复盘|攻防实战中面对“谍影重重”,如何出奇制胜?

news2024/12/25 0:49:45

随着“数字孪生”概念的深入人心,数字化转型的进展也是一日千里。与此同时,在网络世界中的攻防对抗热度有增无减,甚至连最顶级的安全团队一不小心也会中招。在攻防演练中发生过好几次这种情况:腾讯安全一线的分析人员在前方为攻击事件、线索提供威胁分析能力支撑,后场的威胁情报产品化团队却被“外围的炮火”所袭扰。

我们整理了2个真实案例作为引子,向各位看官披露攻击者的花招,引以为鉴。

1、定向社群投毒
近期在各类网络安全主题的社群里,大量RT人员秉着“来都来了,一耙子能搂多少是多少”的心态,进行大量以钓鱼远控木马为主的投毒策略。

我们亲历了一次远控木马的投毒事件,当时因为匿名用户投放了名为“2023攻防演练漏洞情报汇总(8月10日).docm”的文档。由于当时各类“攻防演练”主题的文档版本众多,传播热度大,所以一开始群组成员并没太在意,直到晚些时候突然有人发现了文件造成的可疑进程才同步大家,据观察,有不少人中招。

2、在线文档篡改

近期腾讯安全威胁情报中心提供了“在线文档”形式的威胁资讯栏目,旨在第一时间同步每日最新高可疑攻击来源和高风险威胁手段。文档吸引了大批网络安全从业者的同时,也让RT人员看到了潜在的可乘之机。由于我们提前设置了仅可读权限,故RT意图植入木马链接、钓鱼链接的尝试也就被阻挡住了。当然,有部分来访者并不死心,文档每日会收到几次“申请编辑权限”,申请者谎称自己是某些可信角色。对于这种行为,我们自然是不予理会。由于读者群体具有高度的相似性(网络安全行业人群),一旦他们获取权限,后果不堪设想。

除了这些入门级的手段,在一线的攻防对抗中,其实有更多“拳拳到肉”的真实案例,以下我们做一下案例复盘。

实际攻击手法案例分析

腾讯安全科恩实验室作为一线威胁研究团队,在攻防对抗实践中积累了大量的分析经验。本章节,实验室威胁分析团队整理了几个典型攻击技战术手法。

1、利用系统特性的攻击方式

在日常攻击链条中,入侵者经常利用一些编码特性隐藏文件类型,以便于绕过真人对可执行文件的防备心理。

比如利用ROL文件名欺骗方式,诱骗目标人员在无意识点状态下进行点击,造成下载bat文件到本地的结果。在这种情况下,即使文件被撤回,还是会从云端下载到本地。在本地环境中,“.txt”后缀文件单击后,就会被立刻执行。

2、针对供应链的攻击方式

众所周知,WinRAR是一种常用的解压缩工具软件。在近期,有一个历史漏洞在官网公开发布版本更新,过后不久,github上就出现了利用该漏洞的验证程序(poc.py文件)。由于处在部分企业的攻防演练期内,无论是攻击方还是防守方,都会有急于验证漏洞的心理:攻击方希望在快速验证后开发EXP代码,防守方需要快速验证自身资产是否存在对应风险

但这一poc.py文件在实验室分析团队核验后发现,脚本其实是窃密木马加载器。该文件在执行后,主机上的键盘操作会被记录并回传到木马制作者手中,这简直是“螳螂捕蝉,黄雀在后”这一典故在赛博空间中的一次重演。

3、漏洞利用趋势分析

近期在攻防演练中,威胁分析团队发现某用户基数不小的办公软件的应用漏洞被多次爆出,腾讯安全第一时间捕获了在野利用与特征,为用户缓解了大量损失。与此同时,除了文档类型的漏洞,分析团队同样发现,应用组件的漏洞信息也比往年更多

(8月8号以来每天监控漏洞与在野利用的变化趋势)

4、针对工业互联网企业的攻击

今年的攻防演练重点覆盖了工业互联网相关的关键工控基础设施信息安全的范围。在实际对抗案例中,攻击方在对某家大型工业互联网企业的渗透过程中,使用了一系列有行业特色的战术战法,如从某web系统的0day漏洞利用作为突破口,经复杂内网渗透路径控制内部数亿级别的敏感信息,并对目标工业互联网行业的生产模式和业务特点进行快速分析和理解,从而快速定位到目标企业的工控系统,最终完成对目标企业遍布全国多个工厂的MES系统(制造执行系统)的完全控制,可完成对目标工厂MES系统的致瘫攻击,直接危及其工控安全。并最终获得完整的靶标分数。

攻防演练中威胁情报的客户价值

这不是小说,这是刚刚过去的攻防演练中中发生的真实案例。不过这一切都在我们威胁情报TIX的射程范围之内,这次演练中,腾讯安全基于科恩实验室、安全大数据实验室、玄武实验室等国内顶级安全团队能力,在本次攻防演练中提供了丰富的产品应用,以下是一些数据统计:

  • 为超过1700个用户提供了5.6亿次情报查询服务,其中有近百个建立微信群进行贴身情报支撑服务;

  • 发现并确认了超过8万个活跃攻击来源IP,提供超过1400次攻击IP分析与去误报服务;

  • 连续发布14天热点威胁情报、漏洞情报资讯,服务用户近万人次

  • 识别近400个热点高风险漏洞,帮助用户精准定位8500个高危漏洞风险资产;

  • ASM客户发现敏感路径、弱密码等数量23W+;ASM客户发现高危端口敏感服务梳理34W+;。

  • ……

腾讯安全威胁情报能力

腾讯安全对外提供以下维度威胁情报查询和应用,以支撑攻防演练场景各类风险发现的诉求:
1、攻击来源IP分析场景(覆盖全网IPv4地址)在重保和攻防演练中,识别来访IP的攻击方身份是最直接的方式。腾讯安全威胁情报可以提供IP威胁属性查询的功能,提供威胁类型标签,帮助用户识别攻击来源的同时,了解IP来源的其他基础特征信息,如是否是真实用户,来源设备是否为VPS,IDC,VPN,CDN,云服务商,Web服务器。


2、失陷主机检测场景提供新鲜的失陷主机检测功能,识别攻击方所使用的远控服务器地址,具体威胁类型包括APT攻击、蠕虫木马、僵尸网络、勒索软件等。在场景上可以用匹配防火墙、IPS告警等外联访问日志中的目的地址IP(为精确可加端口),用以发现自身内部已经失陷的终端以及相关攻击事件。


3、文件信誉查询场景(百亿级文件深度分析)对于终端,邮件网关发现的可疑文件,如果静态检测未发现可疑行为,可通过提取文件Hash指纹(如MD5),在腾讯安全威胁情报中查询,便可利用已分析的百亿级文件分析报告,对样本进行查询匹配。可提供文件深度分析所得的动态、静态检测结果。具体内容包含黑白判定,风险等级,文件名称,报毒名,相关家族团伙,威胁类型等。


4、社工欺诈检测场景(分钟级情报生产毫秒级检测)在重保、攻防演练等场景下,钓鱼欺诈等社工攻击逐渐增多。最常见的场景便是基钓鱼外联的诱骗模式,腾讯安全提供基于URL的查询接口,可进行实时黑白判定,风险类型识别(如社工欺诈、黄赌毒、虚假销售)以支撑各场景下的钓鱼攻击。


5、攻击面收敛与漏洞风险检测(100%覆盖可见重保漏洞)以外部攻击者的视角,通过多种资产监测、社工对抗技术,协助企业洞察数宇资产的风险暴露面,发现重保漏洞、敏感配置等高风险脆弱性,以便釆取措施缓解威胁和降低风险。

 

腾讯安全威胁情报小程序

腾讯安全SOC+全系产品已全面支持以上威胁情报能力和漏洞情报能力:情报查询社区(tix.qq.com)、威胁情报本地检测引擎(情报SDK)、威胁情报云查接口、威胁情报攻击面管理、NDR御界、NDR天幕、腾讯SOC。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/970711.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

ATSHA204A国产替代新选择:LCSHA204

ATSHA204A是一款用于固件版权保护,防抄板仿克隆的加密芯片。包含多达16个密钥存储区用于安全存储密钥。同时提供OTP区用于存储用户固定信息。因推出时间早以及芯片本身的安全性在中国市场的使用量非常大。 受当前全球经济和大环境的影响造成该芯片供货严重不足&…

基于Python+DenseNet121算法模型实现一个图像分类识别系统案例

目录 介绍在TensorFlow中的应用实战案例最后 一、介绍 DenseNet(Densely Connected Convolutional Networks)是一种卷积神经网络(CNN)架构,2017年由Gao Huang等人提出。该网络的核心思想是密集连接,即每…

正中优配:怎样开通创业板交易权限?

创业板是我国证券商场的一种特别板块,主要面向创业型企业和高科技企业,至今已成为我国股票商场中较为热门的板块之一。关于投资者来说,能够在创业板中买卖不仅可以发掘到更多有潜力的企业,还可能带来更高的收益。那么,…

关于DC电源模块的过流保护功能说明

BOSHIDA 关于DC电源模块的过流保护功能说明 DC电源模块是一种常见的电源供应模块,广泛应用于各种电子设备和系统中。为了确保电源模块的安全和可靠性,通常会设置过流保护功能。 过流保护功能是指当电源模块输出电流超过额定电流时,会自动切…

CountDownLatch原理-(主线程等待子线程结束再执行)

CountDownLatch是共享锁的一种实现,它默认构造 AQS 的 state 值为 count。当线程使用countDown方法时,其实使用了tryReleaseShared方法以CAS的操作来减少state,直至state为0就代表所有的线程都调用了countDown方法。当调用await方法的时候,如果state不为0&#xff0…

zabbix监控实战

1 zabbix监控平台部署 更改的密码为HLThlt123 创建zabbix数据库 配置zabbix server 配置zabbix前端 启动服务 访问 更改成中文 修改字体文件 2 zabbix添加监控节点 在客户端 在server端 手动添加 自动添加 03 zabbix api 自动注册 停掉自动发现 删掉server3 自动注册 3 zab…

通讯软件015——分分钟学会Kepware OPC HDA Server仿真配置

本文介绍如何使Kepware软件仿真OPC HAD Server配置。相关软件可登录网信智汇(wangxinzhihui.com)下载。 1、创建1个数据源:本案例采用“Graybox.Simulator.1”作为数据源。连接OPC Server数据源“Graybox.Simulator.1”。 右键点击“连通性”…

Ubuntu下Python3与Python2相互切换

参考文章:https://blog.csdn.net/Nicolas_shen/article/details/124144931 设置优先级 sudo update-alternatives --install /usr/bin/python python /usr/bin/python2 100 sudo update-alternatives --install /usr/bin/python python /usr/bin/python3 200

day-41 代码随想录算法训练营(19)动态规划 part 03

343.整数拆分 思路: 1.dp存储的是第i个数,拆分之后最大乘积2.dp[i]max(dp[i],max(j*(i-j),j*dp[i-j]));3.初始化:dp[0]dp[1]0,dp[2]1;4.遍历顺序:外层循环 3-n,内层循环 1-i 2.涉及两次取max: dp[i] 表…

【前端】CSS-Flex弹性盒模型布局

目录 一、前言二、Flex布局是什么1、任何一个容器都可以指定为Flex布局2、行内元素也可以使用Flex布局3、Webkit内核的浏览器,必须加上-webkit前缀 三、基本概念四、flex常用的两种属性1、容器属性2、项目属性 五、容器属性1、flex-direction①、定义②、语句1&…

Matlab进阶绘图第27期—水平双向堆叠图

在上一期文章中,分享了Matlab双向堆叠图的绘制方法: 进一步,再来看一下水平双向堆叠图的绘制方法(由于Matlab中未收录水平双向堆叠图的绘制函数,因此需要大家自行设法解决)。 先来看一下成品效果&#xff…

MyBatis关联关系映射详解

前言 在使用MyBatis进行数据库操作时,关联关系映射是一个非常重要的概念。它允许我们在数据库表之间建立关联,并通过对象之间的关系来进行数据查询和操作。本文将详细介绍MyBatis中的关联关系映射,包括一对一、一对多和多对多关系的处理方法…

第七章:敏捷开发工具方法-part1-敏捷开发基础

文章目录 一、Scrum基础概念1.1 传统开发模式与敏捷开发的区别1.2 传统项目管理与敏捷项目管理的区别1.3 敏捷宣言1.4 敏捷开发的特征1、敏捷的方法 二、角色与职责2.1 Scrum Team2.2 角色职责总结2.3、研发阶段概览1、Sprint计划会议2、产品实施阶段3、Sprint评审会议4、Sprin…

深度解析BERT:从理论到Pytorch实战

本文从BERT的基本概念和架构开始,详细讲解了其预训练和微调机制,并通过Python和PyTorch代码示例展示了如何在实际应用中使用这一模型。我们探讨了BERT的核心特点,包括其强大的注意力机制和与其他Transformer架构的差异。 关注TechLead&#x…

Web Components详解-Shadow DOM基础

目录 引言 概念 基本用法 attachShadow函数 mode(模式) delegatesFocus(委托聚焦) Custom ElementsShadow DOM 基本用法 样式及属性隔离 写在最后 相关代码 参考文章 引言 上篇文章的自定义标签中,我们使…

iWatch框架设计

iWatch框架设计 一、项目框架结构设计 1、项目文件介绍 OverSeaProject:是IOS相关文件文件内容iWatchApp和iWatch Extension:是之前使用xcode14之前的xcode创建的360 app的Watch App,产生的文件结构,包含一个app和Extension的ta…

leetcode 1609.奇偶树

⭐️ 题目描述 🌟 leetcode链接:奇偶树 思路: 树的层序遍历,用队列辅助。用一个变量记录当前是多少层,以及当前层的节点个数,依次遍历,因为需要判断当前层是否严格递增或递减,如果正…

突破销售瓶颈:亚马逊卖家如何借力TikTok网红营销?

随着社交媒体的崛起,营销方式也在不断变革。TikTok作为一款风靡全球的短视频平台,吸引了数以亿计的用户,成为了品牌宣传和销售的新热点。对于亚马逊卖家而言,通过合理运用TikTok网红营销策略,可以有效提升产品的曝光度…

微信最新更新隐私策略(2023-08-15)

1、manifest.json 配置修改 在mp-weixin: 参数修改&#xff08;没有就添加&#xff09; "__usePrivacyCheck__": true, ***2、注意 微信开发者工具调整 不然一直报错 找不到 getPrivacySetting 废话不多说 上代码 3、 编辑首页 或者用户授权界面 <uni-popup…