跳到主要內容

從攻守日誌看網絡江湖的快意恩仇

網站內容來源http://server.it168.com/

從攻守日誌看網絡江湖的快意恩仇

2019-04-18 16:00    原創  作者: 綠盟科技 編輯:
0購買

  網絡江湖門派眾多,路由派、交換派、無線派、網關派…,其中紅方和藍方兩派特立獨行,不為爭奪霸主之位,只為了切磋攻防技藝,常常開展紅藍對決。藍方以控制業務、盜取機密信息為目標,用最接近真正APT的攻擊方式,挑戰紅方最真實的網絡防護能力。紅方則需要通過分析網絡流量還原藍方攻擊鏈,雙方在確保業務平穩運行的前提下,以企業真實網絡環境開展實兵對決。


  小生不才,偶入江湖一樓,目睹紅藍兩派刀光劍影,你來我往,好不快哉。


  各路招式匆匆記錄在冊,若他日參與其中,或攻或守,豈不是能輕車熟路?


  藍:顧盼間乾坤倒轉


  特殊弱口令


  藍方某小隊通過對收集的信息進行分析,發現多個目標系統存在暴力破解威脅,結合以姓名作為用戶名的系統特性,較多公司員工使用公司名稱及其變形作為密碼的習慣,編寫弱口令字典並成功爆破得到約20個賬號。憑藉這些賬號,逐一登錄多個內網目標,獲取到多份敏感數據,並利用這些賬號得到多個Web系統的管理員權限。


  賬號劫持


  在攻擊時藍方發現C系統版本老舊,存在一個遠程代碼執行漏洞。利用這個漏洞藍隊成功寫入了一句話木馬,分析文件時又發現該系統存在弱口令賬號,利用弱口令成功切換賬號並完成提權操作,最終順利拿下服務器,為了防止權限丟失,還為root賬號添加了公鑰以備不時之需。


  但藍方並沒有因為拿下系統權限而減弱攻勢,而是利用其作為跳板做進一步的攻擊。C系統存在一個登錄頁面,藍方在Web登錄頁面中添加了Javascript代碼,使每個用戶通過Web登錄時將用戶名、密碼發送給攻擊者,利用了C系統登錄劫持,藍方嗅探到多個內網賬號密碼。成功登錄大量系統,其中包括核心繫統,從中發現了大量核心數據和資源管理賬號密碼。


  虛機克隆


  藍方對賬號劫持中獲取的賬戶繼續分析,發現部分賬號在某些系統具有較高權限。藍方使用某獲取的賬號登錄內部倉庫管理業務。通過分析發現該平台可以基於快照創建虛擬機。藍方一頓操作刀光劍影,使用修改后的管理員密碼登陸了克隆G系統獲取到該系統管理的所有倉庫。




  當然,藍方的成果遠不止這些,從本次對抗的結果來看,藍方收穫頗豐,他們以千姿百態的攻擊繞過方式,成功攻下六個業務系統不同級別的權限和大量的敏感數據。


  紅:籌謀間瞭然於心


  雖然藍隊攻勢兇猛,但紅方早有防備,提前對安全問題的系統進行了整改和防護,對業務系統進行升級和部署基礎防護設備外,還主動對業務系統發起了檢查,包括:漏洞掃描、後門檢測、弱口令檢測和環境準備。


  在此次紅藍對抗中,紅方監測到藍方三個小分隊:Webshell狂魔、爆破狂魔、木馬狂魔發起的133次攻擊事件,紅方也成功利用各團隊上報的攻擊事件還原了藍方的多條攻擊鏈。


  攻擊鏈還原1:對C系統的攻擊還原


  紅方成員分析了平台產生的大量C系統攻擊告警,包括Webshell後門訪問、PHP代碼執行漏洞、跨站腳本攻擊等事件,最終將攻擊者定位到了藍方花無缺,他以C系統的某文件作為突破口,利用PHP代碼執行漏洞執行phpinfo()函數,隨後結合遠程代碼執行漏洞和SQL注入漏洞成功寫入Webshell,通過andSword工具成功進行Webshell入侵。與此同時,紅方發現藍方成員張無忌也對C系統發起了攻擊,攻擊方法包括:木馬後門訪問、RCE漏洞攻擊、暴力破解、任意文件上傳等,並利用暴力破解得到多個賬號密碼。



  攻擊鏈還原2:從攻擊者角度進行攻擊還原


  多個平台產生了對B系統和F系統的攻擊告警日誌,經分析發現這些攻擊均來自兩個固定的攻擊者。其中,紅方通過TAM記錄的日誌發現藍方成員張無忌和周芷若向B系統發起了大量的HTTP請求,從記錄的HTTP訪問日中發現提交的內容極為相似,只變換了用戶名和密碼,據此可確認為針對B系統的暴力破解攻擊;同時,還通過分析HTTP響應內容和響應長度可以確認這兩位攻擊者成功爆破並得到多個賬號密碼,並利用獲取到的賬號成功登錄了C系統和F系統,因為這兩名攻擊者習慣用暴力破解的方式進行攻擊,所以,紅方封二位為爆破狂魔。



  攻擊鏈3:B系統攻擊還原


  次日,多平台檢測到E系統遭受攻擊,通過日誌分析最終鎖定攻擊者為藍方成員虛竹。鎖定攻擊者后根據源IP發現,該攻擊者在當天便已經對E系統發起過XSS攻擊,而告警則是藍方花無缺利用了E系統的任意文件上傳漏洞上傳了文件名為s.cgi的Webshell文件,通過分析還發現該Webshell的連接密碼為fh198,在shell中存在ls/pwd等操作命令,但通過分析HTTP訪問日誌發現,攻擊者並未對Webshell成功訪問。此外,通過日誌還發現藍方成員虛竹還對系統多個系統發起了攻擊,其攻擊方法多以上傳shell為主。



  從敵人破綻中反擊


  進攻無論怎樣犀利,反擊總會到來。紅方也並非完全採用被動的方式進行攻擊監測,也採用了主動出擊的方式來發現更多的攻擊。他們通過已掌握到的信息成功抓取到藍方成員段譽的賬號,並利用其賬號登錄郵箱向藍方成員發送了釣魚郵件,引誘藍方入網,但藍方很快發現自己身份已經暴露,採取積極措施后成功避免了被紅方所利用。


  鮮衣怒馬,逐鹿江湖,知己知彼,攻守自如。兩方通過此次對抗,深入發現、整改企業內外網網絡資產和業務數據深層次的安全隱患,整合內部安全威脅監測發現能力、應急處置能力和安全防護能力,此役之後,雙方將採取措施提高企業安全防護管理,完善企業安全防護技術體系。綠盟科技可為企業客戶提供紅藍對抗服務,整合攻防能力、設備防護能力以及平台運營能力,為企業安全保駕護航。


網站內容來源http://safe.it168.com/

【精選推薦文章】



智慧手機時代的來臨,RWD網頁設計已成為網頁設計推薦首選



想知道網站建置網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計後台網頁設計



帶您來看台北網站建置套版網頁設計台北網站改版設計台北RWD響應式網頁設計,各種案例分享



廣告預算用在刀口上,網站設計公司幫您達到更多曝光效益



Orignal From: 從攻守日誌看網絡江湖的快意恩仇

留言

這個網誌中的熱門文章

有了四步解題法模板,再也不害怕動態規劃!(看不懂算我輸)

導言 動態規劃問題一直是算法面試當中的重點和難點,並且動態規劃這種通過空間換取時間的算法思想在實際的工作中也會被頻繁用到,這篇文章的目的主要是解釋清楚 什麼是動態規劃 ,還有就是面對一道動態規劃問題,一般的 思考步驟 以及其中的注意事項等等,最後通過幾道題目將理論和實踐結合。 什麼是動態規劃 如果你還沒有聽說過動態規劃,或者僅僅只有耳聞,或許你可以看看 Quora 上面的這個 回答 。 How to explain dynamic 用一句話解釋動態規劃就是 " 記住你之前做過的事 ",如果更準確些,其實是 " 記住你之前得到的答案 "。 我舉個大家工作中經常遇到的例子。 在軟件開發中,大家經常會遇到一些系統配置的問題,配置不對,系統就會報錯,這個時候一般都會去 Google 或者是查閱相關的文檔,花了一定的時間將配置修改好。 過了一段時間,去到另一個系統,遇到類似的問題,這個時候已經記不清之前修改過的配置文件長什麼樣,這個時候有兩種方案,一種方案還是去 Google 或者查閱文檔,另一種方案是借鑒之前修改過的配置,第一種做法其實是萬金油,因為你遇到的任何問題其實都可以去 Google,去查閱相關文件找答案,但是這會花費一定的時間,相比之下,第二種方案肯定會更加地節約時間,但是這個方案是有條件的,條件如下: 之前的問題和當前的問題有着關聯性,換句話說,之前問題得到的答案可以幫助解決當前問題 需要記錄之前問題的答案 當然在這個例子中,可以看到的是,上面這兩個條件均滿足,大可去到之前配置過的文件中,將配置拷貝過來,然後做些細微的調整即可解決當前問題,節約了大量的時間。 不知道你是否從這些描述中發現,對於一個動態規劃問題,我們只需要從兩個方面考慮,那就是 找出問題之間的聯繫 ,以及 記錄答案 ,這裏的難點其實是找出問題之間的聯繫,記錄答案只是順帶的事情,利用一些簡單的數據結構就可以做到。 概念 上面的解釋如果大家可以理解的話,接    動態規劃 算法是通過拆分問題,定義問題狀態和狀態之間的關係,使得問題能夠以遞推(或者說分治)的方式去解決。它的幾個重要概念如下所述。    階段: 對於一個完整的問題過程,適當的切分為若干個相互聯繫的子問題,每次在求解一個子問題...

我的USB為什麼總是無法識別,到底是為甚麼呢?這真的讓我好困擾

其實判斷軟件硬件問題很簡單,在別的機器或換個系統試試就可以了.有些小的問題不妨先用專門軟件格式化下.還有提醒你WINDOWS下格式化時要選擇FAT,不要選FAT32。 倘若插入後,在右下角彈出電腦正在嘗試連接此USB設備的一些信息,有時會彈出對話框讓用戶選擇,有些用戶還沒看清就點了否,或者因為電腦一些初始的設置問題,禁止了USB的一些功能。解決辦法:右鍵點"我的電腦",選"屬性"--"硬件"--"驅動器簽名",在此選擇"忽略",點"確定"。然後重新插上usb,還是不連的話,再右鍵點"我的電腦"--"屬性"--"硬件"--"設備管理器",從中找到"通用串行總線控制器",右鍵,然後"掃描檢測硬件改動"。如果都不行那就是USB識別程序或U盤的問題從控制面板進入添加或刪除硬件將所有USB設備都刪除,重新安裝需要使用的USB設備驅動程序,重新啟動電腦 USB CONNECTOR   USB CONNECTOR  USB CONNECTOR Orignal From: 我的USB為什麼總是無法識別,到底是為甚麼呢?這真的讓我好困擾

為何 Amazon 併購 Oracle 的可能性很大 ?

  2019 年 9 月份 Trefis 團隊建議《Trefis 建議:谷歌可以斥資 90 億美元收購 Nutanix》,最近又建議亞馬遜收購 Oracle。此文是其和《福布斯》雜誌的 Great Speculations 合作撰寫。   根據 Trefis 分析,亞馬遜併購 Oracle 有望帶來巨大的價值。雖然這個想法聽起來很雄心勃勃,但是為了使自己處於雲技術食物鏈的頂端,Oracle 可能是亞馬遜有史以來最好的收購對象。我們詳細說明為什麼亞馬遜可能會收購 Oracle,還在交互式儀錶板中估計了潛在交易的價值。我們的估計基於 Oracle 的獨立價值以及它作為與亞馬遜合併后的實體中一部分而具有的價值。    為何我們認為亞馬遜會收購 Oracle?      兩家公司的概況: 亞馬遜可能是在 2000 年代中期第一家打造公共雲生態系統的供應商,但 Oracle 從事數據庫業務已有近 40 年的歷史。 AWS 的想法是可以將基礎設施出租給希望存儲和計算資源方面減少費用的客戶。根據 Trefis 的估計,AWS 的企業價值高達 4930 億美元,EV/EBITDA 是 27 倍(2020 年 EBITDA 為 180 億美元)。 Oracle 因第一代雲產品失敗而很晚進入雲市場,該公司隨後在開發方面投入大量資金,旨在向市場推出第二代雲。根據 Trefis 的估計,Oracle 的企業價值應為 2510 億美元,EV/EBITDA 是 12.7 倍(2020 年 EBITDA 為 200 億美元)。 AWS 的方法是創建產品,然後讓用戶採用它。Oracle 已經長期擁有這樣的用戶群,卻無法滿足 AWS 能夠滿足的要求。結果是,儘管 Oracle 運行着全球近 50% 的數據庫,但如今 AWS 在公共雲市場的份額超過 40%,而 Oracle 甚至沒有躋身前五名。   理由1:客戶將獲得第二代架構的安全性和 AWS 的客戶服務,因而導致差異化產品與競爭。 由於市場上面臨微軟 Azure(已成為微軟 B2B 和 B2C 產品的底層結構)、谷歌雲(迎來新的掌門人)和 IBM 雲產品(收購 Red Hat 之後)的競爭,AWS 的先行優勢如今可能在減弱。 對老牌雲領導企業構成不利的另一個因素是,原本可以遷移到...