情報収集-基本的なターゲット情報
ターゲットの基本情報とは、会社概要、企業理念、規模、製品、産業・商業登録等の情報を指します。攻撃者は、ターゲットの基本情報を収集することで、ターゲットの予備的な理解を形成し、そのコアバリュー資産を見つけることができます。
情報収集-対象組織構造
ターゲット組織構造は、エンタープライズプロセスの運用、部門の設定、および機能計画の最も基本的な構造的基盤です。情報収集の過程では、基本的な組織構造に加えて、対象の支店、子会社、親会社などで詳細な情報収集を行う必要があります。組織構造の収集を通じて、情報インテリジェンスは攻撃対象領域を拡大し、成功率を高めることができます。
情報収集-他の公開情報をターゲットにする
ターゲットのその他の公開情報には、ターゲットニュース、フォーラム/会議のスピーチ、入札情報、漏洩したライブラリファイルおよびその他の情報が含まれます。このような情報やインテリジェンスを収集することで、その後の標的型攻撃に備えて、標的に対する理解を深めることができます。
対象の公式ウェブサイト、検索エンジンなどを通じてそのような情報を収集します。
情報収集-ターゲットドメイン情報
ターゲットドメイン名情報の収集には、ターゲットドメイン名のwhois情報、ドメイン名履歴情報収集、登録者/登録メールボックス/登録電話リバースチェックなどが含まれます。ドメイン名情報収集は、技術情報収集の最初のステップです。
whois関連のWebサイトからドメイン名情報を収集します。たとえば、https://viewdns.info/ Webサイトで、特定のドメイン名のwhoisに関する情報を照会します。
情報収集-ターゲットドメイン情報
Whoisリバースチェックを使用すると、メールボックスを介して同じメールボックスにファイルされている複数のドメイン名を見つけることができます。これらのドメイン名は通常、インターネット上でより多くの接続を持っています。
情報収集-ターゲットサブドメイン
ターゲットサブドメイン名のコレクションには、ターゲットの第2レベルのドメイン名、第3レベルのドメイン名、および第4レベルのドメイン名のコレクションが含まれます。隠された、忘れられたサブドメインで実行されているアプリケーションを発見することは、重大な脆弱性を発見することを意味する可能性があります。サブドメインのコレクションの深さと幅によって、攻撃の範囲が決まり、ある程度、ターゲット境界システムをうまく突破できるかどうかが決まります。
情報収集-ターゲットIP
ターゲットIPは、外部に公開され、外部サービスに使用されるテストターゲットのIPアドレスです。ターゲットの防御がサブドメイン名を突破できない場合、これらのIPとそれらの開いているポートおよびサービスを攻撃することで、多くの場合、良好な結果を得ることができます。ターゲットボリュームが大きい場合、その露出境界が増加し、管理および保護の範囲外のアドレスが存在する場合もあります。
情報収集-メール情報収集
メール情報収集は、対象のメールアドレスとメールログインシステムを収集することです。電子メールアドレスは、ターゲットに対するブルートフォースパスワードクラッキングまたはフィッシング攻撃に使用できます。
情報収集-チャットグループ(オフィスグループ)
チャットグループ情報とは、対象の従業員のオフィスまたは従業員のチャット通信によって確立されたグループ情報を指します。この種の情報、特にオフィスグループの情報を収集することで、ターゲットの境界を直接超えても、重要な情報を取得できることがよくあります。手段は通常、IDのなりすましのためにグループに参加することによって貴重な情報を取得するために使用され、一部のグループはレビューなしで内部の機密文書を表示することさえあります。
情報収集-歴史的な抜け穴
過去の脆弱性とは、以前にインターネット上で公開された、ターゲットの各システムの脆弱性に関する情報を指します。このような情報を使用すると、ターゲットドメイン名情報、IP情報(イントラネットを含む)、システム構造などを収集でき、不完全な脆弱性の修復を二次的に利用することもできます。
過去の脆弱性情報を収集する主な方法は、検索エンジンを介して収集することです。
ネットワークスキャン
ネットワークスキャンは、ホストディスカバリ、ポートスキャン、サービスID、ホストIDなどに分けられます。
ホストの発見
ホスト検出は、ネットワーク内の存続しているホストを検出することです。スキャナーとスキャンされたIPが同じネットワークセグメントにある場合、特定のIPホストが存続しているかどうかを検出するのは簡単で信頼性が高く、ARP要求と応答。ただし、2つが同じネットワークセグメントに存在しなくなった場合、ネットワークにさまざまなフィルタリング動作(ファイアウォールセキュリティポリシーなど)が存在する可能性があることを考慮すると、反対側の特定のIPホストが稼働しているかどうかを判断することは困難です。通常、ICMPエコー要求(Ping要求)は、ピアが応答を持っているかどうかによってホストが生きているかどうかを判断しようとするか、ピアIPが開く可能性のあるTCPポートに接続しようとします。TCP接続を確立できる場合は、ピアは生きています。このような従来のネットワークスキャニングツールがホスト発見のために、NMAPなどのピアにデフォルトIPを送信する ICMPエコー要求をする、443 、80送信ポートTCPのSYNパケット、80送信ポートTCPのACKパケット、およびICMPタイムスタンプ要求パケット限り、ピアからの応答が受信されると、ピアホストは生きていると見なされます。
ポートスキャン
スキャナーがSYNメッセージを送信するとき、ピアがSYN ACKメッセージに応答する場合、ピアポートは開いています。ピアがRSTに応答する場合、ピアポートは閉じられます。ピアが応答しない場合、それはピアホストです。存在しません。 、またはネットワークまたはホストにフィルタリング動作があります(セキュリティポリシー、ACL、iptables、ホストファイアウォールなど)。
さらに、スキャンツールは通常2つのTCPスキャンモードを提供します。たとえば、nmapはSYNスキャンとTCP接続スキャンを提供します。違いはコードの実装にあります。いわゆるTCP接続スキャンとは、スキャナーがソケットを介して反対側のTCPポートに接続することを意味します。ネットワーク動作の観点から、スキャナーはSYNパケットを送信し、カウンターカウンターはSYNACKパケットに応答します。スキャナーもACKパケットで応答して、1つの完全な3ウェイハンドシェイクを完了します。SYNスキャンは、システムAPIを介してSYNメッセージを直接作成し、送信します。ピアは、SYNACKに応答した後、ACKメッセージを送信しません。一般的な機能は、スキャンプロセスで使用されるTCP送信元ポートが変更されていないことです。 。TCP SYNスキャンはパフォーマンスが向上する可能性がありますが、通常、その操作にはより高い権限が必要です。LinuxでnmapのSYNスキャン機能を使用するには、root権限が必要であり、WindowsでSYNスキャンを使用するにはシステム管理者権限が必要です。防御側の観点から、スキャナーのソースIPがイントラネットからのものである場合、スキャン動作のこの機能を使用して、攻撃者がホストのルート権限を取得したかどうかを推測できます。
UDPポートスキャンの場合、反対側の特定のポートにUDPデータメッセージを送信し、ICMPポート到達不能メッセージに応答するかどうかを監視することにより、ポートが開いているかどうかを判断します。一部のホストシステムでは、ICMPの送信速度が制限されます。ポート到達不能メッセージ。これにより、UDPポートスキャンがTCPポートスキャンよりもはるかに遅くなります。
サービスID
ホスト上で開かれているサービスが識別され、サービスソフトウェアのバージョンが決定されている場合でも、攻撃者は攻撃するリソースを増やすことができます。
sshなど、一部のプロトコルは訪問者にIDを積極的に通知します。クライアントがサーバーとのTCPハンドシェイクを完了すると、バージョン情報を含むウェルカムメッセージ(バナー)を積極的に送信します。この機能を備えたプロトコルもありますFTP 、telnet、SMTPなど。
ホストの識別
いくつかの簡単な判断を使用して、反対側のホストのオペレーティングシステムを大まかに推測できます。たとえば、ホストがTCP3389ポートを開いている場合は、Windowsホストである可能性が高く、ポート22が開いている場合は、 Linuxホスト。
ホストは、ネットワークパケットの特性など、より多くの次元から特定することもできます。豊富な機能を実現するために、ネットワークメッセージには、TCPオプション、TCP ISN(初期シーケンス番号)、IP IDなどのさまざまなフィールドが含まれます。オペレーティングシステムが異なれば、これらのフィールドのサポートと設定も異なります。したがって、反対側のホストは、メッセージの特定のフィールドで判断できます。
ネットワークスキャンに対する防御
ポートスキャンとホスト検出の場合、通常、従来のスキャンしきい値はネットワークデバイスに設定されます。他のIPアドレスにアクセスする送信元IPの速度、または異なる宛先ポートにアクセスする速度がしきい値を超える場合、この動作はスキャン動作と見なされます。、およびソースIPは、スキャナーのスキャン動作をブロックするためにブラックリストに追加されます。
ただし、この防御方法では、しきい値の設定がより困難になります。しきい値が低すぎると、より多くの誤検知が生成され、通常のアクセストラフィックがブロックされます。設定が高すぎると、スキャン動作を認識できず、しきい値をいくら設定しても、スキャナーはスキャンを減らすことができます。バイパスする速度テスト後、イントラネットの横方向の貫通中に、スキャンが手動で実行される場合があり、速度が非常に低い場合があります。
Huaweiのセキュリティソリューションは、ハニーポットテクノロジーと迂回テクノロジーを使用して、攻撃者がネットワーク上のTCPポートをスキャンしてホストを検出するのを防ぐだけでなく、ハニーポットを使用して攻撃者を遅らせ、誤解を招くネットワークトラップソリューションを提供します。攻撃者の意図と技術的手段を把握します。
ハニージャー
一連のサービスとして、ハニーポットは攻撃者が来て訪問するのを受動的に待つことしかできません。攻撃者がハニーポットによって提供される誤ったサービスに気付かない場合、ハニーポットを攻撃せず、ハニーポットの展開効率は比較的低くなります。 。。
ネットワークトラッピングテクノロジー
トラッピングテクノロジーソリューションは、トラップとトラッピングプローブで構成されています。トラッピングによって生成されたログ情報は、相関分析とCISによる脅威の提示のためにHuawei CIS(サイバーセキュリティインテリジェンスシステム)に送信することもできます。
トラップは、ハニーポットのグループとして理解できます。トラップは、HTTP、SMB、SSHなどの一般的なネットワークサービスを提供します。これらのサービスは、コンテナーテクノロジーによってオペレーティングシステムから分離されており、いくつかの脆弱性が事前設定されています。これらの脆弱性は、侵入者を誘惑して攻撃を実行させるために使用されます。これにより、攻撃動作を識別して記録し、攻撃者に誤った情報を提供して、攻撃プロセスを誤解させたり遅らせたりすることができます。
トラッピングプローブは、スイッチまたはファイアウォールの形式にすることができ、ホストスキャン、ポートスキャン、不正なドメイン名アクセスなど、ネットワーク内のスキャン動作を識別し、トラフィックをトラップに転送する役割を果たします。
トラッププローブ
IPトラッピングがないことを自動的に検知します
- 攻撃者(ハッカー、ワームなど)は1.1.1.101を攻撃し、1.1.1.101のARP要求を開始します。
- この要求を受信した後、スイッチは宛先IP 1.1.1.101が存在しないことを検出し、攻撃者へのARP応答メッセージを作成します。
- 攻撃者はARP応答を受信した後、1.1.1.101が存在すると考え、ポート80から1.1.1.101へのSYNメッセージなどの後続のメッセージを送信し続けます。スイッチは、このメッセージをトンネルを介して「シミュレーションサービス1」に転送します。転送テーブルによると。;
- 「エミュレーションサービス1」は攻撃者のトラフィックに応答します。たとえば、攻撃者はSYNパケットを送信し、「エミュレーションサービス1」はSYN-ACKで応答します。これは、トンネルを介してスイッチに転送されます。スイッチがパケットを受信した後です。 、トンネルのカプセル化を解除します。メッセージ、応答トラフィックを攻撃者に転送します。
- 攻撃者は、ユーザーのビジネスホストのポートが開いていると考えており、ブルートフォースクラッキング、SQLインジェクションなどのさらなる攻撃を開始する可能性があり、トラップシステムはその動作に基づいて攻撃者であるかどうかを完全に判断できます。
自動検知ルーティングMISSトラップ
- 攻撃者(ハッカー、ワームなど)は、2.2.2.200のポート80を攻撃します。
- スイッチはこのメッセージを受信した後、ルートを照会することでIP 2.2.2.200ルートに到達できないことを知ることができ、スイッチは特定の戦略に従って計算した後、SYNメッセージを「シミュレーションサービス1」に転送します。
- 「シミュレーションサービス1」は攻撃者のトラフィックに応答し、応答パケットはトンネルを介してスイッチに転送されます。
- パケットを受信した後、スイッチはトンネルパケットのカプセル化を解除し、応答トラフィックを攻撃者に転送します。
- 攻撃者は、ユーザーのビジネスホストのポートが開いていると考えており、ブルートフォースクラッキング、SQLインジェクションなどのさらなる攻撃を開始する可能性があり、トラップシステムはその動作に基づいて攻撃者であるかどうかを完全に判断できます。
ARP-MISSトラップを自動的に検知
- 攻撃者(ハッカー、ワームなど)は、2.2.2.200のポート80を攻撃し、SYNパケットをポート80に送信します。
- スイッチはこのメッセージを受信した後、ルーティングと転送を照会します。第2層ヘッダーを追加すると、ARPが見つからないことがわかります。同時に、IPステータスがオフラインであることがわかり、スイッチはこのSYNメッセージを転送します。 「シミュレーションサービス1」へ。
- 「シミュレーションサービス1」は攻撃者のトラフィックに応答し、応答パケットはトンネルを介してスイッチに転送されます。
- パケットを受信した後、スイッチはトンネルパケットのカプセル化を解除し、応答トラフィックを攻撃者に転送します。
- 攻撃者は、ユーザーのビジネスホストのポートが開いていると考えており、ブルートフォースクラッキング、SQLインジェクションなどのさらなる攻撃を開始する可能性があり、トラップシステムはその動作に基づいて攻撃者であるかどうかを完全に判断できます。
未開封のポートトラッピングを自動的に検出
- 攻撃者(ハッカー、ワームなど)は、1.1.1.200のポート80に接続しようとします。
- サービスホストはこのポートを開いていないため、攻撃者にRST-ACKパケットで応答します。
- 応答メッセージを受信した後、スイッチは、履歴学習結果に従ってポートが開いていないことを認識し、応答メッセージを破棄して、新しいSYNメッセージ(送信元IPは1.1.1.100、宛先IPは1.1.1.200)を作成して転送します。インターネット上の「シミュレーションサービス1」。
- 「シミュレーションサービス1」は、攻撃者のトラフィックに応答し、SYN-ACKで応答します。これは、トンネルを介してスイッチに転送されます。メッセージを受信した後、スイッチはトンネルメッセージのカプセル化を解除し、応答トラフィックを攻撃者に転送します。
- 攻撃者は、ユーザーのビジネスホストのポートが開いていると考えており、ブルートフォースクラッキング、SQLインジェクションなどのさらなる攻撃を開始する可能性があり、トラップシステムはその動作に基づいて攻撃者であるかどうかを完全に判断できます。
不明なドメイン名トラップを自動的に検出
- 攻撃者(ハッカー、ワームなど)は、ドメイン名がXXXのIPアドレスを照会します。
- DNSサーバーは、ドメイン名が存在しないと応答しました。
- スイッチは、不明なドメイン名のDNSサーバー応答メッセージを破棄し、トラップ可能なIPを使用してドメイン名の存在に応答します。
- 攻撃者は、トラップ可能なIPを使用して後続のメッセージを送信します。
- スイッチは、トラップ可能なIPに従って、メッセージを「シミュレーションサービス1」に転送します。
- 「シミュレーションサービス1」は攻撃者のトラフィックに応答し、応答メッセージはトンネルを介してスイッチに転送されます。スイッチはメッセージを受信した後、トンネルメッセージのカプセル化を解除し、応答トラフィックを攻撃者に転送します。
- 攻撃者は、ユーザーのビジネスホストのポートが開いていると考えており、ブルートフォースクラッキング、SQLインジェクションなどのさらなる攻撃を開始する可能性があり、トラップシステムはその動作に基づいて攻撃者であるかどうかを完全に判断できます。
典型的な展開
スイッチゲートウェイ(アクセス側)ストレートパストラッピング
アクセス側に近いゲートウェイスイッチのトラッピングプローブをオンにします。
低価格
攻撃パスを最も完全にカバーしており、このエリアおよびエリア全体で攻撃を効果的にトラップできます。
コアバイパスファイアウォールトラッピング
ファイアウォールはトラッププローブとしてコアスイッチに接続されており、トラップする必要のあるトラフィックはトラップ処理のためにファイアウォールに転送されてから、スイッチに注入されます。
利点:
ファイアウォールの他の機能は再利用できます。
クロスリージョン攻撃をトラップできます。
短所:
このエリアの外で攻撃的な行動を捕らえることは不可能です。
バイパスファイアウォールトラップへのアクセスまたは収束
アクセススイッチまたはアグリゲーションスイッチの横にトラップファイアウォールを掛けます。
利点:
既存のネットワークサービスへの影響を最小限に抑える
低いファイアウォールパフォーマンス要件
ローカルおよびクロスリージョンの攻撃をトラップできます
短所:
サブネット内の未使用のIPの存在に依存し、サブネット内のすべてのIPが100%占有されている場合、トラップ機能は無効になります。