◆缩小暴露面
不用的系统,该下的下,该暂停的暂停。不用的功能,该下的下,该暂停的暂停。( 平时就应该这样处理,而不是战时,因为开发过程是经常会面临需求变更,所以开发人员会尽可能多的将功能做出来,然后再进行让客户选择,他们有时为了方便,往往将前端的某些功能禁掉,但后端留接口以便应对客户提出的功能变更,他们以为在前端不显示不调用就万事大吉,但这样的化那就埋下了隐患给了攻击者可乘之机)
该取消访问的取消,能限制访问范围的限制访问范围。在用的,搞清楚功能,双流(数据流和运维流)谁用,有没有风险,能否一键处置。
◆按资产所属纬度梳理
互联网资产、分支机构资产、子公司资产、外联公司资产、公有云资产、开发商、外包商。
容易忽视的:公有云资产。因为有的业务部门和分支机构公有云申请都不经过IT部门,上面却放了大量业务数据。
开发商/外包商/供应商的资产。开发商/外包商- -般给甲方外包开发信息系统,开发商/外包商公司内部也会自建Git/SVN等源代码管理服务器,存有已经交付给甲方的信息系统源码(更甚者直接放到互联网上或共享文件上),而开发商/外包商的源码系统管理安全能力和甲方相比可能就差几个量级了。后果就是:通过获得的源码,发现系统应用0day,从而控制甲方已上线信息系统。供应商(原和代理)一般都会有企业系统架构图、 网络架构图。
◆按资产属性梳理
域名、IP、端口、中间件或框架(版本)、开源组件、开放在公网API接口(特别是未下线的老接口)、管理后台、登录URL、认证点、官网首页、其他未被关注资产(微博、微信、DNS注册账户)
※特别关注资产的安全属性:
中间件或框架(版本)
开放在公网API接口(特别是未下线的老接口) :身份认证、数据调用、功能调用
管理后台开放在公网
高危功能(文件上传点、短信验证码、重置密码、文件下载)
远程接入点(VPN)、双因素
特权账户(应用管理特权账户、应用连接账户、系统管理特权账户、可以修改账户权限的账户、备份账户、高管层账户)
要做到识别全面,尽可能让安全属性隐患收敛
◆安全资产管理( S-CMDB )
CMDB设计之初最主要目的是做变更影响分析,S-CMDB关注资产的安全属性,越来越多的企业会建设S-CMDB来加强安全资产管理。其数据来自于五部分:
①CMDB。 基础信息如IP、所属系统、负责人等需要从CMDB中同步过来
②主机上数据。终端和服务器agent ,特别注意细节
③流量。通过流量监听,能发现很多信息,如:未登记IP、管理后台等
④扫描。发现未登记的资产信息,以及资产的漏洞信息等
⑤人工添加。比如每次应急时,将发现的未知资产和资产属性信息不准确的人工更新到S-CMDB中
知己——信息泄漏的排查
◆攻击者一般会搜索如下几类网站搜索目标单位信息
1、学术网站类,如知网Cnki、Google学术、 百度学术;
2、网盘类,如微盘Vdisk、百度网盘、360云盘等;
3、代码托管平台类,如Github、Bitbucket、Gitlib、 Gitee等 ;
4、招投标网站类,自建招投标网站、第三方招投标网站等;
5、文库类,如百度文库、豆丁网、doc88等;
6、社交平台类,如微信群、QQ群、论坛、贴吧等
◆最受攻击者欢迎的文档信息包括以下几类:
1、使用手册:VPN系统、OA系统、邮箱等系统的使用手册,内部的敏感信息可能包含了应用访问地址、默认账号信息等。
2.安装手册:可能存在应用默认口令、硬件设备的内外网地址等
3、交付文档:可能包含了应用配置信息、网络拓扑、网络的配置信息等
◆防历史漏洞泄露
◆防人员信息泄露
知己——漏洞运营
◆漏洞跟踪
建立漏洞情报来源和跟踪机制
情报来源:CNCERT、安全公司、第3三方安全研究机构
情报处置:及时核对、验证和处置,是否启动漏洞应急
Tips :维护一份必修漏洞列表
◆漏洞管理
建立漏洞常态化扫描机制、建立漏洞管理平台、漏洞考核机制
应用漏洞:黑盒测试、白盒测试
系统漏洞:安全资产管理、漏洞修复流程,无法修复漏洞通过其他措施降低风险
互联网侧系统的漏洞优先修复,生产网次之、办公网次之
众测和SRC
Tips :漏洞复盘,-个漏洞就是一个小的红蓝演习
关注点:漏洞排查时间、漏洞修复时间(腾讯公司在百万级服务器进行全网排查所用时间只有42秒,人家就这么强悍!)
知己——安全隔离
◆从实战来看 ,网络层的访问控制被证明是最有效的(攻击者很难绕过去) , 不要相信应用层控制。网络层访问控制属于基础架构安全,这是最有效最重要的,整个安全防护的基础
◆访问控制策略原则 :明细允许,默认拒绝,例外处理
◆从内网去互联网的访问控制
1.办公终端:除个别协议无法限制目的IP外,其余协议全部限制。特殊访问需求,快速开通。有条
件的考虑:终端不能直接访问互联网,需要访问互联网的两种解决方案:另外分配一台上网终端、虚拟浏览器
2、办公服务器:特殊访问需求开通,默认拒绝
3、生产网:生产网终端禁止上互联网、服务器特殊访问需求开通,默认拒绝
◆互联网访问内网 :对互联网提供服务的服务器必须在DMZ,和内网隔离
◆重要系统的访问控制策略
1.基础设施如AD、邮件系统的访问控制
2、别小看基础设施ACL访问控制,这是对抗应用和系统漏洞的最低成本和最有效措施。漏洞层出不穷,唯有ACL访问控制药效持久,强烈推荐
3、终端安全管控、自动化运维系统等集中控制系统后台登录限制访问来源( 优先使用网络访问控制、其次使用系统层限制、搭配使用应用层限制)。
据我所知很多RCE的漏洞可以打穿这种自动化运维系统的限制,因为这些自动化运维系统本质上是在应用层做的权限限制,所以可靠性并不高,最有效就是在交换机,防火墙做访问限制,其次是linux、iptables、windows防火墙等这些系统层做限制
知己——主机防护之AD防护
◆常见AD攻击方式
①SYSVOL 与GPP漏洞
②MS14-068漏洞
③Kerberoast攻击
④内网横移抓取管理员凭证
⑤内网钓鱼与欺骗
⑥用户密码猜解
⑦获取AD数据库文件
⑧MS20-0688漏洞
◆维持权限的姿势
①krbtgt账号与黄金票据
②服务帐号与白银票据
③利用DSRM帐号
④利用SID History属性
⑤利用组策略
⑥利用AdminSDHolder
⑦利用SSP
⑧利用Skeleton Key
⑨利用PasswordChangeNofity
当黑客控制了内网一台机器后,往往会想办法获得域管理员凭证。通过所控制的机器,进一步定位域管理员信息,比较常用的办法是抓本地密码,如果在所控制的机器上没有抓到域管理员密码,黑客会进行横向移动
◆横向移动横向移动的方式 :
1 )获得一台域主机的权限;
2 ) Dump内存获得用户hash ;
3 )通过pass the hash尝试登录其他主机;
4 )续搜集hash并尝试远程登录;
5 )获得域管理员账户hash ,登录域控,最终成功控制整个域;
6 ) CME ( CrackMapExec )工具(自动化完整整个过程)。
一些聪明的攻击者甚至会故意破坏一 些文件导致诸如Office软件不正常,诱使域管理员在该机器上登录,许多红队经常这么玩。
AD防护
◆准备阶段:
重装DC-解决域控已经被控或失陷问题
收集DC的Security日志-检测非正常验证模型
在DC和域服务器配置Sysmon监控-检测域服务器上运行的黑客工具
在域办公终端安装EDR-检测并响应域办公终端上运行的黑客工具
◆加固阶段:
对域控进行流量梳理和网络访问控制-缩小攻击面
对域账号进行权限DACL梳理,加固高权限账号对抗权限提升
域内禁止无限制委派对抗权限提升,凭证提取
从旧到新依次安装DC上的windows补丁-对抗攻击者使用MS14-068 , MS17-010攻击域
从旧到新依次安装Exchange上的windows补丁 -对抗攻击者使用ExchangeSSRF漏洞
在域控上配置LDAP enforce signing-对抗LDAP relay攻击
配置SMB签名-对抗SMB-Relay攻击
关闭域内WPAD服务-对抗LLMNR/NBT Poisoning攻击
最新的CVE- 2020-0688,可以让普通用户获得域管权限
◆检测阶段
●检测敏感共享目录访问:访问了AD服务器的非正常共享目录(非SYSVOL文件夹)
●检测mimikatz- 系列攻击行为
●检测Kerberos弱加密方式:非AES加密方式的Kerberos票据加密请求相当可疑
●检测异常注册表变更和dump : DSRMAdminLogonBehavior
●检测ntdsutil滥用:使用了ntdsutil的敏感参数activate instance ntds ;使用了ntdsutil的
敏感参数set dsrm password
●检测SID history变更:账号加入SID History成功、 失败
●检测lazagne密码提取工具:特征lazagne
攻击者喜欢用的其他工具:
procdump、PsExec、 cain、 Mshta、 cmstp、 QuarkPwDump、 getpass、 gethash、
ntdsdump、Get PassHashes、Wce、 psaattack。
◆被渗透后注意事项
●检测重置krbtgt账号密码
●重置DSRM账号密码
●重置重要服务账号密码
●检查账号SIDHistory属性
●检查组策略配置以及SYSVOL目录权限
●检查AdminSDHolder相关安全账号
暂无评论内容