文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

安全 | 攻击欺骗技术在护网行动的应用

2024-12-03 07:24

关注

攻击欺骗系统演进历史

我们要想了解如何应用攻击欺骗技术到护网当中,我们就需要了解攻击欺骗产品的演进路线。

早在2014年、gartner自适应安全架构进化中提到了-防御矩阵中包含了诱导攻击者。

转移攻击者:简单来说,该领域功能可是企业在黑客攻防中获得时间上的非对称优势,通过 多种技术使攻击者难以定位真正的系统核心以及可利用漏洞,以及隐藏\混淆系统接口\信息(如创建虚假系统、漏洞和信息)。

例如,被 Juniper 网络收购的 Mykonos 科技可以创建一个无漏洞的应用层镜像,随后提供一个活跃目标的蜜罐。Unisys Stealth 可以将网络系统隐藏,而 CSG's invotas 解决方案整合了丰富多样的偏离技术。虽然隐藏式安全并不能根本性解决问题,这种方式也视作一种可分层的、深层防御策略。

Mykonos Web能够阻止他们破坏关键信息,通过虚假漏洞耗费攻击者时间,并提供有价值情报阻挡潜在攻击

自左向右进行产品介绍:

(1) 2016年是国外攻击欺骗产品的元年,自适应安全架构的理念,从积极防御已经转变成,把黑客放进来,让你留下入侵的痕迹,溯源你,反制你,这样更有效果。

(2) 2018年是国内攻击欺骗产品的元年,国内涌现出一批攻击欺骗厂商,针对于内网蜜罐系统,最具代表性有默安科技的幻阵系统;针对公网最具代表性的产品360netlab团队的Anglerfish。可以捕捉0day。这期间的蜜罐、密网技术更成熟,包括可模拟Windows、Linux等操作系统,同时添加了设备指纹功能帮助溯源。也有一些新兴的云厂商开始尝试在公有云上使用原生容器部署蜜罐系统。用户使用反馈也不错。

(3) 2020年是攻击欺骗产品在护网行动中深度实践的一年,这期间的蜜罐系统有了质的飞跃,开始使用容器平台(k8s)部署了,也可以通过多云容器管理平台部署到世界上的任何一个角落。为了更好的隔离也使用了原生Pod等容器技术。

护网行动防守方的挑战与应对之策

护网行动中的技术挑战:

我们如何应对?

0day捕获蜜罐,存储所有在主机上socket-process-file信息上传到clickhouse,存储,分析。

Nday漏洞模拟:

远程代码执行:

(1)Apache Solr XXE & RCE 漏洞(CVE-2017-12629)

(2)Apache Solr DataImportHandler远程命令执行漏洞(CVE-2019-0193)

(3)Elasticsearch Groovy 远程命令执行(CVE-2015-1427)

(4)Jenkins 远程代码执行(CVE-2018-1000861, CVE-2019-1003005 and CVE-2019-1003029)

(5)Zabbix API JSON-RPC 远程命令执行漏洞

(6)WordPress 远程代码执行漏洞

(7)ThinkPHP 5.0.x 远程代码执行漏洞

(8)Supervisord 远程代码执行漏洞(CVE-2017-11610)

(9)SaltStack 身份验证绕过漏洞(CVE-2020-11651)和目录遍历漏洞(CVE-2020-11652)

(10)Spring Data REST 远程代码执行漏洞(CVE-2017-8046)

(11)Spring Data Commons 远程命令执行漏洞(CVE-2018-1273)

(12)Struts2 远程命令执行漏洞(053 、015、013、007)

(13)泛微OA BSH 远程代码执行漏洞

未授权访问:

(1)Redis 弱密码

(2)MongoDB未授权或弱口令

(3)Memcached未授权访问或弱口令

(4)phpMyAdmin 存在弱口令

(5)Zabbix对外开放或弱口令

(6)Docker(Swarm) api 未授权访问漏洞

(7)Kubernetes API 未授权访问

(8)Jenkins 未授权访问

(9)Kibana 未授权访问

(10)Hadoop YARN ResourceManager 未授权访问

(11)Harbor 未授权创建管理员漏洞(CVE-2019-16097)[版本检测]

(12)Spark Master Web UI 未授权访问漏洞

Java反序列化:

(1)Java RMI 反序列化漏洞

(2)JBoss readonly Java 反序列化漏洞(CVE-2017-12149)

(3)Jenkins 反序列化远程代码执行漏洞(CVE-2017-1000353)

(4)WebLogic XMLDecoer Java 反序列化漏洞

(5)WebLogic T3 协议反序列化漏洞(CVE-2016-0638、CVE-2016-3510、CVE-2017-3248)

(6)WebLogic cve-2019-2725/cve-2019-2729 反序列化远程命令执行漏洞

(7)Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645)

(8)Apache Shiro 1.2.4 反序列化远程代码执行漏洞

(9)fastjson 反序列化漏洞

文件读取/上传:

(1)Confluence 任意文件读取漏洞

(2)用友NC SQL注入漏洞

(3)Apache Tomcat 文件包含漏洞(CVE-2020-1938)

(4)Weblogic 任意文件上传漏洞(CVE-2018-2894)

SQL注入:

(1)Apache Solr Velocity模板注入

(2)Apache APISIX Admin API 默认Token漏洞(CVE-2020-13945)

(3)Zabbix jsrpc.php SQL注入漏洞

(4)Zabbix latest.php SQL注入漏洞

(5)泛微OA e-cology SQL注入漏洞

内网外网部署中高交互蜜罐,内网需要部署漏洞靶标。加快黑客入侵速度,可获取黑客payload溯源。下面做一下定义:

业务赋能场景

(1) 在公有云或者专有云internet区部署中高交互蜜罐、蜜网系统。

在专有云中,建议通过k8s方式部署,可以安全的采集基础数据,包括Pod中运行的进程信息、DNS访问信息、可通过Fluentd-elasticsearch对接所有日志。

(2) 设置云蜜网,使用WAF重定向能力把恶意数据引流到云蜜网中。

(3) 通过EDR获取详细蜜罐基础数据,防止0day入侵后,有据可查。

对存在问题蜜罐数据采集。

(4) 溯源

在wordpress、金蝶-U9、泛微OA等web应用中部署Jsonp探针,获取社交网站信息、浏览器指纹,过去30天行为。联动威胁情报处置,设置webhook,可通知钉钉、飞书、微信。发生攻击可及时发现。

攻击欺骗技术未来规划

能想到的:引流部分增加AI识别恶意流量重定向,快速克隆业务系统,深度设备指纹技术。但是更重要的是HW的防守方产品用的顺手。

 

来源:嘶吼网内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯