攻防后记|XDM,收好这份攻防演练“摸鱼指南”
在前不久刚落下帷幕的大型攻防演练“坊间”里,流传着这么一句话:RT对BT最大的尊重,就是让防守方无感出局。
BT听了表示害怕
然鹅,在大型攻防演练开始没多久后,形势发生巨大扭转。
阵仗越大,退出就越是无声。在攻防实战这场“无声硝烟”中,RT遇上蜜罐时纷纷苦不堪言,不仅变成出局者,原先的大话更是打脸。
RT们避之不及的蜜罐,其实是安全狗云主机安全产品云眼的招式之一,并且云眼还有很多隐藏招式,不仅招招可让RT们难过,还可让BT们风生水起,轻松“摸鱼”。
然而攻防演练的江湖上,大家只知道此神器,却不知道该如何使用,故献上今日份“摸鱼指南”。
摸鱼指南,又名曰云眼招式大全。
第一式
部署“微蜜罐” 解放双手
大型攻防演练期间,RT第一要务是寻找可以突破的点,从而进入到内网侧,实施提权和敏感数据获取等各种攻击。互联网侧、生产环境等众多资产虽然在大型攻防演练前会进行大排查,但短板效应下难以做到滴水不漏,往往是手忙脚乱地疲于应对、封堵各个突破口。
面对这种情况,引入蜜罐则能大幅度地减轻BT等防守方的人力消耗,同时还能实现“主动预警”,让防守方“轻松摸鱼”。
安全狗云眼主机蜜罐功能通过部署在服务器上的轻量化Agent,开放主机的特定端口作为蜜罐,让主机对各蜜罐端口进行监听,一旦发现攻击者尝试连接的行为,就会实时报警。采用真实主机作为蜜罐诱饵,通过消耗小而覆盖面广的蜜罐配置,发现攻击行为的概率就会大大提升;此外,由于攻击者进入内网环境后,由于看到的并非真实的企业网络环境,可延缓攻击,保护真正应用之余,还能为防守方提供一定的应急响应时间。
RT等攻击者进入到蜜罐中时,在“无感”前进中,已成为BT等防守方的囊中物。
第二式
开启进程行为监控 坐收渔翁之利
高级的攻击行为都是利用进程进行远程命令执行,在大型攻防演练期间也不乏此类攻击手段。因此,RT等攻击者在发起持久化后门程序、利用服务器本身的powershell、wget、curl等下载关键程序,执行关键系统命令或者建立和外部的反弹隧道等入侵行为时都离不开进程行为。
虽然知道攻击者可能利用进程进行入侵行为,但每台主机、服务器上的进程数量颇多,BT等防守方无法做到一一排查时就容易发生攻击行为进入到内网等情况。
“凡走过必留下痕迹”,攻防战场也是如此。RT或者黑客等攻击者的入侵方式、途径、时间以及影响到的主机等都具有不同的特征。结合云眼下的进程行为监控功能,BT或者溯源者可通过采集到的进程命令行、进程行为、独有的指纹信息等,识别出攻击者的攻击行为和攻击意图,分析辨认出是何方神圣“来访”,并做出后续有效的应对措施等。
可以说,进程行为监控功能的启用,相当于在主机、服务器上“内置”360°无死角的监视器,当有异常情况出现时,还会通过预警的方式提醒BT等防守方。
在此次大型攻防演练期间,不少RT借助很多OA系统爆出的0Day,利用RCE在服务器上执行敏感命令、利用域控漏洞进行提权操作等,都被云眼进程行为监控“截胡”。
第三式
溯源分析 攻击者无处可遁
当BT借助主机蜜罐、进程行为监控等功能,开启“上帝视角”,坐享“摸鱼”的快乐时,依旧需要警惕,因为RT等攻击者攻击方式极其多变,稍有不慎就会有RT等入侵到内网等情况发生。
俗话说“擒贼先擒王”,遇到攻击者入侵进来时,首先需要定位来者何人,以便后续展开溯源分析,还原完整的攻击行为,为后续的风险处置、提高整体安全性等提供闭环的依据支撑。
云眼具备实时入侵行为检测,针对入侵的病毒木马网页后门,反弹shell,本地提权等入侵行为,可以第一时间发现并告警,同时提供对入侵事件的响应处置,以攻击链模型快速还原攻击行为,对入侵行为进行溯源。
通过云眼微蜜罐、进程行为监控、溯源分析等三大招式的使用,层层递进,形成安全闭环。不仅让BT等防守方轻松发现攻击者,还能看清攻击者全貌和自身网络安全薄弱点。BT等防守方轻松达到“上帝视角”,既可摸鱼又不耽误安全防护,可谓“躺赢”。
听说一场大型攻防演练下来,大家都变成了这样
一定是没打开云眼的隐藏招式!
