网站安全防护

服务咨询热线:

17202014336

渗透测试服务

现场漏洞渗透测试服务的复检怎么做?

当前位置: 首页> 安全研究> 现场漏洞渗透测试服务的复检怎么做?
时间:2021-06-29

  近期,参与的几个机构的渗透测试服务防守方防护方案评价显示,部分防守方对攻击者缺乏正确的认知,攻击者的操作技巧已经相当熟练,不扫描、不落地、不落地、不受干扰。此外还要正确认识对手:在攻防演练中,攻击者并非无所不能,他们面临的问题和防御方一样:时间紧、任务重。因此攻击目标、攻击手法也是有迹可循,知己知彼才能百战百胜。


  一、了解彼此


  进攻方也会讲成本,所以防守方的最佳策略是:做得比其他防守方好一点。更好的含义:在低层次的问题上不犯错误(弱密码、因特网应用远程RCE、管理后台暴露、重要服务器没有打补丁等等)。对那些时间紧迫、任务繁重的防守者来说,建造坚固的防线显然意味着巨大的成本投入,而时间最紧张,所以本文不会面面俱到,只选择值得快速投入的安全措施和大家分享。

渗透测试服务
  攻击手一般:目标明确,步骤明确,成本控制,反探测,反清除,三流分立。


  目的很清楚:攻击者只攻击得分项、必要路径(外网入口、内网立足点),对这些目标采用高等级手段,会隐蔽操作;对非必要路径顺路控制下的服务器,不怕被发现,用起来比较随意,甚至主动制造噪音干扰防守方。


  步态明确:信息采集-控制入口-横向移动-维护权限-目标系统。每个步骤都是经典的操作和教科书般的技巧。


  成本控制:


  1.优先攻击高权限帐号,例如管理员、系统主管帐号;


  2.优先攻击运营/安全人员帐号和终端,这些人往往拥有root服务器帐号、安全设备管理员帐号,可进一步深入控制;


  3.优先考虑攻击集中管制设施,例如域控、中央身份认证系统、终端管理系统,攻破单一系统即获得公司内大部分系统的许可;


  4.优先考虑攻击诸如DNS、DHCP、邮件系统、知识共享平台、oa系统、工作单系统等基础设施;这些系统具有内建的高级权限帐户,或者可以帮助攻击者隐藏轨迹。或者开发Git/SVN之类的源代码管理服务器,通过代码审核发现应用0day漏洞。


  反向检测,反清除:


  1.样本隐藏技术(白利用(带微软签名的程序执行未签名的黑dll),样本不会落地执行(从网上加载样本,只运行在内存中,不跌落盘不引起杀软));


  2.快速扩展(攻击者将攻击包变成自动攻击工具,减少人力投入,快速控制一批有漏洞的服务器);


  3.停止日志外发、日志清理(脚本优先停止公共日志外发工具;同时,还有一个开源自动化工具,用于劫持日志生成的进程,这样系统就不会生成日志;当使用完后删除access.log等日志);


  4.减少扫描,通过分析日志、分析配置文件、管理员源IP等方法,以获得其它计算机IP信息,而不需要扫描。


  5.点击添加图片说明(不超过60字)


  三个分支:


  1.扫描流:用于对内网进行大规模扫描的IP和漏洞,扫描源一般不会引起攻击者的注意,清除时也不会影响到攻击计划,而高水平的攻击者通常使用扫描行为来分散防御方的精力。


  2.数据流:用于大量向外网传送非关键数据的终端或服务器,通常具有因特网权限(终端较多),很少有通过简单的https,sftp方式传输数据的行为或扫描行为。


  3.控制流:接收和传递远控指令的服务器,攻击者最看重的设施,使用起来最谨慎,与远控中心沟通,常用的组件cobaltstrike,empire;有隧道行为,数据传输量很少,会连接一些IP和域名(避免外网封禁)与远控中心通信,常用的组件cobaltstrike,empire;有隧道行为,数据传输量很少,会连接一些IP和域名(避免网络封禁),不使用自签名证书。


  这次攻防实战演习准备阶段,攻击者准备了数十个C2域名。


  二、知己知己主要是了解防守方防守区域内的资产信息,减少暴露面。其原理是:


  1.不用的系统,该下的,该暂停状态。没有使用的功能,该下,该暂停的暂停。(通常情况下,而非战时)


  2.取消取消访问可以限制访问范围内的访问范围。


  3.在使用时,明确功能,双流(数据流和运维流)谁用,有无风险,能否一键处理。


  减少暴露面1.根据资产所属的纬度梳理。


  因特网资产,分行资产,子公司资产,外联公司资产,公共云资产,开发商,外包商。


  以上就是小编帮大家整理的内容,希望能帮助到您,更多请您关注我们的创途安全官网新闻!

标签: 渗透测试服务
上一篇:有哪些关网站安全防护的问题? 下一篇:网站渗透测试服务很重要吗?
最新文章
渗透测试
17202014336
渗透测试
网站安全检测
APP安全检测