讀紅藍攻防:技術與策略10偵察
1. 概述
1.1. 偵察是威脅生命周期中最重要的階段之一
- 1.1.1. 網(wǎng)絡攻擊的偵察階段是整個攻擊過程的關鍵決定因素
1.2. 在這個階段,攻擊者著重尋找可以用來攻擊目標的漏洞,通過定位和收集數(shù)據(jù),以識別目標網(wǎng)絡、用戶或計算系統(tǒng)中的漏洞
1.3. 分為被動和主動兩種方式
- 1.3.1. 分為外部偵察和內(nèi)部偵察
1.4. 進行偵察的正確方式是,不應該讓目標知道他正在被偵察
2. 外部偵察
2.1. 也稱為外部踩點
-
2.1.1. external footprinting
-
2.1.2. 外部偵察是在不與系統(tǒng)交互的情況下完成的,通過在組織中工作的人找到切入點
2.2. 包括使用工具和技術,幫助黑客在目標網(wǎng)絡外部操作時找到有關目標的信息
-
2.2.1. 指在目標網(wǎng)絡之外,盡可能多地發(fā)現(xiàn)有關目標的信息
-
2.2.2. 使用的新工具包括Webshag、FOCA、PhoneInfoga和Harvester
2.3. 這種做法是秘密進行的,很難被檢測到,因為一些偵察工具專門為躲避監(jiān)控工具而設計,而其他工具則使用在服務器看來很正常的請求
2.4. 外部偵察不同于內(nèi)部偵察,因為它是在威脅行為者實際滲透到組織之前進行的
- 2.4.1. 如果威脅行為者的目標不是進行高級持續(xù)性攻擊,那么外部偵察也可以是根本不必滲透到組織的攻擊
2.5. 外部偵察通常比內(nèi)部偵察需要更少的努力,但其成功率往往很低
2.6. 外部偵察攻擊通常集中在外圍,黑客很少或根本沒有關于目標的值得利用的信息
2.7. 證明外部偵察確實有效的事件通常是因為攻擊利用了用戶的粗心大意而發(fā)生的
2.8. 攻擊者可以使用許多不同的技術來進行外部偵察,從掃描目標的社交媒體到翻垃圾箱,再到利用不同的社會工程技術從目標中提取信息
2.9. 瀏覽目標的社交媒體
-
2.9.1. 社交媒體為黑客開辟了新的獵場
- 2.9.1.1. 瀏覽社交媒體賬戶已成為進行外部偵察的常用方法
-
2.9.2. 尋找人們信息的最簡單方法是通過他們的社交媒體賬戶,黑客發(fā)現(xiàn)這是挖掘特定目標數(shù)據(jù)的最佳場所之一
-
2.9.3. 一種使用社交媒體的新方法來執(zhí)行更加邪惡的預攻擊(pre-attack)
-
2.9.4. 另一種方式是查看他們的賬戶帖子,以獲取可輔助破解密碼的信息,或用于重置一些賬戶的秘密問題的答案
-
2.9.4.1. 有了社交媒體賬戶中的全名以及可行的密碼,攻擊者就能夠計劃如何進入網(wǎng)絡并實施攻擊
-
2.9.4.2. 眾所周知,用戶由于懶惰或缺乏對他們所面臨的威脅的了解而使用弱密碼
-
-
2.9.5. 社交媒體中另一個隱患是身份盜竊
- 2.9.5.1. 創(chuàng)建一個帶有另一個人的身份的假賬戶是很容易的,所需要做的只是訪問一些照片和身份盜竊受害者的最新細節(jié)
2.10. 垃圾搜索
-
2.10.1. 組織以多種方式處置過時的設備
-
2.10.1.1. 處理方法存在嚴重的隱患
-
2.10.1.2. 大多數(shù)組織在處理舊的外部存儲設備或過時的計算機時都不夠徹底,有些人甚至懶得刪除包含的數(shù)據(jù)
-
-
2.10.2. 谷歌是徹底處理可能包含用戶數(shù)據(jù)的設備的公司之一
-
2.10.2.1. 它銷毀了數(shù)據(jù)中心的舊硬盤,以防止惡意用戶訪問其中的數(shù)據(jù)
-
2.10.2.2. 硬盤被放入一個粉碎機中,粉碎機將鋼質(zhì)活塞向上推過磁盤的中心,從而使其不可讀
-
2.10.2.3. 這個過程一直持續(xù)到機器吐出硬盤的小碎片,然后這些碎片被送到回收中心
-
2.10.2.4. 谷歌選擇使用軍用級刪除軟件擦除舊硬盤上的數(shù)據(jù),這確保了在處置舊硬盤時無法從舊硬盤中恢復數(shù)據(jù)
-
2.11. 社會工程
- 2.11.1. 詳細見下篇
3. 內(nèi)部偵察
3.1. 內(nèi)部偵察是在威脅行為者已經(jīng)攻破一個組織之后進行的,并且是在目標的網(wǎng)絡內(nèi)進行的,以收集關于該組織及其成員的盡可能多的情報
3.2. 內(nèi)部偵察是在現(xiàn)場進行的
-
3.2.1. 意味著攻擊是在組織的網(wǎng)絡、系統(tǒng)和場所內(nèi)進行的
-
3.2.2. 涉及在其網(wǎng)絡中查找有關目標的更多信息
-
3.2.3. 黑客進入目標網(wǎng)絡并不總是可行的
3.3. 大多數(shù)情況下,這個過程由軟件工具輔助
-
3.3.1. 攻擊者與實際的目標系統(tǒng)進行交互,以便找出有關其漏洞的信息
-
3.3.2. 內(nèi)部偵察工具將主要產(chǎn)生關于目標的更豐富的信息
-
3.3.3. 使用的一些新工具包括Airgraph-ng、Hak5 Plunder Bug、CATT和Canary令牌鏈接
3.4. 內(nèi)部偵察是一種被動攻擊,因為它的目的是發(fā)現(xiàn)信息,這些信息可以在未來用于更嚴重的攻擊
3.5. 主要目標是一個組織的內(nèi)部網(wǎng)絡,黑客肯定會在那里找到他們可以感染的數(shù)據(jù)服務器和主機的IP地址
-
3.5.1. 網(wǎng)絡中的數(shù)據(jù)可以被同一個網(wǎng)絡中的任何人通過正確的工具和技能獲取
-
3.5.2. 嗅探工具
3.6. 內(nèi)部偵察用于確定防范黑客攻擊的安全機制
3.7. 內(nèi)部偵察也稱為利用后偵察(post-exploitation reconnaissance),因為它發(fā)生在攻擊者獲得網(wǎng)絡訪問權之后
- 3.7.1. 攻擊者的目的是收集更多信息,以便在網(wǎng)絡中橫向移動,發(fā)現(xiàn)關鍵系統(tǒng),并實施預期的攻擊
4. 被動偵察與主動偵察
4.1. 主動偵察需要黑客直接與系統(tǒng)進行交互
4.2. 主動偵察過程的目的是獲取某一組織所用系統(tǒng)的相關信息
-
4.2.1. 主動偵察比被動偵察更快、更準確
-
4.2.2. 主動偵察對黑客來說風險更大,因為它往往會在系統(tǒng)內(nèi)制造更多噪聲,從而大大增加黑客在系統(tǒng)內(nèi)被檢測到的可能性
4.3. 被動偵察是一種系統(tǒng)信息的收集過程,它使用間接手段,包括使用Shodan和Wireshark等工具
- 4.3.1. 被動偵察使用的方法包括OS fingerprinting等方法,以獲取有關特定系統(tǒng)的信息
5. 對抗偵察
5.1. 在偵察階段就不讓攻擊者的計劃得逞對于阻止攻擊進一步發(fā)展至關重要
5.2. 如果攻擊者無法獲得有關系統(tǒng)的關鍵細節(jié),他們將最終使用試錯法或根據(jù)猜測制定計劃
5.3. 對抗攻擊者成功完成偵察的最佳方法是,完全了解你組織內(nèi)部的網(wǎng)絡
-
5.3.1. 系統(tǒng)和網(wǎng)絡中使用的所有技術
-
5.3.2. 系統(tǒng)中可能的差距
5.4. 最佳方式是讓系統(tǒng)有一個日志收集點,在那里集中收集關于系統(tǒng)中的日志和活動的消息
5.5. 方式
-
5.5.1. 使用Graylog工具
-
5.5.1.1. 可以看到系統(tǒng)內(nèi)的所有網(wǎng)絡通信,以及網(wǎng)絡通信是如何完成的
-
5.5.1.2. 該信息是從日志文件中獲得的,日志文件將揭示所有被拒絕的網(wǎng)絡連接和那些被建立的網(wǎng)絡連接
-
-
5.5.2. 雇傭紅隊
-
5.5.2.1. 雇傭一個團隊對你的系統(tǒng)進行道德黑客攻擊
-
5.5.2.2. 紅隊的測試結果將幫助你識別系統(tǒng)基礎設施中的漏洞
-
5.5.2.3. 如果紅隊成功進入該系統(tǒng),那么他們將能夠查明用來進入系統(tǒng)的區(qū)域,并給出關于需要額外保護的其他區(qū)域的建議
-
6. 防止偵察
6.1. 偵察過程是攻擊的第一階段,黑客將使用它來確定需要付出什么樣的努力或使用什么工具來訪問系統(tǒng)
6.2. 成功的偵察階段允許黑客有效地計劃他們的攻擊
- 6.2.1. 如果黑客沒有在這個階段獲得信息,將被迫使用試錯法,這將大大增加他們在系統(tǒng)中的噪聲,或者增加他們觸發(fā)安全系統(tǒng)告警以阻止攻擊的概率
6.3. 找到防止黑客成功執(zhí)行偵察程序的方法并確定有關系統(tǒng)的重要細節(jié)以幫助他們更好地應對攻擊是至關重要的
6.4. 滲透測試是一種解決方案
-
6.4.1. 組織可以使用它來確定攻擊者在偵察期間可以獲得系統(tǒng)哪些方面的信息
-
6.4.2. 滲透測試是一個合乎道德的黑客程序,由安全團隊執(zhí)行,以確定系統(tǒng)中的漏洞,如開放端口和攻擊者可以利用來進入系統(tǒng)的其他漏洞
-
6.4.3. 安全小組利用能夠掃描大型網(wǎng)絡的端口掃描工具來確定與網(wǎng)絡相關的所有主機,包括啟動的主機和未啟動的主機
-
6.4.4. 旨在掃描和識別系統(tǒng)中可能被潛在攻擊者利用的任何漏洞
-
6.4.5. 有助于檢測網(wǎng)絡中處于活動狀態(tài)的源IP地址,并在給定時間運行掃描工具
浙公網(wǎng)安備 33010602011771號