国家HVV行动从2016年到2024年已经是第9年了,HVV行动目的就是保卫国家关键基础设施的网络安全行动,更是一场实战化的网络攻击与防御实战,这些年来红队攻击手段层出不穷,最为典型的就是 0/N Day、弱口令、社工钓鱼等,也极大给国家相关参演单位带来了压力和动力。
我们来从一场网络攻击来分析一下红队的攻击策略,为什么遇到身份威胁检测就不行了?
某大型企业在应用访问入口部署了身份威胁检测技术
检测0 Day攻击
通过web异常访问告警发现HVV漏洞帆软报表ReportServer接口 SQL注入漏洞导致RCE 0day漏洞扫描探测
一键溯源攻击者
发现攻击者疑似使用了0day的漏洞来进行尝试探测,通过第三方情报平台发现此IP也为恶意风险IP
攻击者溯源,通过web异常访问告警发现HVV漏洞帆软报表ReportServer接口 SQL注入漏洞导致RCE 0day漏洞扫描探测,通过平台的IP画像溯源关联,未发现有设备设备、多IP的关联行为,判定为攻击者并未真实访问交互过业务系统,如果攻击者使用此IP进行其他的身份威胁行为,亦可及时检测关联更多的线索。同时第三方威胁情报平台显示此IP为恶意扫描标签,有可能会进行0day威胁漏洞探测。基本可以确认真实0day攻击情况,结果为被平台检测到所有攻击细节,并未拿到任何权限和成功入侵应用系统!上报研判组专家,通知相关协同厂商进行IOC拦截,收工!!!
检测 N Day攻击
泛微-SptmForPortalThumbnail-任意文件读取漏洞告警,通过web攻击日志发现了多个Nday攻击行为
一键溯源攻击
攻击者溯源,通过web异常访问告警发现攻击者使用了多个Nday漏洞如泛微SptmForPortalThumbnail-任意文件读取漏洞、泛微OA E-Cology jqueryFileTree.jsp 目录遍历漏洞、泛微ecology FileDownloadForOutDoc-前台sql注入进行攻击探测行为,检测到了攻击者使用开源java漏洞利用工具IWannaGetAll-v1.3.0.jar,并且进行了很多身份威胁尝试,通过设备画像、Ip画像、黑客攻击画像分析,并未拿到任何权限和成功入侵应用系统!关联结果发现上报研判组专家,通知相关协同厂商进行IOC拦截,收工!!!
抓弱口令攻击
蛮力攻击告警
识别到软件测试工具BurpSuite的访问行为攻击告警(溯源到攻击者1真实身份信息)
一键溯源攻击者
攻击者1:
攻击者1设备画像关联溯源
攻击者1泄露的手机号SG溯源关联
攻击者1,通过设备画像、Ip画像、黑客攻击画像分析关联结果:使用真实Windows终端CPU 12 核,使用鹏博士的海淀和朝阳多个IP地址发起了身份威胁攻击如:尝试猜测账户、尝试密码找回、WEB漏洞扫描、黑客工具探测等等,并且使用了渗透测试工具BurpSuite 等黑客工具尝试进行扫描和漏洞尝试;且在尝试密码找回时暴露了一个真实的手机号码通过SG结果的身份证、手机号、学校、社交信息。通过安全朋友圈打探确实为某海dian区某安全公司的渗透测试工程师无疑,基本可以确认真实攻击情况,结果为被平台检测到所有攻击细节,并未拿到任何权限和成功入侵应用系统!上报研判组专家,通知相关协同厂商进行IOC拦截,收工!!!
攻击者2
攻击者2设备画像关联溯源
攻击者2,通过设备画像、Ip画像、黑客攻击画像分析关联结果:使用真实Windows终端CPU 16 核,使用两个北京的真实IP地址瞬间多次使用代理翻墙技术利用香港、日本、韩国、美国等IP来进行:VPN 翻墙行为、撞库、Nday漏洞扫描、Java黑客攻击工具集、渗透测试Yakit工具及扫描、渗透测试BurpSuite工具及扫描等等手段,主要使用了真实的物理设备来进行工具扫描攻击、多种身份威胁攻击行为。基本可以确认随机出现的多种威胁行为的境外攻击者的国内隐匿真实IP地址和设备画像信息,可以确认为真实攻击,结果为被平台检测到所有攻击细节,并未拿到任何权限和成功入侵应用系统!上报研判组专家,通知相关协同厂商进行IOC拦截,收工!!!
抓自动化工具攻击
检测到Bot工具Selenium攻击告警
检测到渗透测试工具yakit和burpsuite的攻击扫描行为
一键溯源攻击者
攻击者溯源,通过Ip画像、黑客攻击画像分析关联结果:使用自动化工具无头浏览器Selenium和渗透测试工具yakit和burpsuite等不同扫描器来进行自动化工具的攻击,再结合IP画像可以关联出设备画像等等信息。可以判定在尝试使用自动化工具技术来进行攻击,均为智能化验证码、身份威胁的web威胁检测进行了身份威胁检测与响应。可以判定与之前的攻击者一致,利用香港、日本、韩国、美国等IP来进行:VPN 翻墙行为、撞库、Nday漏洞扫描、Java黑客攻击工具集、渗透测试Yakit工具及扫描、渗透测试BurpSuite工具及扫描等等手段,主要使用了真实的物理设备来进行工具扫描攻击、多种身份威胁攻击行为。基本可以确认随机出现的多种威胁行为的境外攻击者的国内隐匿真实IP地址和设备画像信息,可以确认为真实攻击,结果为被平台检测到所有攻击细节,并未拿到任何权限和成功入侵应用系统!上报研判组专家,通知相关协同厂商进行IOC拦截,收工!!!