28日の5:00に通り、HWアクションはカウントダウンとお祝いの音の完全な新年で友人の輪を、感じて、ようやく終わりました。守備が非常に無力見るために7 * 24時間監視されているようです。全体ケアネットワーク運用の概要の私の観察に基づいて、リカバリディスク、間違った場所には、共有してください場合にのみ、私の個人的な意見を表しています。
1.全体的な攻撃と守備の思考の
攻撃と守備、当事者の強さにルールから、ユニークです。人々はしばしばひどく強力な攻撃陣や防御チームである、頼みますか?私が考えるすべてのこれらの年後、我々は明確な結論に達していませんでした。攻撃は、驚き予期せず、でも手持ちエクスプロイトの危険は、彼らが好きな場所、結局、内部RAIDにバケツ理論を打破することを決定して行く予定で、不特定の時刻に起動することができますので、時々、強力なチームの攻撃を感じ、時には彼らは強力なディフェンダーを感じ、防衛は、すべてのトラフィックを持っているので、いつでも攻撃者の検出洞察とIPをブロックで、すべての動きは、ホストレベルの攻撃で監視することができ、さらには拍手にハニーポットを展開するハッカーと遊びます。要するに、我々は、経験のように多くの年はそれがハッカーの防衛として、1つの歩先なので、攻撃と守備のある私に指示戦ったと述べ、「攻撃は反対の団結の予防に突破口を模索します。」
攻撃者の考え方2.
実際の攻撃では、一般的にはまた、彼らは必要なデータを取得するためにも、1〜2年にAPT隠されて、見て6ヶ月に月を必要とし、防衛の程度に応じて、コアシステムを対象としたいと考えています。そして、攻撃者の合計時間はわずか3週間だし、各チームも攻撃を決定し、10の以上の目標は、高速であることを自動化すると言われています。
A)分散スキャナー
言ってクイック、まだすぐにフォローアップを行うことができない、IPが出ている禁止、スキャナ、スキャナのスピード確かに、さらに、発見されたではない積極的な行動を持っています。したがって、この場合には分散スキャナーは、トレンドである必要があります。まずターゲットの迅速な収穫バナーの波によれば、フルポートスキャン+ポート識別した。
守備側が設定する一方、しばしば使用される辞書ブラスト、このような2つのドメイン名のコレクション内のようなプロセスに穴が存在するであろう餌を待って、中にハニーポットへのトラフィックをセカンダリドメイン名を餌。これにより、攻撃者は、これは、ハニーポットを見つけ、後であなたに話をする方法として、ハニーポットを反映する時間はありませんが、少し気の利いたことが必要です。
スキャナAWVSについては、最新のバージョンにアップグレードしてくださいする必要があり、カウンターパーティの守備ことはありません、スキャナ自体のすべての古いバージョンの後にRCEがあります。
b)に包丁?Antの剣?アイスサソリ?
すべてのハッカーのために、包丁は間違いなく伝説で、最もNiubiウェブシェル管理ツールの一つ、最も安定しているが、同時に、包丁は、攻撃ツールで発見される可能性が高いです、結局のところ、トラフィック特性あまりにも明白、とそれは100%となっていたら、防御側の内部組立ラインオフサーバーの秋には、詳細な分析を行うことを意味します。包丁のように言えば、約11年にリリースされた(バイアスをリコールする対象を、私を修正してください)、私はまだ私は、このツールのオリジナル感を見た最初の時間を覚えて、その気持ちは一つの文にまとめた「FML!ロックス!」 。チョッパーの前に、我々はマレーシアの位置の後の最初のポニーを学んでいるので。そして、包丁を使用した後、私は深く目標は、良い馬を得ることであるコマンドを実行することができ、マレーシアのポニーは関係ないものを理解しています。そして、繰り返しの数年後、国内のセキュリティ界で中国のチョッパーは、様々な浮き沈みを経験し、ドアバージョンをバック飛ぶのすべての種類。最後に、その弱い暗号化性能の観点から、いくつかの代替バージョンで発見された、アリの剣は非常に良いプロジェクトです。真実を話す、私はオリジナルの剣のJSはまた、良好なクロスプラットフォームのクライアントアプリケーションを書くことができたアリを見て、比較的弱いレベルを開発しました。しかし、そのnodejsの公式がそれにつながったことを書いた、AWVSのように、ローカルnodejsがRCEが解決され、反防衛党である可能性が高いです。後に再び私の気持ちは、氷のサソリ、および多くの定期的な防衛製品メーカーが直接Xiecaiように、ブラックリストに基づいて経営のその双方向通信の暗号化と復号化、ということである「退行しました」。しかし、非常に奇妙な時間は、まだ包丁を使用して、攻撃者の多くがたくさんありますが、本来のウェブシェルは結果を見つけるのは簡単だった、好きなディフェンダーのクリアjspspy。
それが最後に来るとき、我々はウェブシェルサーバと、このように従事しなければならない理由しかし、私は、疑問を持っていますか?たとえば、WebLogicデシリアライズやStruts2ののRCEの脆弱性の存在下では、ハッカーは、ツールまたはこのウェブシェル書き込むためのキーを作成します。セキュリティの開発は、今日、防衛、女性と白い帽子のより多くの手段が変化の時です。私が言ったように関係なく、あなたは確かに、より良い解決策を持っている限り、ここでは、サーバ側でコマンドを実行するとどのようなシェルツール、前に。私は通常、同様のmshtaまたはPowerShellを行うことができ、我々は基本的に今、アップロードするために包丁でexeファイルを生成するコマンドラインを実行し、する必要があり、以前のように、動作させるために彼らのリモコンのバイナリバージョンをロードするためのコマンドモードを使用し、現在のバイナリリモコンワードオンライン直接ダイナミック、およびコマンドTCP / UDPベースのプロトコル、文書管理、いずれかを実行し、安定化、及び第二の、完全にトラフィック分析装置ブラックリストに基づいて、それらをバイパスします。同様のMetasploitのスクリプトペイロードリバウンドmeterpreterが、MSF独特の特性、また、簡単に殺されたので、私は等に対する同様のコバルトストライキを開発するために攻撃と守備のツールの後ろにまだ推定。
C)&ハープーン水たまり
水たまりや銛の攻撃が懸念されるために、マルチメールに基づいて攻撃手法を攻撃するために、このメソッドを使用して、確かに多くのチームを攻撃することが考えられます。今のチームを攻撃する架空の、私が最初にgithubの上の波を探します、例えば:https://github.com/search?q=%224dogs.cn%22+password&type=Code、引用符でドメイン名に注意を払います正確なマッチングのために。着陸は、メールボックスに回しアドレス帳モードにすべての連絡先をエクスポートし、単純なパスワードブラストすることができた後に、これらの操作の場合に便利なパスワードを持っていない、あなたは、組織構造に応じてセンチネルを攻撃することができます。ブラウザのエクスプロイトの危険の高いポイント、エクスプロイトの危険も密な髪を追加するために注意を払う理由をコンパイルし、直接マクロウイルスが送信されないが、サンプルサンドボックスを防ぐために逮捕されました。
有用なメールアカウント場合は、常に1つのまたは2つの弱いパスワードをキャッチすることができ、その後、明らかにルールに従って、波メール検索エンジンを集める中国の名前のTOP500辞書の組み合わせを読み込むことができます。
それでも何もない場合は、直接、フィッシングメールを送信するには、adminの原因のような擬似swaksを使用することができます。コンテンツやスキルを送信すると、後であなたに話します。
守備側の場合は、最も強力な方法は、直接ネットワークのメールボックスの外にシャットダウンします。第二に、リモートログインブラストケースを発見し、ログインログを表示するには、任意の時点で送信することができます。党の父親はお金のために、添付ファイルのサンドボックス判断のミラーリングを流れることができます。
D)ネットワークの普及の中、またはビジネスを理解します
ネットワークへのボーダーブレイクスルーした後、残りは主に浸透ネットワーク内にあります。ネットワーク内の侵入は、単に水平透過性及び垂直透過性に分けることができます。本質と重要なネットワークの普及率は目標を取得するには、スパイラル反復情報と権限で最高潮に達する、システムを壊し、および権限に関する詳細な情報をもたらすために継続することにより、より多くの権利を取得し、情報収集です最高権威。
ドメイン環境の場合は、一般的な目標は時にドメインコントローラを獲得したが、この攻撃で直撃はちょうどはるかに簡単であるエクスプロイトの危険のフィールドコントロールを、勃発ました。ドメイン権限のキー勝利制御、またはマシンデータは、まだ大規模なターミナルにいくつかのスキルを必要とする、独自の目標をフィルタリングするために収集した情報の性質に戻るにしてもしかし、拡大が懸念され、自由あなたに話します。
そして、どんな環境で、私は個人的に強襲部隊を妨げる主な理由は、対象事業の理解のネットワーク侵入レベルの範囲内にまだあったと感じていません。例えば、(ここでは省略)、電力分野16文字の原則、システム境界を得るために多くの時間後に、IPCONFIGは見るために10段で、これまで大規模ネットワークと信じているが、現実には、それは氷山の一角であるということです。垂直方向のブレークは、まだ先は長い長い道のりです。さらに、通信業界ならば、金融業界は理解していない、ネットワークには確かに無知な力を見て、感じ「I?どこで?誰だのです」。また、これは、内部ネットワークの浸透を排気する理由です。
e)のエクスプロイトの危険の長所と短所
この演習では、不完全な統計にエクスプロイトの危険、7または8は、印象の多くを発見した、具体的な詳細は、エクスプロイトの危険主要な公共番号の前にレポートを参照することができます。ここでの唯一のエクスプロイトの危険の問題に対する訴訟を議論します。
エクスプロイトの危険コンテンツ内と量の面で、グリルの終わりには、私は、システムが欠陥があるものを見ると、そこにいくつかの衝動を掘っておきたいのですが、あまりにも多くの仕事の雑用いるので、それを棚上げ。
犯罪が懸念されるために、どこに効果的な支援エクスプロイトの危険を保持しています。脆弱性の種類の中から、ウェブ、ネットワーク、オペレーティングシステム、などをカバー。、。国内のネットワークセキュリティの状況について、真実を話すように、私は実際にビジネスアプリケーションを期待する人のための任意のセキュリティを報告しません。国有企業のために、政府が懸念している、アウトソーシングベンダーはこれらの開発をアウトソーシング、主に独自のシステム開発され、高い確率でセキュリティを理解していない、でもSQLインジェクションは、結果的に単独の防衛の枠組みの抜け穴を聞かせて、知らないです。だから、攻撃者が懸念しているため、その目的に関連する収入のすべてをキャプチャするエクスプロイトの危険を取得するには、顧客企業の広い範囲を攻撃することは非常に高いです。しかし、我々は10年前に、非常に短いのものになりましたエクスプロイトの危険生存を理解する必要があり、我々は、エクスプロイトの危険が半年を見つけることができますが、この演習では、エクスプロイトの危険生存率は半分しか時間かもしれなかった防衛ので、発見シェルは、これにより、警告、トレース可能になります。しかし、効果的な監視の7 * 24時間の守備の側面を除外し、実際の生活状況で、ライフサイクルのエクスプロイトの危険は1週間を超えてはなりません。だから、私は、現在のネットワーク環境は、エクスプロイトの危険がたくさんあると思いますが、細心の注意を持ちます。どのように防御的な側面防衛エクスプロイトの危険については、コンテンツの背中を参照してください。
守備の側の配慮から、3
全体的に言えば、防御側は防衛の三つの側面「の後にトレース」「事前調査」から「コントロールにあるもの」です。私の観察によると、一般的に言えば、国有企業の安全保障と防衛機能が弱く、インターネット企業であるが、逆に、国有企業や政府単位での投資は、インターネット企業よりも一般的に高くなっています。また、これはどこにでも一度天国万人をスクープフィールドに質問を尋ねる運動前「密売人」の多くにつながりました。経験と防御側の教訓のいくつかの側面の以下の分析。
a)は、過剰な防衛問題
この演習の意義と重要性については、あなたが自分の党のより注意する必要があり、それはここでは説明しません。それは防衛側に重点を正確に起因するので、守備の行き過ぎがたくさんあります。まず、第二の開始前にシステムをシャットダウンするの多くは禁止され、インターネットIPの数が多いためです。まず、自己欺くに似て、まだグリルの終了後に外部の攻撃者の様々なタイプの脅威に直面して、自然の多数をシャットダウンするように。このような場合には、製造業者が、または調査の脆弱性の根から、システムを強化し、必要な保護対策システムを取るという希望があります。
悪意のあるは禁止されたIP 攻撃を検出するための防衛の能力を反映したものの、状況を、だけでなく、実際のビジネスの通常の動作に影響を与えました。特に、1 Bの例のセクションでは、私が理解しやすい表現しますが、見て耐えることができませんでした。同上、あなたの次のパーティーや問題を解決するための根本的な原因を検討します。
b)の緊急調査
緊急調査のために、事前に、党は主に一時的な人工的な浸透サービスを行って、言って丁寧ではないの購入の仕方によって、あなたはそれの一部は、インターンの大学生や訓練機関で購入する必要があります。行くのに十分なお金が大きな浸透神であっても、ためにも、ネットワーク内の非常に多くの抜け穴を、それが完全にカバーすることはできません。あなたは私のシステムを与えるならば、私はおそらく、各ポートの朝分析、各サービス・インタフェースのセキュリティを必要とするため、完全なテストレポートを与える私の個人的な例では、私は基本的に私がテストしたシステムを保証することができます短い時間では大きな問題になることはありません。私はBセクションを与えた場合でも、私は唯一のスキャン波をWVS、ポートを振るために最初masscan、横内部ネットワークの侵入をシミュレートすることができ、その後、バッチの数を見て、完了するまでに3日を教えてください。このモデルは、完全にすべてのビジネス・システムをカバーしていないかを決定します。タイムリーに十分な時間は、その後、どのように新たなビジネスを行うには?
次に、どのようにこの状況を行うには?私は私のクライアントに行ったことが一つのアイデアは完全に解決サービスを購入するために短い時間を期待していない、ネットワークの脆弱性の人気です。脆弱性のリスクについては、作業は平時の正規化で行われなければなりません。まず、資産管理および制御ツールは、すべての内部ネットワーク・サーバは、アクティブスキャン、パッシブフロー分析および収集する他の手段を通じて、最終的にはリアルタイムモニタリングネットワーク内で開いているポートの数は、それぞれがどのようなサービスを実行し、どのようなアプリケーションのバージョンと、第2、残りの問題を解決し、内部ネットワークの脆弱性、脆弱なパスワードの脆弱性のための既存の枠組みを整流します。私は、セキュリティデバイスの展開は永遠の青の多くを発見した後、この保護ネットワークを介して、セキュリティは、防御的な側面に従事されていなかったことを信じて、トロイの木馬がように制御し、これらは残りの問題があります。あなたが問題のクラスの解決に注力するために数週間の時間を使うことを提案する、サイクルは、残りのすべての問題を解決するために続けています。第三に、新たなビジネスラインのレビュープロセスを確立し、新しいオンラインビジネスシステムは、唯一の行に許可されている安全性評価報告書を取得するには、サードパーティのセキュリティアセスメントに合格しなければなりません。
最後に、広告を作る、当社のファルコン脅威認識システムは、大規模な資産管理と脆弱性の検出のために使用される当社のベースと結合されたAI 侵入ロボット、自動化ができるセキュリティ問題のすべての種類を見つける監視します。
光の中で、C)の再境界ネットワークの防衛戦略
共通の境界の防御的な側面は、境界が壊れて一度得られる光の防衛ネットワーク、ネットワーク全体の崩壊の危険に、重いです。そして、この場合には、私は職業が普及だろう入りました。セキュリティの開発は、今日、それが正当化されます。昨年は、信頼ネットワーク0 Googleが一般的な方法はまだありますが、信頼のキャリア変更の伝道者0ウェブを作りたかったが、私はまだ我々は思考を変えることができることを願って、必ずしも私の内部ネットワークとは思わないしなければならない一度、気持ちがトレンドである、提案しましたセキュリティ。それは、つまり、黒が国益である影響を与える可能性が社会不安をもたらすために、可能性があります。
d)の脅威を意味知能システム
まず第一に、この攻撃のために、そのような悪質なドメインライブラリー、悪質なIPライブラリ、攻撃者がブラックリストには、セキュリティの恥ずかしを行い、新しいドメイン名とIPを、使用しているためのようにほとんど効果の元諜報IOCのすべての種類、。しかし、同時により多くの国有企業を許可するセキュリティ脅威インテリジェンスデータベースベンダーのおかげで、政府機関は、彼のオフィスのコンピュータネットワークがすでに制御するためにたくさん持っている実現しました。
e)の無力の顔を攻撃するエクスプロイトの危険
エクスプロイトの危険な攻撃に直面して、理論的には、誰も運ぶませんが、実際にはそうであることができませんでしたか?その上WAFクラス、状況認識クラス、IDSを含め、安全装置に基づいて、実際にブラックリストを運ぶことができませんでしたエクスプロイトの危険に直面して、すべての最初のケースは、ないと思います。これらの安全装置、およびセキュリティ監視装置のための選択の確かに大手メーカー、これらのデバイスは、アラームなかった基本的な、結果的にそれを行うことはできません一度。また、これは防御側は24/7防御的な理由ですが、実際にはほとんどの時間は何もしないです。
まず、ウェブエクスプロイトの危険の防衛、防衛は、根本原因を攻撃するためにウェブの脆弱性のすべての種類を防ぐためにopenraspクラスメソッドを採用することができます。一部の学生は、やすりプログラムの商用版を購入したい場合は、ブレンディングは私のああすることができます。
第二に、ネットワークおよびシステムは、我々は独立した危険警報または直接コマンドをブロックするプロセスを開始するには、エージェントに、ターミナルのトップスにホワイトリストポリシーをEDR防衛の手段、エージェントを使用することができ、エクスプロイトの危険エクスプロイトの危険。私たちは4年前、ユニコーンガードと呼ばれる製品、EDRは言うことができるが、最初のプロトタイプでなかったが、我々はすべての心の練習のためにエージェントをインストールする必要が販売する時間を見つけて、インストールされていないと思います。四年後、私は変更を受け入れるEDRバックセキュリティをもたらすために、より多くの人々があるだろうと信じています。
f)はハニーポット
この演習のハイライトの一つは、ディフェンダーの多くは排水をトラップし、攻撃にハニーポットのアプローチを使用することです。ハニーポットはよく、それは本当に便利だと言います。むしろ、いくつかのサービスのための動的シミュレーションよりも、私の理想を完全にシミュレートする必要があるハニーポット。同時に、我々はカウンタ機能、1回の追跡可能な攻撃者の正体を持つことができ、第二は、このような脆弱性が彼らの攻撃を逆に利用可能AWVSまたはアリ剣ハッキングツールです。私は、優れた製品が目立つの後ろの多くがあるだろうと信じています。しかし、守備でも、すべての後に、半分以下の効果的な攻撃を取り込むことができる、展開後に本当である、これは通常、ハッキング以下、運動です。しかし、安全性の場合、予防措置を講じています。
最後に書かれました:
私は個人的には、攻撃から守備に、覆われている、セキュリティ技術の愛好家でした。ベンチャー以来、物事はより多くの混合やって、私はブラシのセキュリティ界で時間や技術記事を持っている、いくつかのPOCを書きます。私は、私がCEO、販売、中古販売、プロダクトマネージャーだった、友人が知っている可能性が知っていると同時に、私はまた、「ハッカー」だとセキュリティのリングにいくつかの変更をもたらすために、私の知識を学んだ使用を楽しみにしています。相互励ましの王「私たちの使命を、覚えて、早期の心を忘れないで」。