SOC第一防御阶段——理解攻击链和基本防御方法

本文将会帮助你理解现代网络威胁以及任何恶意软件和网络攻击常用的攻击手法。很多时候，网络攻击都是分阶段进行的，所以安全运营中心(SOC)团队必须要了解攻击模式和攻击链。

所以打破他们的攻击链并阻止他们的犯罪意图，从而让他们的目的无法实现，这会减少因为数据丢失所带来的业务影响。事先声明，本文不会为你们的企业提供100%的防御步骤和蓝队指导，会提供有关攻击方法的一些简要的信息。

每个SOC团队必须建立一个防御机制，这是进行安全监控的第一步。

任何网络安全团队或者小企业，小公司，没有SOC的话，可以遵循下列步骤，这些步骤有助于建立一道防御墙。另外，你也可以找到SOC分析-网络攻击入侵培训课程，有需要的话也可以报名学习。

有三点需要记住。网络罪犯总是在安全控制之前就开始计划攻击了。

1.不要轻易向攻击者提供任何东西，增加他们的获取难度。（网络中的控制措施）

2.不要启动没有在使用中的存在漏洞的应用程序，攻击者通常都会利用合法的应用程序进行攻击。（比如LOLBins滥用）

3.不要认为攻击者只创建单一的代码。他们会依据不同的攻击阶段使用更多的命令和功能。（网络攻击杀链）

所以，你们必须根据你们自己的环境来建立防御机制。

1. 防御恶意软件传播。

2. 如果恶意软件成功地进行传播，你将如何防御它们的横向移动和持久性。

3. 如果攻击者完成了他们的攻击活动，他们最后的阶段是提取数据或者搞破坏。

让我们来打破这些攻击阶段，看看它们对应的防御机制，确保安全性，避免遭受常见感染因素影响。

第一阶段 恶意软件和恶意垃圾邮件传播

在每个企业，防火墙，IPS和邮件网关对于防御恶意软件进入企业网中至关重要。但是最近一段时间，这些技术能够被网络攻击者轻松的绕过。现在的网络攻击都是多阶段的，他们会在感染阶段向任意的企业发送恶意软件。首先，攻击者诱骗受害者点击任何没有危害的url，它会重定向到CC服务器并下载payload。传统的防御系统是无法防御这种阶段的攻击的。

两种主要方式：

1. 邮件传播-恶意垃圾邮件，鱼叉式网络钓鱼，还有邮件活动

2. RDP入口点。

A. 在大多数邮件中最长使用的邮件附件

1 .vbs(VBscript文件)

2 .js(JavaScript文件)

3 .exe(可执行文件)

4 .jar(jar包)

5 .docx(office文档)

6 .html .htm(网页文件)

7 .wsf(Windows脚本文件)

8 .pdf

9 .xml(excel文件)

10 .rtf(富文本格式文件，office使用)

阻止不需要的或未授权的邮件附件扩展名。Gmail阻止了以下的扩展名，你们的企业也可以应用这个名单：

.ade, .adp, .bat, .chm, .cmd, .com, .cpl, .dll, .dmg, .exe, .hta, .ins, .isp, .jar, .js, .jse, .lib, .lnk,.mde, .msc, .msi, .msp, .mst, .nsh .pif, .scr, .sct,.shb, .sys, .vb, .vbe, .vbs, .vxd, .wsc, .wsf, .wsh

B. 严格限制员工在终端运行脚本。

C. 提高用户识别垃圾邮件的意识并进行充分的培训。

RDP-远程桌面协议（3389端口）。由于强大的扫描工具如shodan和masscan等，识别存在漏洞的RDP连接的服务器十分容易。

扫到了RDP连接之后，破解连接密码也就非常容易了，只要使用暴力破解工具，如NLBrute来破解出账号密码，攻击者就可以登陆了。或者，如果攻击者懒得自己去破解的话，他们可以进入暗网市场，比如xDedic，在这个暗网市场中，那些已经被入侵的服务器的RDP连接账号密码只要6美元就能买到。

RDP已经成为了勒索软件罪犯最喜欢的感染方式，通过RDP进行感染的勒索软件包括SamSam,CrySiS,LockCrypt,Shade,Apocalypse和其他变种等。

RDP滥用的防御机制

· 防火墙限制访问

· 使用强密码，双因素或者多因素认证

· 限制能够使用RDP登陆的用户

· 设置用户锁定策略来防止暴力破解

阶段1A:从C&C服务器获取payload

在最近的变种中，邮件是一种有效的选择，攻击者给受害者发邮件，通过诱人的词语或图片来诱骗受害者点击恶意链接。在某些情况下，邮件是攻击者诱骗受害者执行邮件中恶意脚本的第一阶段，该阶段会滥用用户的应用程序并下载第二阶段进行感染所需要的任何payloads。禁用或者严格限制这些合法的程序从网上下载文件，可以有效防止payload的获取。

网络攻击者总是喜欢滥用微软的office程序来完成他们的目标。原因有两点：

1. office应用是所有人都会接受的。攻击者在邮件中使用的绝大多数附件名称都是这种，发票，电子表格，报告，资产负债表，文档，投标等。

2. Office应用易于武器化。微软的很多内置功能吸引了攻击者，而且他们可以以多种方式来利用。

攻击者如何滥用微软应用来下载payloads呢？

A. 宏--禁用或限制

B. 对象链接和嵌入(OLE)--禁用或限制

C. 动态数据交换(DDE)--word中已经移除了这个功能，不过excel和outlook中还存在，所以需要禁用。

D. 利用公式编辑器--CVE-2017-11882--该功能已经在2018年1月份Windows安全更新中移除了。

除了微软的office程序，攻击者还会滥用其他的合法程序和Windows内置工具来下载payloads。

A. VBScript和JavaScript--如果不需要就禁用

B. PowerShell--使用Applocker或者Windows软件限制策略(SRP)来禁用或者是降低它的功能

C. 滥用certutil.exe,mshta.exe,regsvr32.exe,bitsadmin.exe和curl.exe等--阻止这些程序发起出站请求。

以下合法程序可用来绕过应用程序白名单：建议阻止或进行监控。

第二阶段：确保恶意软件不会执行且在企业网中传播

企业传统上都是依赖AV(杀毒软件)来阻止恶意软件运行。然后，现在的攻击技术不断的演变和发展，可以绕过AV软件。为了有效防御，终端防御软件应该利用机器学习来进行更智能的文件分析和实时系统活动分析，以便检测和阻止恶意行为。应用程序白名单也是另外一种有效方式，但是维护起来比较困难。攻击者还可以将恶意代码注入到已授权的进程中来绕过白名单和AV软件。

攻击者还可以通过将恶意代码注入到合法进程的内存空间中来绕过白名单和众多的AV和NGAV解决方案，从而获取该进程的权限并执行命令。由各种各样的恶意注入技术攻击者可以进行利用。DLL注入，反射性DLL注入，进程创建注入和AtomBombing内存注入等技术。

针对你所处的环境执行以下恶意软件执行的防御：

1. 终端保护

2. 应用程序白名单

3. 禁用或严格限制用户运行脚本

4. Windows上对文件夹进行控制

5. 监控进程和API调用以防御注入技术

第三阶段：确保在攻击链的最后阶段，你的数据不会被泄露和遭到破坏

一旦攻击者首次访问成功，他们的重心就会进入后渗透利用活动中，以便隐藏痕迹继续执行各种恶意活动。攻击者们通常都喜欢“靠山吃山”，也就是利用系统中已经存在的合法软件和进程。后渗透的首要目标通常都是提权，提权是指获取更高的访问权限来实现持久访问的过程。攻击者可以滥用系统工具和功能来创建各种加载点，包括在注册表中存储脚本。越来越多的恶意软件变种都可以进行自动传播，通常都是通过滥用远程管理工具。

滥用合法程序和内置功能的策略是为了执行恶意活动时不触发危险信号。攻击者最常利用的工具包括Power Shell，WMI(Windows管理工具)和远程管理工具，如PsExec。

攻击技术和防御机制:

1. 滥用程序以自动提权

a. 使用最高的UAC执行级别

b. 启用管理员授权模式

c. 从本地管理员组移除用户

2. DLL劫持

a. 终端防护软件

b. 禁止远程DLLs加载

c. 启用安全DLL搜索模式

3. 提权exp（令牌窃取，利用空指针引用漏洞，设置安全描述符为NULL等）

a. 终端防护软件，具有用户空间，内核空间和CPU级别可见

4. 转存凭证

a. 禁用凭证缓存

b. 使用APPLocker来禁用或者严格限制使用PowerShell

c. 实现最小权限原则，避免凭证重叠

d. 使用终端防护软件保护LSASS和其他凭证存储

5. 横向移动技术（滥用远程管理工具等）

a. UAC设置建议

b. 网段设置最佳实践（参考：SANS）

c. 双因素身份认证（2FA）

6. 注册表中隐藏恶意脚本

a. 使用Autoruns进行监控

7. 创建恶意的计划任务

a. 监控Windows安全日志事件ID 4698

8. 滥用WMI来出发基于事件的脚本执行（如startup时）

a. 创建防御性的WMI事件订阅

b. 尽可能设置远程WMI的固定端口并屏蔽它

总结

本篇文章主要是对我们企业可能会遇到的威胁和攻击面的一个基本了解以及如何建立基础的防御墙。这些内容无法防御所有威胁，100%保证企业安全。越来越多的新的利用方式不断出现，而且恶意软件模式的相关性也在加强。所以基于本文的建议，我们必须确保能够防御已知的网络攻击方式来保证安全。

记住一点，“道高一尺，魔高一丈”。