青藤|年度大型攻防实战:主机安全阵地深度思考及推演 – 作者:青藤云安全

相信前期看过PCSA发布的《年度大型攻防实战全景:红蓝深度思考及多方联合推演》文章的人,对于攻防实战都会有新的认知。从上述文章中红蓝攻防全景框架、动态推演图,大家都可以发现主机层防线是距离保护对象“神经中枢靶标”最近的,也是最后一道防线。

今天笔者主要谈谈,站在主机层来看,红蓝攻防实战推演是怎么样的?主机层阵地防线主要表现在暴露面收敛和主机层强化控制,如下图所示黑色字体所示阵地。从防守角度看,暴露面收敛,不仅仅是外围网络资产需要做的,主机资产更是要尽可能减少资产暴露面。

主机层红蓝攻防全景推演

主机层红蓝攻防全景推演

对外提供服务的主机、业务组分组信息,以及主机上应用漏洞、数据库漏洞、中间件漏洞、操作系统漏洞等都会成为黑客重点寻找风险薄弱点。规范上线的第三方平台(包括云平台)、关闭不必要的业务、服务、端口等是减少暴露面重要举措,可以极大减少黑客攻击。

很多情况下,由于攻防双方天然的不对等,攻方突破边界防护是不可避免。只要对主机进行深度监测检测、加强安全控制,还是可以及时发现渗透横向移动的异常行为,致使攻击方只能短期进入,也可以通过强大的区域控制策略和手段取得胜利。

攻击方从突破边界到攻陷靶标,主机安全是防御对抗最后一道防线,如何从主机层面减少资产“暴露面”,包括暴露面动态监测、常态化自评估、实时加固等,是减少攻击前提条件。此外,强“区域控制”,包括资产探测、安全加固、事件取证、病毒木马查杀、漏洞检测修补、异常监控、深度检测等,这将关系安全最后一道防线是否可靠。青藤可以协助用户通过全面资产清点、快速风险发现、实时入侵检测,让主机稳定又安全。

01摸清家底,减少主机资产的暴露面

资产是安全防护前提,安全人员只有知道自己要保护什么,才有可能把安全做好。在攻防实战中,“摸清家底”是减少资产暴露的关键。以主机资产为例,在攻防实战中,要能做到以下几点:

①全自动化的资产梳理。实时同步最新资产,减轻安全人员复杂的管理操作。

②让保护对象清晰可见。通过超细粒度识别,外到操作系统,中到应用框架,小到代码组件都能精准发现。

③安全不再落后于运维。部署青藤产品之后,安全部门手里的资产信息是整个公司最全和最准确的。

④尽量减少不必要资产。非业务需要、可有可无、归属不明确、废弃老旧资产等认真梳理及处理。

切片式的资产层次

切片式的资产层次

应用场景示例:新漏洞出现时快速定位受影响的资产

当新漏洞爆发时,青藤资产清点可快速定位受影响的资产。比如当WordPress爆发出新漏洞时,可能既没有漏洞POC也没有漏洞编号。在这种情况下如何快速定位受影响资产呢?通过青藤资产清点可快速查找WordPress资产分布在哪些业务组件里,这些业务组件是谁负责的,就能知道这个漏洞影响范围,也能迅速进行处置。

利用青藤资产清点功能快速定位受新漏洞影响资产

利用青藤资产清点功能快速定位受新漏洞影响资产

02认清风险,提高攻击方的攻击门槛

在攻防实践中,守方最重要事就是比攻方更快、更准发现自身环境中潜在风险,通过快速定位、解决问题,就能提高攻击门槛,有效缩减90%攻击面。青藤的风险发现,能够提供详细的资产信息、风险信息以供分析和响应,能提供以下三大核心价值:

①准确的风险识别,白盒视角的风险发现比黑盒更准确。

基于Agent的漏洞扫描,在准确性上拥有天然优势。传统漏扫产品对资产覆盖的深度和广度不足,导致检测准确率不高。

②极大提升扫描效率,在复杂环境下依然能达到极高的效率。

传统漏扫产品效率低,而基于Agent方式可快速完成全部扫描。因此,一旦出现新的漏洞可在在很短时间内完成检测工作。

③自动关联资产数据,定位相关负责人以及属于何种业务。

在查到某机器上存在某个漏洞之后,可迅速知道谁负责这台机器。

应用场景示例:高危漏洞的补丁识别和关联

当一个漏洞被精准定位后,青藤风险发现产品能够关联分析这个漏洞相关的补丁。例如,风险发现产品通过CVE编号确认所有资产中有13台机器上存在Shellshock漏洞。青藤产品不仅提供详细补丁情况,还能够检测补丁修复后是否会影响其它业务。

青藤通过识别应用,加载SO和进程本身确认是否被其它业务组件调用,来判断补丁修复是否会影响其它业务。因此,在高危漏洞爆发后,青藤产品能快速帮助客户进行补丁识别和关联,并确认打补丁后是否存在风险等。

高危漏洞的补丁识别与关联

高危漏洞的补丁识别与关联

03持续监控,及时检测响应攻击行为

当前安全攻防对抗日趋激烈,单纯指望通过防范和阻止的策略已行不通,必须更加注重检测与响应。企业组织要在已遭受攻击的假定前提下,构建集防御、检测、响应和预防于一体的全新安全防护体系。这从2019年大型攻防实战的规则也能看得出来,不强制要求系统不被入侵,而是强调入侵之后的快速响应能力。

青藤入侵检测,重新定义了检测引擎,通过生成很多内在指标,并且对这些指标进行持续的监控和分析,那无论黑客使用了什么漏洞、工具和方法,都会引起这些指标的变化从而被检测出来。

①实时发现失陷主机:检测“成功的入侵”,抓住重点,提高效率

相比传统IDS,青藤产品报警准确率高,能够让安全的人抓住重点,解决最核心的问题。

②检测未知手段的入侵:通过关系,行为特征透过表象抓住本质

以业务关系为例,一旦黑客入侵就会破坏这些关系,比如A到B之间从来没有连接,但是黑客在内网可能就从A连接到B,这一点就能暴露这个黑客。

③快速的应急响应能力:能够快速收集数据和实时调查,并进行有效处置

通过Agent从机器中获取数据,然后进行持续分析处理数据,将响应时间缩短到最小。

应用场景示例:利用反弹shell功能抓住Web RCE和迅速定位

如下图所示,通过反弹shell的告警邮件来分析进程信息,由此确认对应服务和了解相关漏洞。然后通过日志的审计插件可以获得访问日志详细信息,进而还原出攻击的方法和IP。此外,青藤产品还能够对RCE漏洞执行快速检测。如果将这两个功能组合在一起,几乎可以发现所有基于0Day漏洞的RCE的攻击。

0283d99478944ea4aae011ac5a79770c

04一个场景化真实案例

① 某天快到下班点,青藤的安全驻场人员突然接到产品告警,发现反弹shell和webshell,于是迅速展开排查,确定失陷主机为公司一台文档服务器。

9e60b189e0764a9281756856ad3cb4d1

这里补充说明下,青藤新一代主机入侵检测系统的“反弹shell”功能,可以通过对用户进程行为进行实时监控,结合异常行为识别,可发现进程中非法 Shell 连接操作产生的反弹 Shell行为,能有效感知“0Day”漏洞等利用的行为痕迹,并提供反弹 Shell 的详细进程树。

② 凭借上述产品功能,青藤主机入侵检测系统在该服务器被上传webshell之后,发现反弹shell操作如下:

52749791c1b04f758771e1194ebeaf8d

③ 安全人员使用安全日志、操作审计,检查黑客操作的每一条命令,发现历史记录被黑客清空了,幸好有审计功能,默默的记录下了黑客的每一条操作。

8752d75a44444910b1d1659f0a2cf5c2

安全人员发现黑客先利用系统漏洞进行了提权后,安装修改了一些文件,怀疑是安装rootkit系统后门,之后安全人员使用青藤入侵检测产品“系统后门”功能进行检查,发现了多个系统后门和被篡改的关键位置文件。

aade3cc6695544848f8316ef36337402

④通过分析,发现黑客的入侵路径来源为struts2漏洞入口,黑客上传webshell后进行提权以及安装后门操作。安全人员通过操作审计以及黑客的webshell特征,还原了黑客对主机进行的操作。

⑤ 最后,安全人员协助客户开启了端口蜜罐的功能,针对目前流行的MS17010漏洞开启了445等端口的蜜罐,并将安全人员常用的扫描器的地址加入了白名单,通过大量的部署微蜜罐,来增大内网诱捕黑客的几率。

通过上述分析,我们还原整个安全事件,发现此次事件属于典型的APT入侵攻击事件。首先黑客通过Windows后门进入内网潜伏下来,并在内网漫游找到有Web站点或有漏洞的主机并上传webshell,继而进一步通过webshell实现反弹连接,获取目标主机的shell控制权为下一步攻击做好准备。

上述整个攻击过程可以说做得滴水不漏,环环相扣。面对这种高级别攻击,传统基于规则策略的安全检测产品就形同虚设,黑客可以很轻松绕过。但是青藤新一代主机入侵检测系统可以提供多锚点的检测能力,能够实时、准确地感知入侵事件,发现失陷主机,并提供对入侵事件的响应手段,为系统添加强大的实时监控和响应能力,帮助企业有效预测风险,精准感知威胁,提升响应效率,保障企业安全的最后一公里。

来源:freebuf.com 2020-05-27 16:15:55 by: 青藤云安全

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论