讀紅藍攻防:技術(shù)與策略17橫向移動
1. 橫向移動
1.1. 攻擊者在成功進入系統(tǒng)后試圖做的最主要的事情:鞏固和擴大他們的存在
1.2. 攻擊者在最初的攻擊之后,就會從一臺設備轉(zhuǎn)移到另一臺設備,希望可以獲得高價值的數(shù)據(jù)
1.3. 還將尋找能夠獲得對受害者網(wǎng)絡的額外控制的方法
1.4. 將努力不觸發(fā)告警或引起任何警覺
1.5. 橫向移動包括掃描網(wǎng)絡以尋找其他資源、收集和利用憑據(jù),或者收集更多信息以進行滲透
1.6. 橫向移動是很難阻止的,這是因為組織通常僅僅在網(wǎng)絡的幾個網(wǎng)關(guān)處設置安全措施
- 1.6.1. 是攻擊中最關(guān)鍵的階段,因為在這個階段,攻擊者會尋求資產(chǎn)和更多權(quán)限,甚至遍歷多個系統(tǒng),直到他們對其達成的目標滿意為止
1.7. 惡意行為只有在安全區(qū)域之間移動時才會被檢測到,而在安全區(qū)域內(nèi)則不會
1.8. 橫向移動是網(wǎng)絡威脅生命周期中的一個重要階段,因為它使攻擊者能夠獲得更有能力破壞網(wǎng)絡重要方面的信息和訪問等級
2. 滲透
2.1. 外部偵察方法包括垃圾搜索、使用社交媒體和社會工程
2.2. 垃圾搜索是指從一個組織已經(jīng)處理掉的設備中收集有價值的數(shù)據(jù)
2.3. 社交媒體可以用來監(jiān)視目標用戶,并獲得他們可能不小心發(fā)布的憑據(jù)
3. 網(wǎng)絡映射
3.1. 在一次成功攻擊后,攻擊者將嘗試映射網(wǎng)絡中的主機,以發(fā)現(xiàn)包含有價值信息的主機
-
3.1.1. 最常用的工具之一是Nmap
-
3.1.2. 可以繼續(xù)測試網(wǎng)絡中感興趣的計算機上運行的操作系統(tǒng)
-
3.1.3. 如果黑客可以知道目標設備上運行的操作系統(tǒng)和特定版本,就很容易選擇可以有效使用的黑客工具
3.2. Nmap工具具有復雜的操作系統(tǒng)指紋識別功能,幾乎總能成功地告訴我們諸如路由器、工作站和服務器等設備的操作系統(tǒng)相關(guān)信息
3.3. 網(wǎng)絡映射之所以是可能的,而且在很大程度上很容易做到,是因為在防范網(wǎng)絡映射方面存在挑戰(zhàn)
-
3.3.1. 組織可以選擇完全屏蔽其系統(tǒng),以防止類似Nmap掃描的攻擊,但這主要是通過網(wǎng)絡入侵檢測系統(tǒng)(Network Intrusion Detection System,NIDS)來實現(xiàn)的
-
3.3.2. 當黑客掃描單個目標時,他們會掃描網(wǎng)絡的本地網(wǎng)段,從而避免流量通過NIDS
-
3.3.3. 為了防止掃描發(fā)生,組織可以選擇使用基于主機的入侵檢測系統(tǒng)(Host-Based Intrusion Detection System,HIDS),但大多數(shù)網(wǎng)絡管理員不會考慮在網(wǎng)絡中這樣做,特別是在主機數(shù)量龐大的情況下
3.4. 每臺主機中增加的監(jiān)控系統(tǒng)將導致更多告警,并且需要更多的存儲容量,根據(jù)組織的規(guī)模不同,這可能會導致太字節(jié)(TB)級的數(shù)據(jù),其中大部分是誤報
3.5. 受害者組織最大的希望是基于主機的安全解決方案
-
3.5.1. 可以使用入侵防御系統(tǒng)(Intrusion Defense System,IDS)和防火墻來保護組織的網(wǎng)絡免受未經(jīng)授權(quán)的Nmap掃描
-
3.5.2. 有些方法非常極端,包括向攻擊者返回誤導性信息、減慢Nmap掃描的速度、限制這些Nmap掃描提供的信息量、完全阻止Nmap掃描,以及混淆網(wǎng)絡,即使攻擊者成功地執(zhí)行了他們的掃描,也不會了解你的網(wǎng)絡中的情況
-
3.5.3. 混淆網(wǎng)絡使得攻擊者不能理解網(wǎng)絡,這意味著授權(quán)的網(wǎng)絡管理員也可能無法理解網(wǎng)絡
-
3.5.4. 使用軟件來阻止端口掃描器以阻止掃描比較危險,因為它可能會通過該軟件本身引入額外的漏洞
3.6. 掃描、關(guān)閉/阻止、修復
-
3.6.1. 保護網(wǎng)絡免受攻擊者的Nmap掃描的最有效方法之一是自己進行掃描
- 3.6.1.1. 進攻是最好的防御
-
3.6.2. 主動掃描
- 3.6.2.1. 允許你在攻擊者發(fā)現(xiàn)網(wǎng)絡中的弱點之前找到它
-
3.6.3. 阻止未使用的可用端口也很重要
-
3.6.3.1. 攻擊者的端口掃描威脅就變小了,因為你可以判斷他們將獲得的信息類型以及這些信息會給公司帶來什么樣的危險
-
3.6.3.2. 安全團隊對端口掃描器很偏執(zhí),組織往往會因為他們的偏執(zhí)而部署最具防御性的安全系統(tǒng)
-
-
3.6.4. 修復已知漏洞
-
3.6.5. 可以通過外部方法或公開可達但不需要對外公開的服務,應該在防火墻點上被阻止
-
3.6.5.1. 如果員工需要訪問這些服務,他們可以使用VPN來訪問
-
3.6.5.2. 應該禁用這些不必要的服務
-
3.6.5.3. 最好確保禁用不必要的服務和端口,以免被攻擊者利用
-
-
3.6.6. 需要修復系統(tǒng)中已知的漏洞,確保防火墻阻止私人服務,禁用不必要的服務,并且可以更進一步,使用入侵防御系統(tǒng)來幫助保護你免受零日攻擊和其他威脅
-
3.6.7. 主動掃描網(wǎng)絡并審核服務和資產(chǎn)應該是網(wǎng)絡安全的首要任務
-
3.6.7.1. 應該定期進行
-
3.6.7.2. 定期掃描和審核將使你能夠掌握安全態(tài)勢,并保持網(wǎng)絡安全
-
3.6.7.3. 測試不佳和實施不佳的系統(tǒng)在被掃描時往往會崩潰
-
3.6.7.4. 建議網(wǎng)絡掃描應該從簡單的端口掃描開始,然后再進行更復雜的網(wǎng)絡掃描過程
-
3.7. 阻止和降速
-
3.7.1. 保護網(wǎng)絡的最佳方法之一就是對網(wǎng)絡進行良好的配置
-
3.7.2. 一個配置良好的網(wǎng)絡可以很好地將入侵者拒之門外
-
3.7.3. 正規(guī)防火墻的基本規(guī)則總是首先拒絕
-
3.7.3.1. 默認設置是在識別和允許重要的流量通過之前,先阻止所有流量進入網(wǎng)絡
3.7.3.1.1. 在最初阻止重要流量(由于用戶報告了問題)后允許其通過,比允許不良流量通過更好也更容易,這意味著攻擊者可以進入網(wǎng)絡
3.7.3.1.2. 合法的流量很容易被發(fā)現(xiàn),因為合法用戶會不斷報告他們的流量無法通過,直到網(wǎng)絡管理員最終糾正這種情況
-
3.7.3.2. 有助于減緩使用Nmap工具進行大規(guī)模偵察的速度
-
-
3.7.4. 過濾端口是一個旨在挫敗攻擊者的有效過程
-
3.7.4.1. Nmap根本不知道探測為什么會被丟棄,也不知道端口是否被過濾
-
3.7.4.2. 最好確保防火墻確實會丟棄數(shù)據(jù)包,而不以錯誤消息等反饋做出響應
-
3.7.4.3. 目的是確保數(shù)據(jù)包被丟棄而不是被拒絕
3.7.4.3.1. 拒絕意味著一個錯誤消息被發(fā)送回Nmap掃描器
3.7.4.3.2. 拒絕消息有助于緩解網(wǎng)絡故障和擁塞,因為它向攻擊者表明探測被防火墻阻止
3.7.4.3.3. 使用丟棄時,不會向Nmap掃描程序發(fā)回任何消息
3.7.4.3.4. 丟棄是減慢偵察過程的最理想的結(jié)果
-
-
3.7.5. 確保未使用的端口不會進行監(jiān)聽,關(guān)閉未使用的端口
- 3.7.5.1. 關(guān)閉且可以過濾的端口對端口掃描程序非常有效
3.8. 檢測Namp掃描
-
3.8.1. 任何連接到互聯(lián)網(wǎng)的組織都會經(jīng)常面臨掃描
-
3.8.2. 掃描中有許多是尋找Windows漏洞和其他漏洞的互聯(lián)網(wǎng)蠕蟲
-
3.8.3. 開發(fā)漏洞代碼的人可能會掃描大范圍的系統(tǒng),以找到易受其攻擊的系統(tǒng)
-
3.8.4. 日志文件本身不足以檢測出端口掃描
- 3.8.4.1. 使用日志文件并不是檢測Nmap活動的非常有效的標準,也就是說,它的效果微乎其微
-
3.8.5. 識別正在進行的掃描活動的常見方式之一是許多網(wǎng)絡服務的錯誤消息增多
3.9. 技巧
-
3.9.1. 使用巧妙的技巧是一種常見的做法,特別是在管理員采取攻擊性的方法并對Nmap掃描創(chuàng)建虛假響應的情況下
-
3.9.2. 這些技巧是為了迷惑和減慢Nmap掃描工具,它們可以有效地解決問題,保護網(wǎng)絡免受惡意掃描
-
3.9.3. 降低速度的技巧往往是在沒有任何安全考慮的情況下編寫的,攻擊者可以利用它們來獲取有關(guān)系統(tǒng)的寶貴信息
-
3.9.4. 使用這些技巧可能會適得其反,最終可能會使黑客而不是網(wǎng)絡管理員受益
浙公網(wǎng)安備 33010602011771號