HuNet行动即将开始,大家莫慌

白龙马一路疾驰,悟空筋斗云紧紧跟着,一路风从仆仆。

悟空:师傅,我们去见中背集团CIO牛门主所谓何事?

三藏:说HuNet行动要开始了,网络实战攻防演练,中背集团要做好自己防护,我们团队降妖除魔名扬环宇,请我们去取经。

悟空:怎么不带上八戒?

三藏:八戒去参加古月禅师的昂日公鸡队伍去了。

铁扇门下

牛门主等的焦急,总算盼到了三藏法师,急急上前去,握住法师手:高僧,等的我好苦呀!

三藏:门主勿急,你有哪些需要知道的,慢慢道来,我们知无不言。

门主:这次实战攻防演练,我们没经验,不知道该如何保卫城镇网络系统,尤其是保护城里核心的城主府,可不能被攻破了,要么我以后日子就不好过了,会被铁城主天天穿小鞋了。

三藏:悟空,你给门主出出主意。

悟空:八戒年年都参加公鸡队伍,我去问问他再说,师傅,门主稍安勿躁。

说罢,一个翻身,足踏筋斗云而去。

金城

悟空看见八戒在金城中背集团办事处楼外四处晃荡,鬼鬼祟祟,拿个WiFi加强天线,四处探测信号,拿个相机到处拍照,于是降落下来:喂喂,八戒,喂喂喂,呆子,你在作甚?

八戒正在城里各大集团的总部、分支机构,一一探寻WiFi热点信息、利用三十二变一会儿化妆清洁工一会儿化妆保安的到处找大厦网线插口,提前踩点忙忙慌慌,一看大师兄来了,吃了一惊:大师兄,你怎么来了?

悟空:师傅让我来,问问你以前参加昂日公鸡队,都是怎么攻击一个集团网络的,有啥诀窍?

八戒:大师兄,你把龟仙人装进冰箱要几步?

悟空:呆子,没空和你开玩笑,快说说。

八戒呵呵笑道:攻入一个核心业务系统,分三步,第一步打开办公网络边界的大门,第二步打开业务系统的大门,第三步把控制程序放进去。

悟空:这么简单?

八戒:哪里简单了!每步都挺难的 !

悟空:打开网络边界大门,这个很难么?

八戒:说难也不难,说不难也难。先要找到一个组织暴露在互联网上的资产,包括业务资产、办公网络出入口资产。业务资产相对好找,大部分都有域名指向,指过去的IP就是了,通常一个C网段也都是这个组织的,都是目标;办公出入口的就难找一些,但好在其分支机构很多,只要有心,翻阅暗网中各类数据,总能找到。

悟空:你以前不是说攻击主要分三种:洞攻、密攻、社工?找完资产就开始洞攻?

八戒:大师兄,你真是高明,就是这么回事,找完资产,就看看哪些资产有漏洞,有漏洞要攻,没有漏洞的,现找一个漏洞也要攻,贵在坚持初心,定要深入。

悟空:实在攻不进去怎么办?呆子,HuNet行动有时间限制,总不能一直找洞吧?是不是还得密攻、社工?

八戒:骗你的,其实一般找完互联网暴露面后,就是洞攻、密攻、社工同时开始。除了找资产外,还有很重要的是梳理社工库中的企业员工的ID、邮箱、曾经在互联网平台用过的但又被黑客暴露出来的密码。对这些互联网资产,一方面用漏洞攻击,一方面把员工历史用过的密码一一试试,再把简单密码再试试,通常有奇效!还有就是老传统,发邮件,附件带个毒,只要有人点击,我们就进入内网了,就完成了第一步,比洞攻、密攻还简单,好多时候攻下来的业务系统还不连内网,还不如发邮件攻击来的爽利。

悟空:那你在这里鬼鬼祟祟干什么?

八戒:网络攻击要有抵近思维,开始说的都是远程攻击,互联网侧找资产攻入内网,不如我直接到大厦里面,找一个网口直接插网线进入内网来的麻利,更快更准更狠。

悟空:万一没有找到网线接口怎么办?

八戒:没找到就用wifi信号压制,窃取其他人上网的密码,然后登录进入内网;再不行,地上撒带毒U盘,里面放个文件,文件名改为:千万不要点.exe,嘿嘿嘿

八戒露出一脸焉坏焉坏的表情,继续道:进了内网,就内网嗅探、内网扫描,找域控、内网安全管理平台、内网网络运维管理平台、云桌面管理平台、堡垒机系统、网络管理员的主机服务器等带总控的安管、网管平台。

悟空:然后呢?

八戒:这些平台最容易出漏洞了,找个老漏洞,或者找个新漏洞,一但控制下来,立刻就控制了整个内网,剩下就都好办了!去年我控了一个EDR的管理控制台,一下就控了内网上万主机,秒KO!前年我控了域控服务器,也是秒KO!只有万不得已,才去找核心业务系统,用猜密码、漏洞强攻。

悟空若有所悟:呆子,你攻击过程中,最难的难点有哪些?

八戒:有这么几个 -- 

1)完整的梳理出外网的资产

2)攻击外网的资产时候,发现资产是在云防御平台背后的,比如Akamai、cloudflare、创宇盾这种,根本找不到真实资产的IP地址

3)好不容易绕过云防御平台,直接访问到外网资产了,攻击了半天发现是蜜罐!耽误了时间,暴露了自己!

4)企业用了零信任网关,不用员工企业或钉钉扫码,根本无法访问其互联网资产,猜密码、漏洞攻击的机会都不留,堵死了密攻、洞攻的路

5)发邮件吧,最怕网络边界部署了沙箱系统,会实际运营邮件附件,判断异常行为,把社工这条路堵死

6)网络边界部署了实时威胁情报网关,类似K01和重保盾这种,而其威胁情报感知探针又刚好覆盖了全部重要关基单位,我们攻击用的代理IP是有限的,被其捕获后快速设为黑名单,我就越攻越难受

7)进入内网了,就怕迷阵形态的带联动封IP的蜜罐,去年遇到个变态企业,把内网按10:1办公网,1:10的业务系统,部署成了蜜罐,而且设置了“一碰就死”模式,任何TCP连接到蜜罐,就统治阻断器、交换机、防火墙把IP设为黑名单,搞得我在内网无法移动、无法探测,根本无法找到业务系统,白忙几天

8)抵近攻击,发现根本没有网线插口,根本没有网线,扔路上的U盘被保安第一时间捡走……

悟空:那遇到这种情况怎么办?

八戒:那就换个目标,我们公鸡队都是欺软怕硬,遇到硬骨头,就换个目标嘛!

悟空:要是个个都这样呢?

八戒:那就攻击他在海外的分支机构,从分支机构跳转到总部;攻击企业和他有业务网络连接的供应商,从供应商进入其业务网络;再不行就找他的工厂物联网设备,通过其物联网设备跳转到内网……

悟空:要再不行呢?

八戒恨恨道:再不行,就给他们的网管、安管、管理层发短信、消息,给他们发链接,骗他们安装APP,或有漏洞给他们手机安装APP。嗯再不行就找女主播去勾引他们套信息……

悟空:算你狠!这都行!以前你攻击时候,最爽的时候是什么时候?

八戒:最爽的时候,就是去年我提前找了某信的VPN系统、EDR软件、防火墙系统漏洞,直接进了内网,控了上千业务服务器,5分钟攻破核心业务!还有还有,某微的OA被我攻破,一下攻破了100多家关基单位;还有还有,师兄,你咋走这么急…… 

铁扇门下

牛门主正和三藏法师喝着茶,见孙行者从云头下来。

三藏悠悠闲闲的抿口茶:悟空,给门主说说,你打算怎么防?

悟空:采用向前防御、积极防御、主动防御、分层防御思想,我们来做主体防御 -- 

一、外网资产梳理、暴露面收敛、统一防御、主动防御:

1)外网所有带域名的业务系统,接入Akamai、CloudFalre、创宇盾云防御平台

2)不能接入平台的,或不是使用域名访问的,都迁移到统一外网机房,部署零信任网关,通过企业扫码认证的员工才允许访问

3)互联网侧不需要的业务系统都下线,或迁入内网,把空出来的IP都部署为蜜罐

二、网络边界,做收敛,部署主动防御系统:

1)内网业务系统,集中到一两个机房,机房出入口部署零信任网关系统,保护起来,并且细分权限

2)办公网络尽量收敛减少,网络边界部署沙箱系统检测邮件附件等

3)网络边界部署K01和重保盾,实时威胁情报网关,实时同步黑客黑名单IP封禁黑客IP

三、内网部署大量假目标、迷阵、一碰就死:

1)办公网络按照10:1或100:1部署蜜罐假目标,配置为任何TCP连接均视为恶意,实时同步交换机、防火墙加入白名单

2)安管平台、网管平台、内网业务系统按照1:10或1:100部署假目标蜜罐,也是配置为一碰就死模式

3)封闭所有金城的建筑物理上的网线插口、停用WiFi系统

四、强化安全管理组织、意识:

1)全员安全管理培训,必须修改密码、不允许点击可疑邮件附件

2)组织所有安全设备产品厂商派人过来驻场,实时看着自己的设备,有任何问题,实时排查和应急

3)我们组织西天队伍,搭建一个日志好态势指控平台,接入所有安全设备日志、业务系统日志,实时分析态势,判定可疑情况,封禁黑客ID、IP,并负责和古月禅师实时联络响应

牛门主一听,如此细致,顿时放心了,笑道:这就有劳孙行者了!

三藏:悟空,你这个套路看起来坚不可摧,为何你还是面露忧色?

悟空:对手可能用0day呀,要是他们有防火墙、零信任网关的0day就不好办了!而且他们应该已经踩点了,甚至已经在内网放好木马了,这不得不担心呀!

三藏神秘一笑:这个你不必太担心。

悟空内心一振,旋即平复下来:师傅高明!

三藏一笑:我佛慈悲!

门主一脸懵然。

注:图片来自百度

更多文章:

网络实战演习,红蓝对抗,防守篇

互望行动,用真攻防构建政府和国企央企网络安全的未来

从网空测绘看俄乌战争态势--及对我们的启示

知道创宇的云之路,起点

中国黑客关系图

网络战就是唐门

XFocus那帮黑客二货们(遗迹)

XFocus那帮黑客二货们(二)

XFOCUS那帮黑客二货们(一)

从入门到入土,网安创业,2000亿产值在这里

关注神龙叫,有问必答

关注输入“福利”有惊喜