持续上分!让攻击者“无功而返”
2023-8-30 18:17:21 Author: mp.weixin.qq.com(查看原文) 阅读量:7 收藏

近日,一年一度的国家级攻防大考落下帷幕。某市级海关机构的下属企业A作为市级攻防演练防守方、国家级攻防演练的二级防守单位,在此次参加其行业攻防演练前,采购了以360数字安全托管运营服务为核心的攻防演练解决方案,以应对实战演练中各种攻击的“枪林弹雨”。下面,让我们从攻防案例中看看“魔高一尺 道高一丈”的真实对抗!

01

ROUND 1   信息收集

攻方1

顺着这单位的外网服务器扫一圈,看有没有同网段的其他设备,使使劲儿应该能打穿,试试。

你先扫外网服务器,我收集下二级域名和管理员信息。

攻方2

攻方1

顺便把他们的小程序和公众号之类的也爬一爬,看能不能翻出有用信息,争取把网盘或者Github源代码之类的找到。

好。注意扫描频率,别触发IDS或者WAF之类的。

攻方2

企业A

就知道你们会用互联网资产暴露面为攻击切口,好在我们已经用360数字安全托管运营服务梳理了边缘业务资产,调整安全设备策略,明晰资产的业务归属。

做好资产风险排查与加固,是做好安全防御的基础。在演练前,360数字安全托管运营服务聚焦于资产暴露面摸底排查、已知漏洞和历年0day漏洞检测,依托360资产与漏洞检测管理系统、360本脑攻防演练防御指挥平台可助力及时整改排查中发现的风险点,关停不必要暴露点,清理并调整修改相关泄露敏感信息,将攻防对抗从被动变为主动。

02

ROUND 2   漏洞扫描

攻方1

我这儿找到了一些二级子域的信息,还有些小程序和公众号的内容,发现有几个小程序登录授权使用了shiro,我这上千个key跑完都没法利用,估计已经改过了。

我还在扫IP,同网段的设备不多,还没找到口子。以前他们的外网服务器有个Log4j漏洞,现在已经补上了,用不了了,我之前的权限也已经丢了。外网服务器跟内网应该是做了物理隔离,估计这条道走不通。

攻方2

攻方1

单位内网很可能走的都是专线,看来得找到获得授权的终端当跳板才行。你先接着扫描,我看看能不能暴破出一个VPN账号。

360本脑攻防演练防御指挥平台发现大量攻击行为,shiro反序列化漏洞利用、Log4j漏洞利用、弱口令爆破等等,迅速对攻击IP进行封堵。

企业A

企业A在日常工作中高度重视网络安全,360数字安全托管运营服务的应用提升了网络安全防御能力,在攻防演练之前已经全面排查了互联网资产的暴露面和漏洞,并及时进行了修补更新。同时, 360本地安全大脑、360终端安全检测与响应系统(360 EDR)、360高级持续性威胁预警系统(360 NDR)等对各类攻击进行实时预警,精准定位业务安全问题,提供全天候、全方位的实战化网络安全保障。

攻方1

客户把我的代理IP给屏蔽了,应该是扫描被发现了,看来得多换几个代理。

我这儿有足够的代理IP,换个IP继续干。

攻方2

攻击者为了隐藏自己的真实IP地址,防止被追踪,通常会采用代理IP访问攻击标,而且经常变换代理IP,达到反追踪的目的。

发现多个IP继续对外网服务器进行扫描,我们正在通过360 XDR一体机对攻击进行溯源。通过溯源分析,根据流量特征增加了WAF的自定义规则,目前可以阻断对方攻击。

企业A

攻方1

什么情况,我这刚换的代理IP都被封。

你别忙活了,应该是流量特征被拦截了,换再多IP也没用,我这找到个有用的信息。这家企业的系统允许30多家第三方企业通过VPN接入,我们只要搞定其中一台终端就行了。

攻方2

攻方1

这下攻击面大了!来吧,把你最新的免杀木马贡献出来,邮件挂马先扫荡一圈,没准有能中招的

在前一轮的攻击中,因为客户A系统的严密防守,攻击者没有获得可乘之机,所以第三方企业的系统接入权限引起了攻击者的注意。攻击者将伪装过的木马程序作为附件,伪造不同的邮件内容发送给多个目标人员,诱使收件人在不知情的情况下点击附件激活木马。

03

ROUND 3 横向移动

攻方1

有上钩的了,而且有VPN登陆权限。我先摸摸内网情况,看看账号访问权限够不够。

我去搭建个内网穿透的隧道,他们内网应该没什么防护,我直接扫描一下内网,看看能不能找到其他的口子,你先做一下权限维持吧,别呆会这台肉鸡的权限丢了。

攻方2

攻方1

我这儿找到一个服务器的共享文件夹,里面有些应该是物流监控系统的配置文件,里边有数据库的账号密码信息。

可以,你直接发给我,我隧道已经搭建好了,我直接去连接。他们内网的防护竟然也做的这么好,根本扫不到其他的漏洞。

攻方2

360云端安全专家

本脑攻防演练防御指挥平台联动 XDR探针,通过关联分析、攻击链回溯等能力,还原攻击路径,定位到被攻击的服务器以及攻击端源IP,确认攻击端频繁访问此服务器上核心业务系统的攻击行为。随后云端安全专家调用SOAR预案对服务器和受控终端进行网络隔离,并紧急协助客户修改核心业务系统的弱口令密码,对被控终端进行上机排查,清理后门程序。

360数字安全托管运营服务将2000余名360安全专家支持体系全面云化,提供安全监测、安全应急、安全策略优化、靶标加固等服务,在攻防演练期间7*24小时守护客户的网络安全。

写在最后

面对APT攻击、勒索加密、数据窃取、漏洞攻击、主机被控等,360数字安全托管运营服务可提供快速事件定位取证、隔离清除、溯源分析、安全加固等专业安全服务,全方位守护企业用户安全。

在这场看不见硝烟的战争中,我们期待能与您一同前行,成为您安全攻防的得力助手,为您的职责保驾护航!

往期推荐

01

数字安全写入顶层规划,360数字安全中国方案成果初现

点击阅读

02

ISC2023周鸿祎发布战略级产品360安全云,首提安全即服务

点击阅读

03

备战攻防演练,如何快速获得360安全云“超能力”?

点击阅读

04

三年内攻防演练实战总结,200+必修高危漏洞清单

点击阅读


文章来源: https://mp.weixin.qq.com/s?__biz=MzA4MTg0MDQ4Nw==&mid=2247564420&idx=1&sn=27d49ed35e2b5f65b387b60ede2dd8dc&chksm=9f8d6c8ca8fae59a17e6ecf62b1462ae4018f687d90838abaa05a6c9142d0f5b21134a153245&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh