从HW看入侵

| 分类 HowTo  | 标签 知识回顾 

上一篇blog谈过了反入侵,这里看下入侵。不过经历了历时一周的HW,那么先从HW谈起。可能不是安全行业从业者的话,不知道这个HW意义,也不明白在建国70周年的2019年是多么声势浩大。

HW整体

集团

先说特点:

  • 溯源速度快
  • 手中资源多,工具,情报,基础设施等等, 运营权限大。
  • 领域内的系统化程度高,但系统间的自动化程度不高,人工在不同系统上查询
  • 能熬夜

能熬夜之所以放上去,是想说熬夜不是目的,形式也不值得提倡。有的可能是畏于高P, 有的可能是为了后面的晋升。本质上是两点技术

  1. 技术
    • 得益于品类数据的收集比较齐全
    • 以及基础设施的建设和系统熟悉程度较高
    • 团队融合性较高(团队内以及团队间) 信息流动及时(情报,策略等等)
    • 分工明确,协作协调。同时能够迅速查询并联系到对应出问题地方的接口人。

但集团对外只输出了威胁情报,且不够准确,同时缺乏向BU的输出,以及互相沟通(消息闭塞不流通)。但是输出有限,而且输出比较依赖人,而人之间的流转就比较慢了。

BU

谈起BU先谈本地生活,从本BU看起,其他几个BU的情况咱们不便多说,也不好说。

  • 对已有资源掌控比较了解,可以迅速溯源。
  • 品类数据不够齐全以及数据链路的建设仍然存在一定的问题
  • 能够快速自动化排查手段,把系统间的流转自动化起来,做到可以一键查询。
  • 检测策略和治理策略较有限,相对集团侧数量相差一定量

整体感觉就是,BU间缺乏互相沟通,而且HW给BU的感觉不是在以阿里体系防护,而是各自为政。或许是阿里不是主要的攻击目标,但整体来说不够合格。本想通过此次聚齐BU的反入侵人员进行交流以提升小CRO线的风险治理能力, 但是许多话说的是冠冕堂皇,共建,其实是共建个鸡儿。让小CRO线去暴露问题反而也成了一个问题。往往当我们不知道问题发生在哪里的时候,才是问题最为严重的时候。比如你把堡垒机作为防护入口的重要一环,但是你不知道有什么不知道的0day,比如说这次护网,vpn和堡垒机的0day爆出来不少吧。面对0day就是面对未知,主要问题就是不知道未知从何而来。这就体现出来平时演练的重要性。堡垒机主备切换,断网演练等等。扯远了,如果说集团在未来的1-2年内能够愿意通过共建的方式去提升小CRO线的能力,输出平台化的产品,和生态的运营能力。或许是一个不错的选择,但是it’s hard to do that. 所以还是治理技术容易(入侵技术和反入侵技术其实出彩的地方并不多),治理人难啊。而且在一定程度上来讲可以说是体现了战术上的勤奋,那句话叫啥来着,不能用战术上的勤奋掩盖战略上的懒惰。很多事情都有可优化的地方。

入侵

谈完HW,看看入侵。本来是想在上一篇谈的,后来发现忘了写就提交了。

ATT&CK with Kill-Chain

那么虽然出现在大众视野的主要以通过web应用为主的渗透攻击,但是攻击方式和手法远不止如此。犹记得当年S2-045,虽然不懂,但是用起来很爽。以及Dirty-Cow。但当然这只是其中的一部分。以及OpenSSL的心脏滴血。这些来自不同层面的攻击手法。redis AOF shell,通过redis写出shell到本地进行解析,得到小马。其中很多概念和手法也并不是刚刚出现的,而是历来就有的。而且随着新的安全防护产品的出现,产品本身自己也可能存在缺陷。 image 在从网络进来到破坏中间设施或者拖取数据,上乘的手法就是来无影去无踪。(这不意味着不可被溯源,只要基础设施好,一个也跑不了)。最下下乘的攻击手法就是脚本小子的炫耀,你说你看不起他吧,似乎轻视了他,但确实又不值得。(手动滑稽)。HW结束后的看到的第一篇文章应该是https://bithack.io/forum/352 朋友圈开始转,乙方视角的。识别企业在资产,分布式扫描。到针对人的定点or批量是社工。主要还是在0day,但其实这个楼主说的对,0day防不住的是以黑名单为主的防御设备,不是以白名单的。事情也确实是这样的。

当然除此之外,还有物理安全的防御。在针对阿里的HW开始的前一周就和安保的人进行了讨论。加强出入管控,以及外包人员入职的审核。可疑人员的排查等。继续谈回入侵,无论你的应用、服务、数据以及承载这些资产的主机和网络等基础设施是不是暴露在外的,都是会面临攻击的。网络应用也常是入侵者的主要入口。而且越是底层越是基础,越是难以防御。网络应用出现问题的防御和基础设施出现问题的防御显然不是一个层级的,比如说之前的intel的幽灵漏洞。但是这么说也不是为了制造恐慌,还是要看漏洞的利用方式等等,再进行评估。(挖协议漏洞的、系统、内核漏洞的大佬真是令人羡慕)

内网渗透,横向移动

这一段可以忽略不看,受限自身搞内网内网的次数不多,只有过5次不到吧,其中2次还是身处在内。因此避免误导。分为生产网内网办公网内网的话,显然办公网一般更容易进入。想了想对于我而言从外面进来的一是因为部分OA类的系统弱密码,二是github信息泄露,还有一次是写shell后,生产网内网间已经有ssh密钥埋好了。都是比较菜鸡的操作。之后的话,在办公内网,项目管理系统上面记录了许多账号密码,没做权限控制,补丁没打等等。以及内网网络没有做访问控制。内网渗透相较生产网较为容易,同时企业本身在这一块的防护很少有重点关注的。对于创业公司,有时候甚至访客wifi都没有,来面个试都能内网漫游一下。还有的就是丢个U盘什么的。正是由于意识薄弱,因此较为容易。还有一些二阶打法,比如说打的攻击被拦截,但是日志被收集走了,在查看日志时候的Payload生效,等等手法。

其他

  • 熬完了一周HW,身心俱疲。YY了下,渗透应该是也能团队化支撑,由挖0day,POC验证到完备工具,分工明确,一键做好反弹、持久化、数据透传和痕迹擦除。bingo,done.

  • 较我的观察而言,除去技术水平的参差不齐,情商、打太极能力以及情绪控制能力是目前高p基本都具备的,总能做到冠冕堂皇。 最近在读《原则》这本书,即将看完书本前面一部分达利欧的历程(出差总是起的早,能看的快些),其中我比较赞同的是:

    拥有最基本的东西,如一张舒适的床,良好的人际关系,美食,美好的性生活等,是最重要的。而这些东西不会因为你拥有金钱的多寡而发生明显的变化。

而我们常常过于为自己的欲望买单,找准位置,或许十分重要。


上一篇     下一篇