重拳出击:抗击0day及未知威胁 – 作者:黑豹cyd0

一、故事背景

最近**时期,各路神仙大表哥各显神通,各种操作让人眼花缭乱,不得不说是大写的佩服。

其中,加密流量被各种红队喜爱,其中尤其是“冰蝎V3.0”以及哥斯拉Godzilla。目前所见的网上分析文章及解决方案,都是基于流量来做,而且加密流量只需要做微小的改动,检测方式就会失效,并没有一个有效的检测手段。

新的攻击手法层出不穷,市面上主流的安全检测软件及设备对此完全没有检测能力,往往等到内网沦陷了,才能做出一些被动的响应。那么,面对0day及其未知威胁,难道防守方真的只能坐以待毙吗?

二、工具介绍

  • 中国菜刀

这个不用介绍了吧,大名鼎鼎。

  • 冰蝎:

演练中,第一代webshell管理工具“菜刀”的攻击流量特征明显,容易被安全设备检测到,攻击方越来越少使用,加密webshell正变得越来越流行,由于流量加密,传统的WAF、WebIDS设备难以检测,给威胁监控带来较大挑战。这其中最出名就是“冰蝎”,“冰蝎”是一款动态二进制加密网站管理客户端,演练中给防守方造成很大困扰。

  • 哥斯拉:

**期间,各大厂商的waf不断,在静态查杀、流量通信等方面对webshell进行拦截,众红队急需一款优秀的权限管理工具,冰蝎3.0的发布可能缓解了流量加密的困境,但是冰蝎3.0的bug众多,很多朋友甚至连不上冰蝎的shell,于是某团队决定公开他所开发的一款shell权限管理工具,名为“哥斯拉”。

###

###

其中的一些特性如下:

(1)冰蝎,哥斯拉全部类型的shell均过市面所有静态查杀。

(2)冰蝎,哥斯拉流量加密过市面全部流量waf,nids等流量感知设备。

市面上目前的流量分析,waf,hids等,要能检测依赖这种工具的攻击,必须更新规则,这样就带来了攻防的极大不对称,往往内网都被打穿了,才去亡羊补牢。

三、攻击测试

1.没有安全拦截

本地搭建了一个小型测试环境,模拟没有任何安全拦截的场景。

首先出场的是如雷贯耳的菜刀选手。用菜刀连接webshell如图:

图片[1]-重拳出击:抗击0day及未知威胁 – 作者:黑豹cyd0-安全小百科

其次是大名鼎鼎冰蝎选手。用冰蝎v3.0连接如图:

图片[2]-重拳出击:抗击0day及未知威胁 – 作者:黑豹cyd0-安全小百科

最后锋芒毕露的哥斯拉选手。用哥斯拉连接如图:

图片[3]-重拳出击:抗击0day及未知威胁 – 作者:黑豹cyd0-安全小百科

该轮比拼中,三位选手都毫无悬念的拿到了通关资格。

2.有安全拦截

下一轮比赛即将开始,难度也极大提升。本次模拟中,将安装某知名厂商的最新版本waf软件,进行模拟测试。

还是先用菜刀连接,如图:

图片[4]-重拳出击:抗击0day及未知威胁 – 作者:黑豹cyd0-安全小百科

图片[5]-重拳出击:抗击0day及未知威胁 – 作者:黑豹cyd0-安全小百科

至此,菜刀选手已经被淘汰出局,很明显,传统的webshell管控方式的特征已经能被waf等安全设备识别拦截。

然后用冰蝎进行连接,如图:

图片[6]-重拳出击:抗击0day及未知威胁 – 作者:黑豹cyd0-安全小百科

很顺利的就绕过该waf,毫无难度。

最后用哥斯拉进行连接,如图:

图片[7]-重拳出击:抗击0day及未知威胁 – 作者:黑豹cyd0-安全小百科

毫无疑问的,最新的waf对哥斯拉也是完成没有检测拦截作用。

四、部署幻视对抗攻击

至此,我们可以总结出一点,新的攻击手法层出不穷,市面上主流的安全检测软件及设备对此完全没有检测能力。那面对0day及其未知威胁,防守方只能坐以待毙吗?当然不是。

江苏创宇盾研发的幻视-入侵感知系统,正是基于区块链与AI的下一代欺骗防御平台,可以有效检测各种已经及未知威胁,并进行攻击反溯源,以此来改变功防不对称的局面。

下面,将根据实践结果,来介绍幻视对此类软件的检测效果。

######

部署幻视前的效果:一旦攻击者进入内网,可以看到资产完全暴露给攻击者,内网这块安全设备本来就少,攻击者在里面,基本就是放飞自我,为所欲为。

图片[8]-重拳出击:抗击0day及未知威胁 – 作者:黑豹cyd0-安全小百科

部署幻视后的效果:幻视独创的全息诱捕及诱捕节点,并提出国内领先的下一代欺骗防御理念,赋予其自我学习,自我模拟,自我仿真的学习能力,可以跨网段、少资源地动态虚拟出千千万万个和内网资产仿真的系统,以此来迷惑和检测攻击。

图片[9]-重拳出击:抗击0day及未知威胁 – 作者:黑豹cyd0-安全小百科

五、幻视应对未知威胁检测实践

(1)简单介绍流程

(作为防守方)首先进入幻视管理界面

图片[10]-重拳出击:抗击0day及未知威胁 – 作者:黑豹cyd0-安全小百科

创建一个虚拟仿真沙箱

图片[11]-重拳出击:抗击0day及未知威胁 – 作者:黑豹cyd0-安全小百科

查看沙箱状态

图片[12]-重拳出击:抗击0day及未知威胁 – 作者:黑豹cyd0-安全小百科

访问沙箱界面,高交互仿真沙箱,完成模拟真实业务。

图片[13]-重拳出击:抗击0day及未知威胁 – 作者:黑豹cyd0-安全小百科

(作为攻击方)攻击者攻陷该系统,进行一系列眼花缭乱且了不得的操作后,获取了该系统的webshell权限。

图片[14]-重拳出击:抗击0day及未知威胁 – 作者:黑豹cyd0-安全小百科

尝试用冰蝎和哥斯拉连接(这里以哥斯拉做测试),没办法拦截我就不拦了。

图片[15]-重拳出击:抗击0day及未知威胁 – 作者:黑豹cyd0-安全小百科图片[16]-重拳出击:抗击0day及未知威胁 – 作者:黑豹cyd0-安全小百科

到这步,该攻击者估计心中大喜“hahhh,在我的技术面前颤抖吧,对于我这么帅气又nb的黑阔,胜利,理所当然…haha(以下省略1w字内心os)”

(2)“幻视”威胁记录

然而,你的一举一动,已被幻视完全记录。

图片[17]-重拳出击:抗击0day及未知威胁 – 作者:黑豹cyd0-安全小百科

点击视频回放,如图:

图片[18]-重拳出击:抗击0day及未知威胁 – 作者:黑豹cyd0-安全小百科

图片[19]-重拳出击:抗击0day及未知威胁 – 作者:黑豹cyd0-安全小百科

该攻击者的所有操作,已经完全被记录,“高清1080P警告.avi” –。

当然,还有更惊喜的,攻击者整个都被记录下来进行全方位的分析。

图片[20]-重拳出击:抗击0day及未知威胁 – 作者:黑豹cyd0-安全小百科

图片[21]-重拳出击:抗击0day及未知威胁 – 作者:黑豹cyd0-安全小百科

六、总结

资产是信息安全的基本。但对于潜在的未知威胁及APT攻击,主流的安全解决方案显得总是有些乏力,资产受到的威胁防不胜防。只有化被动为主动,才能在攻防对抗及安全防护中,出奇制胜。

尤其是现在很多0day攻击和未知威胁完全没办法防范,必须得重拳出击,用“幻视”这样的设备对攻击者进行诱捕,这样,才能最大程度地保证资产的安全性。

来源:freebuf.com 2020-08-19 17:00:41 by: 黑豹cyd0

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论