 代码(探针),获取攻击者计算机硬件信息,如 CPU、显卡、电池、屏幕尺寸等。通过漏洞投递免杀 CS 木马并进行释放,溯源攻击者身份。
零信任架构,保障 VPN 始终在线
VPN 始终在线,安全防御足够,有效切断攻击链条,运行过程灵活自动,避免运维人力大量投入。
实施零信任架构体系
所有员工安装安全 app,绑定设备指纹和手机号,开启扫码、动态口令等强因素认证功能,系统登录必须使用该 app 完成认证。
VPN
边界防火墙设置策略,使 VPN 地址不对互联网开放,攻击者不能直接探测发现。员工需在 app 上提交合法 PC 的 IP 地址,经过 ACL 策略管理系统的自动处理,将其加入边界防火墙的白名单列表。
对 VPN 加固,启用 VPN 客户端的专线功能,使用户电脑在建立 VPN 隧道的同时自动断开与其他互联网地址的通信。
限制从 VPN 设备到内网方向的网络访问权限,默认只能访问零信任安全网关。在零信任安全网关上设置策略,使所有流量进行持续认证和权限校验。
高密度异构蜜罐
由一个蜜网管理中心进行统一调度,下设互联网、DMZ、内网数据中心、海外网络汇接点和信息系统内部共五道蜜罐防线组成的蜜网。管理中心通过 syslog 统一收集蜜罐告警,基于 SSH 实现控制指令下达,综合实现蜜罐资源调度、访问控制、日志分析、态势展示等功能。
IP 归属地筛选方案
将已知的安全 IP 去除,利用开源 IP 地址库对剩余 IP 进行归属地标注,筛选其中各公有云厂商 IP,提取带有公网 IP 的云主机 IP 地址。
基于威胁情报构筑动态防御体系
将安全设备收集到的报警按照攻击行为分为端口扫描类、服务探测类、尝试攻击类、恶意代码类。基于对攻击行为事件序列的深入分析,为预测攻击和溯源提供依据。
安全监测处置一体化目标
利用监测系统发现大量攻击行为、漏洞情况、恶意文件、异常外联等告警数据,研判后发送至情报中心。情报中心将告警信息进行标准化和范式化处理,完成情报制作后通过 RESTful API 写入情报中心。
黑客指纹收集
生成黑客指纹库,融合系统、设备、HTML5 WebGL、HTML5 Canvas、第三方网站 ID 指纹等。当攻击者访问蜜罐系统中的诱饵网页时,种植僵尸 cookie,收集并形成独一无二的指纹信息。
社工工程学攻击
通过对社会人的心理弱点、习惯弱点的分析,达到目的。近源社工是指通过乔装、社工等方式实地物理侵入企业办公区域,企业高管的生活区。
基于内网 JAVA 外连预警排查
发生外连事件,查看攻击流量,发现外连 class 返回包攻击流量特征为“curl、wget”下载脚本网络行为,疑似为网络上的恶意扫描。封禁攻击 IP 后,与相关人员沟通,确认发生外连请求的机器为 Elasticsearch 数据库。
原文始发于微信公众号(TtTeam):技战法 – 主机命令监测为核心的 0day 漏洞防护技战法
