2022HW溯源反制手册

2022HW溯源反制手册目录TOC\o"1-3"\h\u31897一.战略 448851.关于反杀伤链的思考 4164862.入侵杀伤链 7315753.实战指南 135804.一文看懂框架以及使用场景实例 2512635.论溯源反制之思想 33149886.(五)：威慑反制能力建设 365383二.战术 37140961.定向网络攻击追踪溯源层次化模型研究 3746642.HW｜蓝队实战溯源反制手册分享 37317203.安全攻击溯源思路及案例 44206264.红蓝对抗中的溯源反制实战 47214585.攻防对抗+溯源反制，蜜罐实战分享实录 47253496.态势感知与攻击检测溯源 62216407.基于攻击溯源图的威胁评估技术 6294388.蓝队视角下的朔源与反制 66324289.如何防止溯源以及反溯源 709342三.技术 8477481.APT攻击检测与反制技术体系的研究 8483072.HW防守｜溯源反制攻击方的服务器 84306773.记一次反制追踪溯本求源 8847544.溯源反制指北 100285775.溯源反制之MySQL蜜罐研究 101247856.反制中常见技术点 1179207.记一次反制追踪溯本求源 124189218.记一次蜜罐溯源 141301979.记一次攻防演习中的溯源反制 146512710.攻击机溯源技术 1531372811.反攻的一次溯源--项目实战3 1543023412.蓝队溯源与反制 1681505213.安全技术|利用OpenVpn配置文件反制的武器化探索 1721446514.防溯源防水表——APT渗透攻击红队行动保障 17937015.HW 18312319四.案例 193226671.红蓝对抗中的溯源反制实战 19338742.米观乘胜追击，寻迹溯源反制 211133713.HW平安夜:一场心态和体力的较量 21384544.反黑逆向溯源追踪之：某某某局入侵事件分析 21625171五.产业项目案例 235295871.总行2021年溯源反制服务项目 23515308六.工具 235155921、IP定位工具 2358082、威胁情报工具 2353802七.产品: 23624291蜜罐总结 23610783网络蜜罐技术探讨 2396227数世咨询：蜜罐诱捕市场指南 2426190企业安全建设之蜜罐技术的应用 26219116攻防对抗+溯源反制，创宇蜜罐实战分享实录 27110420基于蜜罐技术的攻击反制实现系统及方法与流程 27119204攻防对抗+溯源反制，蜜罐实战分享实录 271一.战略关于反杀伤链的思考\h/reflections-on-anti-anti-chain/杀伤链（killchain）最初源于军事中的C5KISR系统中的K（kill），后由洛克希德-马丁公司提出网络安全杀伤链七步模型（见下图）。那么，有了杀伤链，自然就有反杀伤链^_^。反杀伤链，我更倾向用“发现-定位-跟踪-瞄准-打击-评估”的F2T2EA模型。整的检测体系。对于大型企业而言，要实现反杀伤链的构建，发现能力是先决条件。定位则是判断攻击者所处的位置，包括在网络内的入侵深度和广度，可能的话还应该包括入侵入口位置。跟踪：在完成定位后，防护者需要根据定位信息，判断是否进行跟踪。一般对大型企业而言，APT之间，仍有一定的“时间窗口”（大多数在内网发现的攻击行为都处于这一阶段），因此只要时间、条件允许，防护者是可以进行跟以让对手前功尽弃，至此再也无从下手。瞄准：瞄准实际和杀伤链第二步的武器构建（Weaponization）击，还有就是确定打击点，以确保能“一击致命”。只不过这个武器不再是攻击性武器，而是防御性武器。锁IP，或是采取访问控制措施阻断其进入敏感区域等等。当然，在跟踪和瞄准阶段所获取的信息足够多的情况下，还可以进行反制，进行反向溯源或借助法律等途径进行“反向打击”。评估：这个评估在军事上是“战损评估”的概念，在这里，我想应该是效果评估。在评估阶段，我们要对打击效果进行评估，一是要确进行分析建档并纳入相应的威胁情报库中，找到整个反杀伤链运作中的不足之处加以优化补正。第五、第六阶段。而第三、第四阶段的防御，也将成为之后的重点。反杀伤链和杀伤链的对抗关系大致用下图来表述。要实现这个反杀伤链，还需要以下几个关键支持：1、情报（Intelligence）关于情报，NUKE同学等大牛已经讲过很多，我就不班门弄斧太多。这里需要补充的是，在反杀伤链中，情报可以分为战略、战区、战术三个层次。战略威胁情报。实际是一种威胁态势情报。我并不想把战略威胁情报上升到JP1-02企业或一个行业而言的威胁态势情报。这类情报包括两个层面，一个是企业或行业对自己的认知和评估，包括“我们有什么是别人想要的”，“它到底有多重要”，“多达的损失”，以及“我们该投入多少资源去保护它”等等，这方面的情报来源包括风险评估、业务评估及企业高层决策。二是带对威胁环境的评估，包括“盯着我们的对手有哪些人”，“他们对哪些目标感兴趣”，“他们拥有哪些可利用的手段”，“本的接受程度如何”等等。这些情报源于大量的案例分析、威胁动态跟踪，以及对攻击者行为模式、攻击成本的分析研究等等。威胁情报是高度浓缩的情报精华，肯定是高水平的专家进行综合性人工分析的结果。当然，扩展来看，商业竞争情报也算是此类情报的一种。战区威胁情报。如果我们将一个公司或行业看作一个战略主体，那各个战区实际就是按业务、系统的细分。在战区威胁情报层以形成一个趋向全集的攻击生成树。当然，机器学习等最近很热的威胁情报概念，大多在这一层面开始有了用武之地。估、代码审计等安全服务和安全众测厂商带来机会。单条杀伤链，分析攻击工具、攻击手法、攻击来源、攻击目标、威胁影响等的特征。战术威胁情报可以认为是战区威胁情报的基础。可以说，在战术层面构建的杀伤链条数越多，整个威胁情报体系起的作用就越大。2、监视（Surveillance）必杀一击（也就是狙击）的，再在杀伤链的关键节点进行狙击（阻断），切断整个杀伤链条，重创对手。这就是监视的作用。当然，提到监视，就必须考虑反杀伤链的“时间窗口”效应。对于小型企业或系统而言，杀伤链的时效性很短，此时的监视几乎等同于检测，强调一经发现立即阻断。而对大型复杂网络而言，杀伤链普遍更长，监视的“时间窗口”也可以随着拉长。所以，监视的“口”受威胁场景的时敏性影响。同时，监视的“时间窗口”还需要依托对杀伤链场景的构建，和狙击点（或者阻断点）的定义。防护者需要依靠经验，对发现的入侵行景，为高效率、致命的狙击做准备。但切忌因为监视，错失狙击的时机，中间的度需要仔细衡量。3、指挥、控制与协同（CommandandControlandCombat，3C）3C是整个反杀伤链最重要，也最难构建的组成部分，也是确保反杀伤链打击效果的前提。目前，大型企业都有了自己的安全运营团队，例如各类SRC、SOC。但是，能具备真正有效的3C下几点：系统。国外军方已经有相应的理论研究基础，并在逐步发展此方面的能力，值得借鉴。控制实际可以算是指挥系统中的一个模块，是确保指挥指令得到有效的具体执行的集中管控后台。这方面的问题存在于两点：一业就必须以大量的人力来补缺，且往往吃力不讨好。以上这些只是根据个人的兴趣写的，肯定还有问题，欢迎拍砖。入侵杀伤链\h/p/174b5a081b51原文链接：\h洛克希德-马丁公司的七步网络杀伤链白皮书智能驱动的计算机网络防御-通过对敌对方的运动与入侵的杀伤链分析Intelligence-DrivenComputerNetworkDefenseInformedbyAnalysisofAdversaryCampaignsandIntrusionKillChainsEricM.Hutchins∗,MichaelJ.Cloppert†,RohanM.Amin,Ph.D.‡LockheedMartinCorporationHutchins,Eric&Cloppert,Michael&Amin,Rohan.(2011).Intelligence-DrivenComputerNetworkDefenseInformedbyAnalysisofAdversaryCampaignsandIntrusionKillChains.LeadingIssuesinInformationWarfare&SecurityResearch.1.CyberKillChain\h图片来源：/content/dam/lockheed-martin/rms/photo/cyber/THE-CYBER-KILL-CHAIN-body.png.pc-adaptive.full.medium.png摘要常规的网络防御工具（如入侵检测系统和防病毒软件）络入侵的目标和复杂程度的发展使得这些方法对于某些参与者而言不够。一类新的威胁被称为“高级持续威胁”（APT）的攻击者代表驱动的计算机网络防御的基础（CND）产生了性能和有效性的相关指标。高级持续威胁的发展需要基于情报的模型，因为在此模型中，防御者不仅可以缓解脆弱性，还可以缓解风险的威胁部分。1简介只要存在全球计算机网络，恶意用户就有意利用漏洞。对计算机网络威胁的早期演变涉及自传播代码。随着时间的推移，防病毒技术的进步显着降低了这种自动化的风险。最近，旨在损害数据以促进经济或军事发展的新一类威胁已成为某些行业面临的最大风险要素。此类威胁被称为AdvancedPersistentThreat”（高级持续威胁，及APT）相关的风险而实施的技术和流程，而这些技术没有充分解决专注的、手动操作的APT入侵。传统的事件响应方法无法缓解APT带来的风险，因为它们做出了两个错误的假设：应该在妥协之后进行响应，而妥协是因为某个固定的缺陷（Mitropoulos等人，2006家标准与技术研究院）2008）。最近，行业和美国政府都对APT进行了观察和表征。2005年6月和2005年7月，英国国家基础设施安全协调中心（UK-NISCC）和美国计算机紧急响应小组（US-CERT）发布了技术警报公告，描述了针对性的、社会工程化的电子邮件，其中植入了特洛伊木马，以提取敏感信息。这些入侵经历了相当长的一段时间，规避了传统的防火墙和防病毒功能，并使攻击者能够收集敏感信息（UK-NISCC，2005；US-CERT，2005）。《商业周刊》的Epstein和Elgin（2008）描述了对NASA和其他政府网络的大量入侵，在这些网络中，未发现APT参与者，并成功删除了敏感的高性能火箭设计信息。在2010年2月，iSecPartners指出，当前的方法（例如防病毒和补丁程序）不够有效，最终用户直接成为攻击目标，威胁行动者则追求敏感的知识产权（Stamos，2010年）。在美国众议院武装部队委员会恐怖主义，非常规威胁和能力小组委员会之前，战略与国际研究中心的詹姆斯·安德鲁·刘易斯（JamesAndrewLewis）作证说，2007年，包括国防部，国务院和商务部在内的各个政府机构都发生了入侵事件。意图收集信息（刘易斯，2008年）。据报道，中国对计算机网络运营的性质有特殊规定，因此，2008年和2009年向美中经济和安全审查委员会的国会报告总结了针对美国军方，政府的针对性入侵的报告。同样，对手是出于收集敏感信息的动机（美中经济与安全审查委员会，2008年，2009年）。最后，为美中经济与安全审查委员会准备的报告，克雷克尔（2009）对高级入侵进行了详细介绍，充分证明了APT和精心设计的本质。基础架构管理工具的进步实现了企业范围内修补和强化的最佳实践，从而减少了网络服务中最容易访问的漏洞。但是，APT参与者通过使用高级工具，自定义的恶意软件和防病毒和补丁无法检测或缓解的“零时差”漏洞，不断展示出破坏系统的能力。对APT入侵的响应需要分析，流程和技术方面的发展。基于对威胁的了解，可以预测和减轻将来的入侵。以威胁为重点的方法来研究入侵。入侵的每个离散阶段都映射到操作过程中，以进行检测，缓解和响应。术语“杀伤链”施会破坏连锁店和对手。通过情报驱动的响应，防御者可以在APT口径对手中获得优于攻击者的优势。络防御模型（computernetworkdefense，CND），该模型结合了针对特定威胁的入侵分析和防御缓解措施。第四部分介绍了该新模型在实际案例研究中的应用，第五部分概述了本文并提出了对未来的一些思考研究。相关工作虽然APT的建模和使用杀伤链的相应响应是独特的，但存在防御和对策策略的其他基于阶段的模型。美国国防部联合研究中心的出版物描述了一个杀伤链，其发现，修复，跟踪，目标，交战和防御阶段评估（美国国防部，2007年）。美国空军已使用此框架来确定情报，监视和侦察（ISR）能力方面的差距，并优先考虑所需系统的开发（Tirpak，2000年）。威胁链也已用于对简易爆炸装置攻击进行建模（国家研究委员会，2007年）。IED交付链对从敌方资金到攻击执行的所有过程进行建模。协同情报和防御措施以简易爆炸装置威胁链的每个阶段为重点，是应对这些攻击的理想方法。该方法还通过将现有功能映射到链上，为基础研究需求的识别提供了一个模型。基于阶段的模型也已用于反恐计划。美国陆军将恐怖分子的行动计划周期描述为一个七个步骤的过程，作为评估恐怖组织意图和能力的基线（美国陆军训练和主义司令部，2007年）Hayes（2008）将此模型应用于军事设施的反恐计划过程，并确定了原则，以帮助指挥官确定保护自己的最佳方法。Sakuraba等人（2008年）描述了对策的基于攻击的顺序分析（theAttack-BasedSequentialAnalysisofCountermeasures，ABSAC）ABSAC法所包含的反应性强的妥协性对策比对非持久对手运动的早期发现能力要强。在基于阶段的模型对内部威胁的应用中，Duranet等人（2009年）Willison和Siponen（2009）还通过改编称为“情境预防”（SCP）的SCP从犯罪者的角度模拟犯罪，然后将控件映射到犯罪的各个阶段。最后，安全公司Mandiant提出了一个“剥削生命周期”。但是，Mandiant模型并未绘制防御行动的路线图，而是基于妥协后的行动（Mandiant，2010年）。对打击APT参与者而言，将检测和缓解措施移至入侵杀伤链的早期阶段至关重要。智能驱动的计算机网络防御情报驱动的计算机网络防御（CND）性的分析。这必然是一个连续的过程，需要利用指标来发现新活动，而还要利用更多指标。它需要对入侵本身有新的了解，而不是非常规事件，而是逐步发展。本文提出了一种新的入侵消灭链模型，用于分析入侵并推动防御行动。情报驱动的CND的安全态势。APT参与者本质上会在入侵之后尝试入侵，并根据每个尝试的成功或失败来调整其操作。在“杀死链”模型中，只有一个缓解措施会打破链条并挫败对手，因此，对手的任何重复都是防御者必须认识和利用的责任。如果防御者实施对策的速度超过了对手的发展速度，则将增加对手为实现其目标而必须花费的成本。该模型表明，与传统观点相反，这些侵略者没有防御者固有的优势。指标和指标生命周期该模型中情报的基本要素是指标（indicator）。出于本文的目的，指示符是客观描述入侵的任何信息。指标可细分为三种类型：•Atomic原子-原子指示器是不能分解成更小的部分，并在入侵的情况下保持其含义的指示器。此处的典型示例是IP址和漏洞标识符。•Computed计算的-计算的指示符是从事件中涉及的数据派生的那些指示符。常见的计算指示符包括哈希值hashvalues和正则表达式regularexpressions。•Behavioral行为-行为指标是计算指标和原子指标的集合，通常要经过数量和组合逻辑的鉴定。例如，“门以[somefrequency]到[someIPaddress]的速率生成网络流量匹配[regularexpression]，然后,一旦建立访问权限将其替换为匹配MD5hash[value]的语句。”形成了图1中所示的指示器生命周期。这不分青红皂白地适用于所有指示器，无论其准确性或适用性如何。如果没有足够的跟踪，跟有注意，分析人员可能会发现自己将这些技术应用于并非针对其设计的威胁参与者，或者完全将其视为良性活动。入侵杀伤链杀伤链是一个系统的过程，该过程以目标为目标并与对手互动，以创建所需的效果。美国的军事目标学说将这一过程的步骤定义为：find发现，fix修复，track跟踪，target目标，engage交战，assess评估（F2T2EA）：找到适合交战的对手目标；固定他们的位置；跟踪观察；用合适的武器或资产瞄准以产生所需的效果；招敌评估效果（美国国防部，2007年）称为“链”，因为任何不足都会中断整个过程。完整性或可用性。入侵杀伤链定义为reconnaissance侦察，weaponization武器化，deliveryexploitation利用，installation安装，commandandcontrol命令和控制（C2）以及actionsonobjectives对目标采取的行动。关于计算机网络攻击（CNA）或计算机网络间谍活动（CNE），对这些杀伤链阶段的定义如下：Reconnaissance侦察-邮件列表。Weaponization武器化-通常通过自动化工具（武器化工具）将远程访问木马与对可交付有效载荷的利用相结合。诸如Adobe文档格式（PDF）或MicrosoftOffice文档之类的客户端应用程序数据文件越来越多地用作可交付使用的武器。Delivery交付-将武器传输到目标环境。洛克希德·马丁计算机事件响应团队（LM-CIRT）在2004年至2010年间观察到，APT对武器有效载荷的三种最普遍的传递媒介是电子邮件附件，网站和USB可移动媒体。Exploitation漏洞利用-洞，但也可以更简单地利用用户自身或利用可自动执行代码的操作系统功能。Installation安装-在受害系统上安装远程访问特洛伊木马或后门程序可使攻击者在环境中保持持久性。CommandandControl命令和控制（C2）-通常，受感染的主机必须向Internet控制器服务器发送信标，以建立C2APT件尤其需要手动交互，而不是自动进行活动。一旦建立了C2通道，入侵者就可以在目标环境中“手动操作”键盘。Actionsonobjectives针对目标的行动-只有在经过前六个阶段之后，入侵者才能采取行动以实现其原始目标。通常，此目标是数据受害者盒，以用作跳跃点来危害其他系统并在网络内部横向移动。CoursesofActionTable1:CoursesofActionMatrixIntrusionReconstructionFigure3:LatephasedetectionFigure4:EarlierphasedetectionCampaignAnalysisCaseStudyIntrusionAttempt1IntrusionAttempt2IntrusionAttempt35小结将投资优先考虑为能力缺口，并充当衡量防御者行动有效性的框架。当防御者考虑风险的威胁部分以增强对APT的抵御能力时，他们可以将这些行为者的坚持变成责任，从而降低对手每次入侵尝试成功的可能性。计算机间谍活动下的入侵杀伤链模型。入侵可能代表了更广泛的问题类别。这项研究可能与其他学科（例如IED对策）强烈重叠。实战指南\h/articles/14991作者：程度ATT&CK框架作为安全领域继承KillChain的安全攻防框架，在全世界的信息安全领域正在如火如荼的发挥着影响。通过GoogleTrends可以看出在最近两年的热度呈指数级增长。图1：ATT&CK框架的热度增长趋势ATT&CK框架早在2014年就已提出，但当时的框架还比较简单。图2：2014年时的ATT&CK框架目前，这个框架还在不断演进，在今年10月份的ATT&CKcon2.0大会上，披露的更新内容如下：图3：ATT&CK框架的新增内容（数字解读）值得一提的是，ATT&CK框架中加入了云相关方面的一些支持：图4：ATT&CK新增云支持该框架不像其它理论只是提供理论指导作用，这个框架的可落地性很强。理论学习使用ATT&CK™Navigator项目对于的学习是第一步的，首先需要介绍的就是ATT&CK™Navigator给人的压力更小，而且具有良好的交互性。通过简单地点击鼠标，就能学习到很多知识，这个项目主要是为之后的工作有很好的标记作用。这个项目比较好用的几个功能都是筛选类的功能，比如你可以根据不同的APT组织以及恶意软件进行筛选，可以看出组织和恶意软件使用的Technique，并进行着色，这样就可以很明显看出来这个组织的攻击使用技术。图5：APT29使用的攻击技术同时也可以根据不同的需求，保存为其它格式导出，包括Json、Excel以及SVG，也支持根据平台和阶段进行选择。图6：根据平台和阶段进行选择从上图可以看出，ATT&CK框架支持三种常见系统Windows、Linux和MacOS，最近还新增了对云安全的支持，包括了国外主流的三个公有云、Azure和GCP，同时还加入了一些SaaS安全框架AzureAD、Office365SaaS。虽然框架中有关云计算的内容并不多，但也是一种有价值的尝试。云安全的这块针对云平台更像是CSPM产品解决的问题，SaaS安全的是CASB题。这里不详细描述，之后会有另外一篇文章说明。这个项目主要关注的是pre-attack和attack-enterprise的内容，包括mobile这块是有单独的项目支持。守结果。图7：红蓝对抗攻守图还有一种用法是对目前安全产品的技术有效性进行coverage的评估，如下图所示：图8：EDR产品安全技术覆盖度ATT&CK™的CARET项目CARET项目是CAR（CyberAnalyticsRepository）项目的演示版本，有助于理解CAR这个项目表达的内容。CAR这个项目主要是分析攻击行为，并如何检测的一个项目，在BlueTeam中详细介绍。这里，介绍一下CARET的网络图。该图从左到右分为五个部分：APT团体、攻击技术、分析技术、数据模型、Sensor或者Agent。APT组织从左到右，安全团队从右到左，在“分析”这一列进行交汇。APT组织使用攻击技术进行渗透，安全团队利用安全数据进行数据分类并进行分析，在“分析”环节进行碰撞。图9：CARET网络图最左侧两列已在上文有所介绍，此处不再赘述。我们从最右侧的Sensor开始分析。Sensor主要是用于数据收集，基本是基于sysmon、autoruns等windows下的软件来收集信息。数据模型受到CybOX威胁描述语言影响，对威胁分为三元组（对象、行为和字段）进行描述，对象分为9种：驱动、文件、流、模块、进程、注册表、服务、线程、用户sessionsensor或者agent要收集哪些数据、怎样组织数据，也为安全分析奠定了基础。“分析”有伪代码表示。Red使用RedCanary™AtomicRedTeam项目红队使用框架是比较直截了当的场景，可以根据框架的技术通过脚本的自动化攻击，这里重点推荐RedCanary公司的AtomicRed项目，也是目前Github上Star最多的关于的项目。MITRE与RedCanary的关系已经非常密切，MITRE的项目CALDERA也是类似的项目，但是场景和脚本的丰富度离这家新兴的MDR公司还是有差距，在今年SANS的CTI以看出。图10：MITRE与RedCanary的用例数量示意图这个项目使用起来也好上手，首先搭建相关环境，然后选择相关的测试用例，包括Windows、Linux以及MacOS的用例，然后可以根关入侵技术，如果没有发现需要进行检测技术的改进情况。最后，可以根据这个过程反复操作，能够得到一个入侵检测进步的进展图，最终可以更好的覆盖的整个攻击技术图。图11：入侵检测进展示意图其它红队的模拟攻击项目更新较少，也可以参考Endgame的RTA项目、Uber的Metta项目。比较好的实践是自己的攻击测试库，可以基于RedCanary的项目，然后结合其它的测试项目，同时可以结合自身来完善这个自己的红队攻击测试库，可以根据实际情况不断进行测试和回归测试，可以让安全攻击水准达到一个比较好的水平。ATTACK-Tools项目这个项目有两个重要作用：第一是用作模拟攻击的计划工具；第二是用作拟攻击的计划工具这个角度来介绍。以APT3为例（好尴尬，是美国分析中国的APT组织），先不考虑地缘政治因素，只考虑技术层面。首先，分析一个APT组织的行为报告就较为复杂，国内也是只有为数不多的几个比较有技术实力的公司每年在分析APT为；然后，基于这些攻击技术抽象成模拟这些组织攻击的内容更是复杂。从下图可以看出，模拟APT3有三个步骤，但其实前面还有个重要的步骤——工具选择。图12：APT3模拟计划示意图简单，但该项目根据框架，充分展示了对APT组织的模拟攻击计划覆盖了哪些技术。图13：ATT&CK™View示意图这类示意图可以很好地将APT组织或者软件的行为按照ATT&CK框架表示出来，能够做好更全面的模拟攻击。关于ATT&CK™DataModel这个内容更多的是把ATT&CK的内容根据关系数据库设计模式导入，以便按照不同维度进行查询和筛选。BlueTeam使用ATT&CK™CAR项目CAR（CyberAnalyticsRepository）安全分析库项目主要是针对的威胁检测和追踪。上面的CARET项目就是CAR的UI可视化项目，可以更利于CAR项目的理解。这个项目主要基于四点考虑：根据击者行为确认要收集的数据；确认数据收集主体sensor的数据收集能力。后面三个方面与CARET项目图示中的Analytics、DataModel、Sensor相对应。这个分析库是由对每一项攻击技术的具体分析构成的。我们以该分析库中最新一条的分析内容为例：CAR-2019-08-001:CredentialDumpingviaWindowsManager（通过Windows任务管理器进行凭据转储），转储任务管理器中的授权信息这一安全问题进行检测。分析中还包含单元测试部分：图14：单元测试示例分析中还包括三种检测方式：伪代码、splunk下的sysmon的代码实现、及EQL大增强蓝队的检测能力。图15：实现方式示例CAR这个架构可以作为蓝队很好的内网防守架构，但是毕竟是理论架构，内容丰富度上比较欠缺。Endgame™EQL项目EQL（EventQueryLanguage）是一种威胁事件查询语言，可以对安全事件进行序列化、归集及分析。如下图所示，该项目可以进行事件日志的收集，不局限于终端数据，还可以是网络数据，比如有国外使用sysmon这种windows下的原生数据，也有osquery类型的基本的缓存数据，也有BRO/Zeek的开源NIDS的数据，这些数据对接个EQL语言进行统一分析。图16：EQL语言示意图这个语言的形式有shell类型PS2，也有lib类型。比较局限的是要输入Json为sql语言和shell的结合体。既有sql的条件查询和联合查询，也有内置函数，同时也有shell的管道操作方式，有点类似于splunk的SPL（SearchProcessingLanguage）语言。这个语言本质上属于ThreatHunting（威胁捕获）领域，因为这个领域目前也比较受关注，后面还会有文章专门讲解。该语言在开源领域影响力较大，尤其是跟ATT&CK的结合比较好，除了提供语言能力外，还有很多跟TTPs结合的分析脚本。DeTT&CT项目DeTT&CT（DEtectTechniques&CombatThreats）项目，主要是帮助蓝队利用框架提高安全防御水平。用于帮助防御团队评估日志质量、检测覆盖度的工具，可以通过yaml文件填写相关的技术水平，通过脚本进行评估，自动导出Navigator以识别的文件，导入之后可以自动标记，也可以通过excel导出，很快的看出关于数据收集、数据质量、数据丰富度（透明度）、检测方式等的覆盖度。图17：数据收集质量示意图CTI（CyberThreatIntelligence）Team使用框架的创建及更新都是来源于威胁情报。框架是威胁情报抽象的最高层次，从战术、技术和步骤（TTPs）攻击层面。下图是威胁情报内容对于黑客的“痛苦金字塔”。总体来讲，威胁情报分析得越透彻，黑客攻击绕过的难度就越高。最高级别是TTP的检测，这是因为如果能够实现黑客行为的检测，基本就很容易定位黑客组织；如果只是能够实现hash、IP、DNS则很容易被黑客绕过。图18：痛苦金字塔威胁情报项目分为四个部分：战略级、战术级、运营级和技术级。我们目前的技术主要集中在运营级和技术级。而各个级别都具有重大指导作用。图19：ENISA的CTI项目图Sigma项目Sigma项目是一个SIEM的特征库格式项目。该项目可以直接使用sigma格式进行威胁检测的描述，可以进行共享，也可以进行不同SIEM系统的格式转换。下图展示了simga主要解决的问题场景。图20：Sigma用途示意图Sigma的描述方式是使用yaml格式表示，比较容易理解。比如windows下使用sysmon检测webshell，如下图所示。图21：使用sysmon检测webshell的示例还有专门针对sigma的editor，可以方便地编写相关的威胁检测规则。Sigma还可以将自身格式的规则转换到一些主流的SIEM系统中直接使用，这个工具目前可以支持的系统如下图所示：图22：Sigma支持的系统Sigma的规则在ATT&CK框架中的覆盖度如下图所示，也是覆盖了一部分的检测规则：图23：Sigma规则在ATT&CK框架中的覆盖度MISP项目恶意软件信息共享平台MISP（MalwareInformationSharingPlatform）欧盟在资助这个项目。使用这个系统是通过安装一个实例达到的，可以理解为，威胁情报中心会定期同步威胁事件给每个实例。每个子节点的实例也可以创建新的事件，形成新的威胁情报发送到威胁情报中心。也可以查看历史的威胁情报记录，也可以导出相关的数据，同时也支持API方式。虽然这个项目相对比较复杂，但功能较多，适合比较成熟使用威胁情报的单位。图24：MISP威胁情报平台示意图misp-galaxy这个项目中目前已经集成了ATT&CK框架，可以将MISP中的数据映射到ATT&CK框架中。CSO使用CSO作为安全的最终负责人，当然上面3个组的工作内容都得大致清晰，更重要的是知道如何评估，并且利用安全防护能力。AtomicThreatCoverage项目该项目的重点组成部分其实是上面提到的两个项目——RedCanary™AtomicRed和Sigma检测。响应使用ES和Hive进行分析。这个项目更像是个组织型项目，真正看重在企业的落地情况。当然这个架构不一定是最优的架构，可能我会在响应方面要加上EQL的内容。图25：AtomicThreatCoverage项目示意图这个架构更像是某个企业内部的一种使用场景：红队模拟攻击，蓝队检测攻击并做出响应，此外还有一些缓解措施。CSO可以利用ATT&CK框架在内部不断演练，按照ATT&CK的覆盖度来看到安全能力的改进情况。与以往每个团队的消息不对称，各司其职又没有统一的目标相比，该框架将3个团队结合起来，让其按照升安全防护能力的目的。ATT&CK的常见使用场景这里就介绍到这里了，如下图所示：图26：ATT&CK的常见使用场景常见的内容是模拟攻击、评估和提高防御能力、威胁情报提取和建模、威胁评估和分析。ATT&CK框架涵盖的内容还有很多没有介绍，比如Pre-ATT&CK、mobile、ICS、Evaluation、SOCAssessment及Sightings等等。我们希望与大家携手努力，共同研究这个来源于真实场景的安全框架，为提高安全能力、维护网络安全贡献绵薄之力。\hanquanneican@163.com。一文看懂框架以及使用场景实例\h/post/id/187998Google趋势显示，这个带着奇怪的“＆”符号的词语——ATT＆CK非常受欢迎。但是，MITREATT＆CK™的内涵是什么呢？为什么网络安全专家应该关注ATT＆CK呢？过去12个月中，对MITREATT＆CK的搜索热度显著增长一、ATT&CK框架背景介绍MITRE是美国政府资助的一家研究机构，该公司于1958年从MIT分离出来，并参与了许多商业和最高机密项目。其中包括开发中交通管制系统和机载雷达系统。MITRE在美国国家标准技术研究所（NIST）的资助下从事了大量的网络安全实践。MITRE在2013年推出了模型，它是根据真实的观察数据来描述和分类对抗行为。表，将这些已知的行为汇总成战术和技术，并通过几个矩阵以及结构化威胁信息表达式（STIX）、指标信息的可信自动化交换（TAXII）他机制都非常有用。MITRE的目标是创建网络攻击中使用的已知对抗战术和技术的详尽列表。在过去的一年中，MITRE业中广受欢迎。简单来说，ATT&CK是MITRE提供的“对抗战术、技术和常识”框架，是由攻击者在攻击企业时会利用的12种战术和244种企业技术组成的精选知识库。会详细介绍每一种技术的利用方式，以及为什么了解这项技术对于防御者来说很重要。这极大地帮助了安全人员更快速地了些内容，才能减轻或检测由于入侵技术滥用造成的影响。这时候，ATT&CK场景示例就派上用场了。针对每种技术都有具体场景示例，说明攻击者是如何通过某一恶意软件或行动方案来利用该技术的。每个示例都采用Wikipedia安全研究团队发表的文章。因此如果中没有直接提供内容，通常可以在这些链接的文章中找到。因此，现在很多企业都开始研究ATT&CK，在这一过程中通常会看到企业组织采用两种方法。首先是盘点其安全工具，让安全厂商提供一份对照覆盖范围的映射图。尽管这是最简单、最快速的方法，但供应商提供的覆盖范围可能与企业实际部署工具的方式缓解其中一部分技术，并不意味着攻击者无法以其它方式滥用这项技术。二、MITREATT＆CK与KillChain的对比总体来说，ATT&CK模型是在洛克希德-马丁公司提出的KillChain目前模型分为三部分，分别是PRE-ATT&CK，ATT&CKforEnterprise和forMobile。其中PRE-ATT&CK覆盖KillChain模型的前两个阶段，包含了与攻击者在尝试利用特定目标网络或系统漏洞进行相关操作有关的战术和技术。forEnterprise覆盖KillChain的后五个阶段，ATT&CKforEnterprise由适用于Windows、Linux和MacOS系统的技术和战术部分。forMobile包含适用于移动设备的战术和技术。但是，ATT&CK的战术跟洛克希德·目标。没有一种战术比其它战术更重要。企业组织必须对当前覆盖范围进行分析，评估组织面临的风险，并采用有意义措施来弥合差距。除了在KillChain战术上更加细化之外，ATT＆CK还描述了可以在每个阶段使用的技术，而KillChain则没有这些内容。三、ATT＆CK框架的使用从视觉角度来看，MITRE矩阵按照一种易于理解的格式将所有已知的战术和技术进行排列。攻击战术展示在矩阵顶部，每列下面列出了单独的技术。一个攻击序列按照战术，至少包含一个技术，并且通过从左侧（初始访问）向右侧（影响）了一个完整的攻击序列。一种战术可能使用多种技术。例如，攻击者可能同时尝试鱼叉式网络钓鱼攻击中的钓鱼附件和钓鱼链接。ATT＆CK矩阵顶部为攻击战术，每列包含多项技术战术按照逻辑分布在多个矩阵中，并以“初始访问”的一项技术。中的每种技术都有唯一的ID号码，例如，此处所使用的技术。矩阵中的下一个战术是“执行”。在该战术下，有“用户执行/T1204”技术。该技术描述了在用户执行特定操作期间执行的恶意代码。在矩阵中后面的阶段中，您将遇到“提升特权”、“横向移动”和“渗透”之类的战术。攻击者无需使用矩阵顶部所示的所有12发现的几率。例如，对手使用电子邮件中传递的鱼叉式网络钓鱼链接对CEO行政助理的凭据进行“初始访问”。获得管理员的凭据后，攻击者将在“发现”阶段寻找远程系统。接下来可能是在Dropbox文件夹中寻找敏感数据，管理员对此也有访问权限，因此无需提升权限。然后攻击者通过将文件从Dropbox下载到攻击者的计算机来完成收集。攻击示例（攻击中使用了不同战术中的技术）导航工具是一个很有用的工具，可用于映射针对技术的控制措施。可以添加不同的层，来显示特定的检测控制措施久化的解决方案。下文，笔者将针对ATT&CK框架中的12种战术的中心思想以及如何缓解和检测战术中的某些技术进行一些解读。01、初始访问尽管ATT&CK并不是按照任何线性顺序排列的，但初始访问是攻击者在企业环境中的立足点。对于企业来说，该战术是从PRE-ATT&CK到ATT&CK的理想过渡点。攻击者会使用不同技术来实现初始访问技术。例如，假设攻击者使用Spearphishing（鱼叉式）附件。附件本身将利用某种类型的漏洞来实现该级别的访问，例如PowerShell或其技术和方法可用于减轻和检测每种技术的滥用情况。此外，安全人员也可以将和CIS控制措施相结合，这将发挥更大作用。对于初始访问这种战术，我认为其中三项CIS能发挥极大作用。控制措施4：控制管理员权限的使用。如果攻击者可以成功使用有效帐户或让管理员打开spearphishing加轻松。控制措施7：电子邮件和Web浏览器保护。由于这些技术中的许多技术都涉及电子邮件和、Web浏览器的使用，因此，控制措施7中的子控制措施将非常有用。控制措施16测网络中有效帐户滥用的功能。初始访问是攻击者将在企业环境中的落脚点。想要尽早终止攻击，那么“初始访问”了CIS控制措施并且正在开始采用的方法，这将会很有用。02、执行在对手在进攻中所采取的所有战术中，应用最广泛的战术莫过于“执行”。攻击者在考虑现成的恶意软件、勒索软件或APT攻击时，他们都会选择“执行”松查找其恶意可执行文件。此外，对于命令行界面或PowerShell术。这些类型的技术对攻击者的威力在于，终端上已经安装了上述技术，而且很少会删除。系统管理员和高级用户每天都依赖其中一些内置工具。中的缓解控制措施甚至声明了，这些控制措施也无法删除上述技术，只能对其进行审计。而攻击者所依赖的就是，终端上安装采用了这些技术，因此要获得对攻击者的优势，只能对这些技术进行审计，然后将它们相关数据收集到中央位置进行审核。可能犯错。如果企业当前正在应用CIS关键安全控制措施，该战术与控制措施2——无法防护自己未知的东西，因此，第一步是要了解自己的财产。要正确利用ATT&CK，企业不仅需要深入了解已安装的应用程序。还要清楚内置工具或附加组件会给企业组织带来的额外风险。在这个环节中，可以采用一些安全厂商的资产清点工具，例如青藤等主机安全厂商都能提供详细的软件资产清单。03、持久化人员采取重启、更改凭据等措施后，持久化仍然可以让计算机再次感染病毒或维护其现有连接。例如注册表Run键、启动文件夹是最常用的技术，这些注册表键或文件系统位置在每次启动计算机时都会执行。因此攻击者在启动诸如Web浏览器或MicrosoftOffice等常用应用时开始获得持久化。此外，还有使用“镜像劫持（IFEO）注入”的原理添加键值，实现系统在未登录状态下，通过快捷键运行自己的程序。在所有战术中，笔者认为持久化是最应该关注的战术之一。如果企业在终端上发现恶意软件并将其删除，很有可能它还会重技术相比，使用持久化攻击应该相对容易一些。04、提升权限所有攻击者都会对提权爱不释手，利用系统漏洞达到root使用，Hooking和进程注入就是两个示例。该战术中的许多技术都是针对被攻击的底层操作系统而设计，要缓解可能很困难。提出“应重点防止对抗工具在活动链中的早期阶段运行，并重点识别随后的恶意行为。”这意味着需要利用纵深防御来防止感染病毒，例如终端的外围防御或应用白名单。对于超出基线。例如CIS基线提供了详细的分步指南，指导企业如何加固系统，抵御攻击。应对此类攻击战术另一个办法是审计日志记录。当攻击者采用其中某些技术时，它们将留下蛛丝马迹，暴露他们的目的。尤其是针对主机侧的日志，如果能够记录服务器的所有运维命令，进行存证以及实时审计。例如，实时审计运维人员在服务器上操作步骤，一旦发现不合规行为可以进行实时告警，也可以作为事后审计存证。也可以将数据信息对接给SOC系统。05、防御绕过到目前为止，该战术所拥有的技术是MITREATT&CK框架所述战术中最多的。该战术的一个有趣之处是某些恶意软件，例如勒索软件，对防御绕过毫不在乎。他们的唯一目标是在设备上执行一次，然后尽快被发现。一些技术可以骗过防病毒文件删除和修改注册表都是可以利用的技术。当然防御者可以通过监视终端上的更改并收集关键系统的日志将会让入侵无处遁形。06、凭据访问毫无疑问，攻击者最想要的凭据，尤其是管理凭据。如果攻击者可以登录，为什么要用0Day入房子，如果能够找到钥匙开门，没人会愿意砸破窗户方式进入。在明文文件、数据库甚至注册表中。攻击者入侵一个系统、窃取本地哈希密码并破解本地管理员密码并不鲜见。监视有效帐户的使用情况。在很多情况下，是通过有效账户发生的数据泄露。当然最稳妥办法办法就是启用多因素验证。即使存在针对双重验证的攻击，有双重验证（2FA）可以确保破解密码的攻击者在访问环境中的关键数据时，仍会遇到另一个障碍。07、发现“发现”战术是一种难以防御的策略。它与洛克希德·马丁网络KillChain的侦察阶段有很多相似之处。组织机构要正常运营业务，肯定会暴露某些特定方面的内容。到对手的活动。通过监视，可以跟踪用户是否正在访问不应访问的文档。正常现象，并为预期行为设定基准时，会在尝试使用这一战术时有所帮助。08、横向移动寻找其它攻击目标。攻击者通常会先寻找一个落脚点，然后开始在各个系统中移动，寻找更高的访问权限，以期达成最终目标。也将有助于限制横向移动。遵循CIS控制措施14——基于需要了解受控访问是一个很好的切入点。除此之外，还应遵循控制措施4——控制管理员权限的使用。正在滥用有效凭据。除了监视身份验证日志外，审计日志也很重要。域控制器上的事件ID4769表示，Kerberos黄金票证密码已重置两次，这可能表明存在票据传递攻击。或者，如果攻击者滥用远程桌面协议，审计日志将提供有关攻击者计算机的信息。09、收集“收集”这些技术的实际指导。实际上，大多数都是含糊其辞，称使用应用白名单，或者建议在生命周期的早期阶段阻止攻击者。上的敏感数据以及网络上其它地方的数据。了解企业存储敏感数据的位置，并采用适当的控制措施加以保护。这个过程遵循CIS控制措施14——基于需要了解受控访问,防止数据落入敌手。对于极其敏感的数据，可查看更多的日志记录，了解哪些人正在访问该数据以及他们正在使用该数据做什么。10、命令和控制于每种命令和控制，攻击者都是从远程位置访问网络。因此了解网络上发生的事情对于解决这些技术至关重要。使用80和443等端口来尝试混入网络噪音中。在这种情况下，企业需要使用边界防火墙来提供威胁情报数据，识别恶意URL和IP地址。虽然这不会阻止所有攻击，但有助于过滤一些常见的恶意软件。分析。例如Splunk等工具为识别恶意命令和控制流量提供了良好的方案。11、数据渗漏通常对数据逐渐渗出没有兴趣。与“收集”战术一样，该战术对于如何缓解攻击者获取公司数据，几乎没有提供指导意见。在数据通过网络渗漏的情况下，建立网络入侵检测或预防系统有助于识别何时传输数据，尤其是在攻击者窃取大量数据（库）的情况下。此外，尽管DLP成本高昂，程序复杂，但可以确定敏感数据何时会泄露出去。IDS、IPS和DLP都不是100%准确的，所以部署一个纵深防御体系结构以确保机密数据保持机密。如果企业组织机构要处理高度敏感的数据，那么应重点关注限制外部驱动器的访问权限，例如USB限，即可禁用他们装载外部驱动器的功能。要正确地解决这个战术，首先需要知道组织机构的关键数据所在的位置。如果这些数据还在，可以按照CIS控制措施14——基于需要了解受控访问，来确保数据安全。之后，按照CIS控制措施13——数据保护中的说明了解如何监视试图访问数据的用户。12、影响但可能已经更改为有利于对手的目标。这些技术可能被对手用来完成他们的最终目标，或者为机密泄露提供掩护。文件或数据使存储的数据无法恢复。针对这类破坏可以考虑实施IT灾难恢复计划，其中包含用于进行可用于还原组织数据的常规数据备份的过程。四、ATT&CK使用场景在各种日常环境中都很有价值。开展任何防御活动时，可以应用分类法，参考攻击者及其行为。不仅为可以使用多种方式来使用MITRE。下文是一些常见的主要场景：对抗模拟ATT＆CK可用于创建对抗性模拟场景，测试和验证针对常见对抗技术的防御方案。红队/渗透测试活动红队、紫队和渗透测试活动的规划、执行和报告可以使用ATT＆CK，以便防御者和报告接收者以及其内部之间有一个通用语言。制定行为分析方案ATT＆CK可用于构建和测试行为分析方案，以检测环境中的对抗行为。防御差距评估ATT＆CK可以用作以行为为核心的常见对抗模型，以评估组织企业内现有防御方案中的工具、监视和缓解措施。在研究MITREATT＆CK时，大多数安全团队都倾向于为Enterprise矩阵中的每种技术尝试开发某种检测或预防控制措施。虽然这并不是一个坏主意，但是的所有可能方法。由于某种工具阻止了用另一种形式来采用这种技术，而组织机构已经适当地采用了这种技术，这可能导致产生一种虚假的安全感。但是，攻击者仍然可以成功地采用其他方式来采用该技术，但防御者却没有任何检测或预防措施。SOC成熟度评估可用作一种度量，确定SOC在检测、分析和响应入侵方面的有效性。SOC团队可以参考和战术。这有助于了解防御优势和劣势在哪里，并验证缓解和检测控制措施，并可以发现配置错误和其他操作问题。网络威胁情报收集对于网络威胁情报很有用，因为是在用一种标准方式描述对抗行为。可以根据攻击者已知利用的中的技术和战术来跟踪攻击主体。这为防御者提供了一个路线图，让他们可以对照他们的操作控制措施，查看对某些攻击主体而言，他们在哪些方面有弱点，在哪些方面有优势。针对特定的攻击主体，创建MITRE导航工具内容，是一种观察环境中对这些攻击主体或团体的优势和劣势的好方法。还可以为STIX2.0中。ATT＆CK提供了将近70个攻击主体和团体的详细信息，包括根据开放源代码报告显示，已知他们所使用的技术和工具。使用的通用语言，为情报创建过程提供了便利。如前所述，这适用于攻击主体和团体，但也适用于从SOC观察到的行为。也可以通过介绍恶意软件的行为。任何支持的威胁情报工具都可以简化情报创建过程。将CK人员或管理人员变得容易得多了。如果运营人员确切地知道什么是强制验证，并且在情报报告中看到了这一信息，则他们可能确切地知道应该对该情报采取什么措施或已经采取了哪些控制措施。以这种方式，实现对情报产品介绍的标准化可以大大提高效率并确保达成共识。写在最后MITRE为大家提供了法并避免传统安全工具的检测，因此防御者不得不改变检测和防御方式。改变了我们对IP地址和域名等低级指标的认知，并让我们从行为的视角来看待攻击者和防御措施。与过去“一劳永逸”的工具相比，检测和预防行为之路要困难得多。此外，随着防御者带来新的功能，攻击者肯定会作出相应调整。新步伐。论溯源反制之思想\h/posts/OLZg进论溯源反制之思想2016年4月，国家领导人在网络安全和信息化工作座谈会上发表重要讲话指出，“网络安全的本质是对抗，对抗的本质是攻防两端能力的较量。”是我国核心竞争力的一种优势；本质上是人与人之间的对抗，而网络终端、网络设备、介质以及各种工具和平台仅仅是作为辅助手段而存在。因此如何使网络安全人员合理的利用手中的各种工具和策略来提高网络安全对抗水平，是培养“才队伍”安全再上新高度。同年，《网络安全法》颁布，出台网络安全演练相关规定：关键信息基础设施的运营者应“练”。自此实战化的“HW行动”成为惯例。结合四年来HW的经验，以及对近年来国内外实战对抗的总结后，我认为要想把HW和小规模网络对抗的防御工作做好，必须解决两个问题：第一、在实战对抗方案中，大部分的方案都在做“点”战对抗中的效果，主要是将以往安全建设的方案进行重新包装，即：新坛装老酒；第二、以往的方法论，包括：等保、ISMS、ITIL略及直接有效的操作方针来阻挡攻击者。战型网络攻击；具体操作指南需要根据实际业务场景和IT环境进行细化。就目前而言，各种网络安全的法律法规的出台，网络安全大检验一个企业安全能力的手段。那什么样的战略战术和反制手法是值得借鉴的呢，这也是对处于攻防演练中的防守方是一种考验。部署，常规出现的、容易被用户感知的异常点举例如下：网页被篡改、被挂上了黑链、web文件丢失等数据库被篡改、web系统运行异常影响可用性、web用户密码被篡改等主机出现运行异常反应卡顿、文件被加密、主机系统出现其他用户等主机流量层出现大量异常流量根据用户现场的情况往往还需要做一些信息收集的工作比如，出现异常的时间点(非常重要)、异常服务器的主要业务情况、大致的一个网络拓扑是不是在DMZ区、是否可以公网访问、开放了那些端口、是否有打补丁、使用了怎么样的一个web技术、最近是否做过什该规避风险，采取何种策略；一个web服务器公网可以访问出现了被挂黑链的事件使用框架类，那么初步可以怀疑是命令执行漏洞了；如果一台公网服务器没有安装补丁又没有防火墙防护，administrator的密码为P@sswrod功；后面的工作主要就是收集各种资料证明这一猜想即可。一般web类的安全事件在web常见几个中间件的日志如下：apache的日志路径一般配置在httpd.conf的目录下或者位于/var/log/httpIIS的日志默认在系统目录下的Logfiles下的目录当中tomcat一般位于tomcat安装目录下的一个logs文件夹下面Nginx日志一般配置在nginx.conf或者vhost的conf文件中工欲善其事必先利其器，一般日志量都比较大。互联网上还是有很多的日志检测工具，个人不是很喜欢用主要工具还是notepad++和SublimeText跟进收集的信息比如时间点这种情况，对时间点前后的请求日志进行分析，一般都都能发现一些异常。为了方便的识别一些日志，github多，一检查往往也会发现很多无效的攻击，筛选起来反而感觉更麻烦。推荐一个小工具：web-log-parser为开源的分析web日志工具，采用python多，实在不行就自己定义好规则搞一个。连接如下：\h/JeffXue/web-log-parser在处理一些访问访问、网页更改的时候、上传路径、源IP息往往都能定位到入口点。常见的一些入口点举例如下：一些CMS的EXP，比如DiscuzEmpireSpring涉及面相对较广。编辑器的上传漏洞，比如知名的FCK编辑器、UEditor之类。功能性上传过滤不严格，比如头像上传资料上传界面一些过滤严格导致的上传漏洞。Webadmin账户、或者是tomcat的managerAxis2弱口令用户、Openfire弱口令等等同时web系统往往容易存在一些webshell的情况，经常在一些上传目录里面找到一些webshell、明明是个JSP的网页还出现了一个的一句话。一般需要重点关注一下。推荐用D盾对web系统的目录进行扫描。扫描出来的webshell时间上传时间、文件创建时间、文件修改时间往往准确性都比较高，一般不会去更改这个时间，用来在日志当中排查就相对容易的多。以前一直觉得一些蠕虫病毒都挺逗的很多传播方法居然只是依靠暴力破解和MS17-010之类的漏洞传播，感觉波及面应该比较小后面才发现这个方法简单粗暴反而最有效。对于Linux平台相对安全性偏高一些，常见的几个病毒如XorDDOS、DDG、XNote/var/log/auth.log包含系统授权信息，包括用户登录和使用的权限机制等信息/var/log/lastlog记录登录的用户，可以使用命令lastlog查看/var/log/secure记录大多数应用输入的账号与密码，登录成功与否/var/log/cron记录crontab命令是否被正确的执行grep,sed,sort,awk几个命令灵活运用、关注Accepted、Failedpassword、invalid特history命令，黑客的操作了。可以重点看一下还剩下那些日志、或者关注一下网络层面是不是还有其他的安全设置可以在流量层进行溯源分析的。源于Linux一切皆文件与开源的特性，在溯源的过程中也有好处也有坏处，rootkit就是最麻烦的一件事情了。由于系统一些常用的命令明文都已经被更改和替换，此系统已经变得完全不可信，在排查溯源的过程中往往不容易发觉对安全服务的人员就有较高的技术要求了。Windows平台下面的溯源就相对容易一些当然主要还是依靠windows的日志一般用eventvwr命令打开事件查看器。默认分为三类：应用程序、安全、性统以evt文件形式存储在%systemroot%\system32\config目录；合理使用筛选器往往可以帮助我们更好的排查日志，比如怀疑是暴力破解入侵的筛选事件ID==4625审核失败的日志，后续通过对时间的排查、以及源IP地址、类型与请求的频率进行分析来判断是否是来源于内网的暴力破解通过系统内部的日志来判断是否是恶意进程的运行状态，对logontype的数值确认就可以确认到底是通过什么协议进行暴力破解成功的；相对的数值关系如下：localWINDOWS_RDP_INTERACTIVE="2"localWINDOWS_RDP_UNLOCK="7"localWINDOWS_RDP_REMOTEINTERACTIVE="10"localWINDOWS_SMB_NETWORK="3"Windows系统的补丁相对重要一些，一些关键的补丁没有打很容易遭受到攻击成功的事件。重点就关注一些常见的比如ms17-010ms08-067ms16-032等安全补丁都是内网渗透常用的攻击包。可以通过sysintemfo可以查看到当前系统当中已经安装的补丁。此外windows下面还包括很多域控的安全日志，因为内容太多就不再展开叙述，溯源主要还是想还原攻击路径，通过windows访问关系攻击者的攻击链条，给用户一个交代就好。数据库系统也是攻击者入口点的一些重灾区，常见的比如msssqlserver由于数据往往在window环境下安装后具有较高的权限，一些用户经常安装完成之后也不会怎么去加固数据库，基于库站分离的原则很多mssql公网直接就可以访问访问控制策略比较弱，弱口令的问题尤为突出。比如下对于mssql的sa用户暴力破解日志，里面也记录着客户端的IP地址如果没有配置相关的锁定策略在密码不够严格的情况下容易被攻陷。攻击者爆破成功之后启动xp_shell往往就可以以高权限执行系统命令，拿到了一个windows的shell岂不是为所欲为。Linux平台下面还有一个redisDDG挖矿、WatchDog挖矿等病毒都主要利用redis未授权访问执行命令，从互联网拉取挖矿程序写入ssh的公钥等功能。看见本地开放了6379端口的时候还是需要重点关注这个问题，多向用户咨询一下使用情况查看一下默认配置。还有一些常用的系统比如mysql数据库暴力破解提权一套装、未授权访问漏洞、钓鱼邮件、破解软件后门、恶意的office宏、office码执行漏洞、邮箱缺陷、VPN配置缺陷等情况都可能是攻击者的入口点具体情况需要结合用户当前的情况具体进行排查。和竞争奠定了基础。欺骗方面蜜罐本身就是一个欺骗类的产品，攻击对抗中蜜罐可以模仿各种各样的网站-俗称高仿真，可以将客户的网站系统复制或者“克隆”方式来欺骗黑客从而保护了真实的业务系统，还可以在业务系统的同一网段上进行部署蜜罐来达到混淆欺骗黑客的作用。真所谓“真亦假，真若假时假亦真”;诱捕方面利用人们惯用的方式“大面积撒网，重点捞鱼”的思维，在网络上广发“诱饵”么媒体平台上发布一些信息，从而来增加被捕获并且进行攻击的概率。因为黑客在信息收集的时候，一定会对目标机器进行大量的信息收集之后再去确认收集到的信息是否准确，而收集到信息有真有假包含了“诱饵”信息，黑客如果没有辨别清楚随意触发信息地址或者诱饵所设计的机制，容易导致落入蜜网。seo搜索引擎刷排名，使得诱饵文件内容可以在百度上排名靠前，增加攻击概率，可以值得一试。其他诱饵比如Pdf、rar等格式的文件，rar格式的文件的某软件可以设置下载自动解绑木马等。拖延方面业务系统各方面的不足争取到了宝贵空间，也为“大部���的撤离”争取了最后的时间。干扰方面然而，在毛主席《论持久战》一书中比较分析了敌我双方的差异，如敌人武器先进我们武器落后、敌人退步我们进步、敌人寡助我们多助等，在面对抗日战争中敌我双方矛盾基本特点及其在战争进程中强弱优劣的互相转化过程中蕴含和贯穿着一个基本思想，即战争力量强弱优劣的互相转化和战争是否能够胜利，要靠人的努力才能实现，即要发挥人的主观能动性。所以，《论持久战》在讲武器与人的关系时明确指出：“武器是战争的重要的因素，但不是决定的因素，决定的因素是人不是物。即蓝方（防守方），御状态，现如今欺骗防御理念的提出，推动了网络安全事业又迈入了一个新阶段，阐述了该思想下防守方由战略被动防御转为战略主动防御的角色转换。而该理念的推动下产生的产物就是蜜罐技术的推进，让更多的企业和厂商等看到了新的春天，新的希望，所谓的是“柳暗花明又一村”。蜜罐的使用不断地突出其优势所在，将拖延战术、欺骗战术、反制战术等等灵活应用；同时也考验设计部署者的能力和对敌方是否了解“知己知彼，百战不殆”；敌方的取向决定了防守的动向，目前一些企业都会买一些流量检测设备、日志设备、还有蜜罐的设备等等。在正式攻防对抗之前敌方（攻击方）那么这个时候防守方自然也是尽己可能排查自己内外环境所存在的漏洞点进行修复加固。攻击过程一般都是由小到大、由浅入深的形式展开，基本上都是先是探测站点信息，逐次进行打点升级。那这个时候呢，防守方的设备上一定会显示相关检测的日志信息。逐条分析滤出敌方的攻击思维，还可以根据所爆出的漏洞利用的名称，大致判断对方常用的攻击手法。根据对方攻击的频率感知平台、情报平台等等。当敌方攻击防守方时候肯定不会使用真实的IP地址，所以当防守方的设备上留下的IP不尽然是真实IP，需要不停地去明辨真实IP不断分析进行精准狠的定位打击，防守方可以根据敌方IP进行反制溯源。根据日志信息精准判断不断地进行攻击敌方的攻击IP直到敌方不在攻击为止，为什么这样说呢，因为敌方不在攻击的时候可能已经更换了IP防守再次攻击也没有任何意义了，除非能找到与之相关的一些信息来增添敌方画像的可能。《论持久战》中的十六字方针战略：“我退,敌驻我扰敌僻我打,敌退我追”具有借鉴意义。使用不断干扰敌方战略战术的手段，让敌方不能够从容镇定地完成攻击路径和攻击链条，那么防守方的目的就达到了，一定程度上延缓了敌方进攻的思路和思维方式，打破了敌方既定的战略部署，使得敌方不得不重新调整方案。此时敌方的心理已经被彻底打破了，会不停地攻击来自防守方攻击的地址，这样很容易形成胶着之势。比如：撒一些“苗”即诱饵，待山花烂漫之时，绽放出最美的“笑魇”，有心栽花花不开，无心插柳柳成荫。。。诱饵的设置无疑就是天上掉下来的大肥肉或者大毒药，敌方需要“火眼金睛”来区别对待它的到来，否则等来的是一颗毙命的💊；在反制愈演愈烈的今天，由被动到主动的角色转换，由保守到开放的姿态。蜜罐的发展弥补了这一优势不足的弱点，增添了这一亮点属于锦上添花。发挥蜜罐反制优势的特点在于或者说利用一些反制的木马、JS、XSS、PDF、Word等等，远控敌方出其不意攻其不备；还可以给敌方种马没事的时候瞎逛逛啥的，还可以扔给敌方一个炸弹或者锁机马、锁文件等等，“思想有多远就能走多远”；蜜罐像地雷，让敌人处处惊心动魄；蜜罐像陷阱，让敌方步步为营。抗日战争中的地雷战，看似一马平川其实前进道路充满惊悚；还有猎人捕捉猎物时候会设置各种各样的陷阱便命。暗示，给我方队员以鼓舞和信心。所以在网络攻防对抗中挑战的不仅仅是战略战术的配合更多的是心理学的范畴。(五)：威慑反制能力建设\h/articles/10044南京，孝陵卫。2018年12月美国网络威慑与溯源反制能力建设阶段跨越年～2018年，在这个阶段美国的国家战略逐渐从“积极防御”转变为“攻击威慑”个阶段，美国政府不但发布了多个网络威慑相关战略政策，同时也开展了一系列的相关具体行动项目。、网络威慑与反制相关政策年7月14日美国国防部发布首份《网络空间行动战略》。尽管国防部强调新战略重在防御，即加强美军及重要基础设施的网络安能导致网络空间军事化，并引发网络军备竞赛。2015年4月23日，美国公布了国防部新版网络战略。作为年7月首版《网络行动战略》的升级版，这份文件旨在划定未来5网络行动的新目标，而其中最值得关注的3个关键词——威慑、进攻、同盟，则代表了美军网络力量的发展方向。新战略声称，为阻止网络攻击，必须制定实施全面的网络威慑战略，“在网络恶意行为发生前威慑此类行为”。为有效实施威慑，美应具备以下能力：一是通过政策宣示展现反击态度；二是形成强大的防御能力，保护国防部和整个国家免受复杂网络攻击，实现“拒止”威慑；三是提高网络系统的恢复能力，确保国防部网络即使遭受攻击后也能继续运转，以降低对手网络攻击的成功几率。2018年9月18日，美国国防部公布了《2018出了建立更具杀伤力的力量、网络空间竞争及威慑、强化联盟和合作伙伴关系、改革国防部、以及培养人才等五条具体战略方针。《2018相互促进的活动将使国防部能够在网络空间领域竞争、威慑并取胜。北京，软件园深秋。2018年11月、溯源与反制主要行动在网络进攻方面，存在美国国家全局（NSA）和美国中央情报局（CIA）身影的Stuxnet工业病毒和WannaCry勒索病毒都对全球网络Mitre开发KillChain和Att&CK模型，促进威胁情报标准Stix/Ta