Part1 前言
大家好,我是ABC_123。作为了一个打了8年红队和多年国护的老兵,之前在qax时期和团队一起有一次国护零失分防守经历,于是也分享一下蓝队防守经验。ABC_123专门研究了以前留下来的资料,结合现有的一些新的防护手段和思路,把这些宝贵的思路和经验以连载的形式分享给大家,对我自己也是一个很大的提高。对比下来,红队的攻击思路都是不存在争议的,而蓝队防守的一些观点会存在很多的讨论空间。
注:前两篇文章是《第93篇:记一次国护零失分的防守经验总结(上篇)》、《第94篇:记一次国护零失分的防守经验总结(中篇)》中。
注:“希潭实验室”公众号作为自媒体,会一直保持中立原则,未与任何公司绑定,在文章中也不会评论任何厂商的安全设备的好坏,所以关于设备的选择需要大家自己斟酌,适合自己的就是最好的。
Part2 技术研究过程
蜜罐环绕靶标的“围点打援”
对于靶标的防护一般是重中之重,如果攻击者通过外围打点或者社工钓鱼等手段突破了网络边界,经过一系列内网横向,最终打到了靶标段,已经开始对靶标进行探测。在这种情况下,已经说明整个安全体系已经被突破,外网的WAF、主机的终端防护、各vlan间的流量监控等等,已经阻挡不了攻击者的步伐。
为了应对这种情况,我们当时设计了后来被证明非常可行的思路,梳理了攻击者可能拿下靶标的攻击路径,在每一条攻击路径的重要节点放置蜜罐;在靶标所处的C段,围绕靶标放置很多蜜罐。在攻击者尝试通过内网横向拿下靶标的过程中,蜜罐的告警可以及时反应攻击者的内网横向进程,快速定位攻击者在内网的源头IP。一旦蜜罐发生告警,及时将源IP主机下线,进行应急处置,相当于打掉了攻击队的一个内网据点,来一个打掉一个。
优点:笔者在以往参与红队实战演练过程中,遇到过这种情况:在攻打靶标的时候,由于靶标系统完全是蜜罐围绕起来的一个孤岛,这写蜜罐几乎是攻下靶标的必经之路。我们手中的内网的几个关键据点或者跳板机,都因攻打靶标的过程中全部掉线,对我们造成了非常大的困扰,也间接证明了这个方法的可行性。
注:这种策略防不了两种情况:
1、集权系统失陷:就是攻击者进入内网后,直接通过0day拿下堡垒机系统权限或者集权设备权限,或者通过Nday漏洞/NTLM中继等方法拿下域控权限,最终导致内网关键业务系统全部沦陷,从中翻到靶标系统,不用经过蜜罐,直连靶标系统的情况。
2、靶标暴露公网:有些单位上报靶标资产,但其靶标暴露在公网上,相当于直接暴露给攻击队员,对靶标的攻击路径也就不需要经过蜜罐。这种情况下,攻击队员可以从各种渠道收集源码,审计出一个0day,可以直接将目标单位打穿出局。
不同vlan内部署蜜罐
一般来讲,比较建议在内网的不同vlan间都部署蜜罐设备,因为防守策略一定是多重的,一旦一些防护被绕过或者没有被检测到,蜜罐就成了坚守岗位的小哨兵,蜜罐的告警也可能是最后一道防线。
对于这种策略,蜜罐仿真度要高,可以在蜜罐里放置一些脱敏的真实数据,提高其可信度诱捕攻击队员;外网可以部署一些办公蜜罐,内网可以部署集权系统蜜罐、靶标系统蜜罐;在内网主机上,也可以伪造一些高危的端口,一两个端口足够,伪造端口太多了,反而容易被攻击者发现异常;这些端口可以进行流量转发,转发到内网的蜜罐系统,这些可以给攻击者带来不小的阻挠。
这里需要注意的是,蜜罐放置在外网,还是要谨慎一些,这里有多个原因:
1、二级域名问题:蜜罐放在二级域名,容易出现一些风险:被境外组织误以为是真实网站,直接植入一些政治敏感页面,会造成甲方客户说不清道不明。
2、虚拟机逃逸问题:部分蜜罐系统可能会是docker小集群,因此需要考虑到虚拟机逃逸0day漏洞的情况。网络隔离策略一定要做好,目前一些国内的高级红队,存在多个虚拟机逃逸0day漏洞,具体影响范围和适用范围不清楚。
3、网络隔离问题:ABC_123之前做红队评估项目,遇到过2、3次蜜罐网络隔离没有做好的情况。拿下蜜罐之后,放置一个fscan内网扫描工具,扫一个大B段,还真能遇到能真实网络的情况。所以红队人员遇到蜜罐的时候,也不要放弃,说不定真有所突破。
红队破解”围点打援”的”围魏救赵”策略
攻防总是相对的,“围点打援”这种策略,也有破解方法,ABC_123在分析国外的APT案例的时候,看到关于这方面的战术。攻击者在内网横向过程中,原本目标是攻下A系统,但是攻击过程已经被监测发现,受害者已经开始应急。于是攻击者故意去攻击B系统,用各种手段使其出现大量的告警及设备日志,造成一种攻击目标是B系统的假象,使应急响应人员消耗大量精力在B系统的防护上,而暗地里却一直在缓慢攻击A系统。
这就像极了在历史课本上讲的军事战争中的故事,A国使用“围点打援”的战术将B国的军队团团围起来,围而不攻,在对B国救援的必经之路上,布置好伏兵和弓箭手,来一个队伍消灭一个队伍;随后B国想出一个策略,将A国的另一支队伍围困起来,导致A国为了救援,放弃围点策略,分出兵力去救援。这就是经典的“围魏救赵”。
Part3 总结
1. 本公众号最近开启了留言功能,大家对文章有什么疑问,可以在留言里写上自己的经验看法,集思广益,我看后都会回复。
公众号专注于网络安全技术分享,包括安全咨询、APT事件分析、红队攻防、蓝队分析、渗透测试、代码审计等,每周一篇,99%原创,敬请关注。
Contact me: 0day123abc#gmail.com
(replace # with @)