【大白分享】HVV精心制作助力之常见攻击手段及处理第二篇
  

山东_朱文鑫 2007621人觉得有帮助

{{ttag.title}}
本帖最后由 山东_朱文鑫 于 2023-6-9 16:21 编辑

大家好,我是大白,只有珍惜时间的人,才能得到时间的慷慨。依旧感谢各位小伙伴的一路支持与陪伴。

【大白分享】HVV精心制作助力之常见攻击手段及处理第一篇:https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=257469



本篇继上篇HVV精心制作助力之常见攻击手段及处理第一篇,作为第一篇的基础篇和外部威胁处理篇,本篇我们就想继续讲一下外部威胁的处理方式,希望能够帮助各位小伙伴度过一个轻松愉快的HVV期,芜湖~~!


一、内部威胁处理:

我们常见的内部威胁分为僵尸网络病毒、恶意软件(病毒文件)类URL、蠕虫病毒、挖矿病毒、永恒之蓝漏洞攻击、勒索病毒等等这几大类。


1.僵尸网络

僵尸网络(Botnet)是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。主机很可能已被黑客控制,正与黑客通信,被黑客控制后存在以下风险:

    1}造成机密信息被窃取,比如机密文件、关键资产的用户名和密码等;

    2}主机作为“肉鸡”攻击互联网上的其他单位,违反网络安全法,遭至网信办、网安等监管单位的通报处罚。

    3}可能存在挖矿、后台刷广告访问量等非法牟利行为。


传播途径:

    主动漏洞利用攻击,互联网来历不明的网站和恶意程序,邮件病毒等各种手段都可以用来进行僵尸网络病毒的传播。

僵尸网络研判分析:



僵尸网络的判断基本没有误报,原理是基于主机请求的域名,正常用户都不会去请求这样的域名。僵尸网络一般通过这些域名去执行攻击者的命令。

可以通过微步在线判断这些域名是否为恶意域名

通过深信服响应工具进行处理https://edr.sangfor.com.cn/#/introduction/bot_net



2.访问恶意软件(病毒文件)类URL

这个事件在SIP中也经常出现,指的是主机访问恶意文件类URL去下载恶意程序的一个可疑行为,当可疑行为发生时,该主机可能已经沦陷,有以下危害:

     主机感染病毒,沦为肉鸡,个人信息被泄漏;主机感染病毒,沦为肉鸡,对外发起攻击,可能被监管单位通报。
传播途径

    恶意链接指互联网上提供的可疑文件下载链接,当用户在不知情的情况下访问此链接,会自动下载恶意文件,在用户不知情的情况下,打开运行,最终导致主机感染病毒。该行为基本都是恶意程序发起的,少情况下是黑客入侵之后发起的。



可以类同僵尸网络进行分析判断,不过该事件有更大可能是用户自己主动去下载了盗版软件或者不正规软件导致,可以先判断下访问的域名是否是盗版软件网站,也可以询问用户来加以辅助判断。

对于petya可以通过相应工具进行查杀https://edr.sangfor.com.cn/#/introduction/petya



3.蠕虫病毒

蠕虫是一种通过网络传播的恶性病毒,它具有普通病毒的一些共性,如传播性,隐蔽性,破坏性等,同时具有自身特性,如利用文件寄生(有的存在于内存中)对网络造成拒绝服务(Dos),蠕虫病毒可以在超短时间蔓延整个网络,造成网络的瘫痪。与上面两个病毒不太一样的是,有的蠕虫病毒不会跟互联网进行交互。所以难以直接通过流量来判断是否是蠕虫病毒。

传播途径:

    蠕虫病毒可利用的传播途径包括文件、电子邮件、Web服务器、网络共享等等。

蠕虫病毒分析研判:

当蠕虫具有互联网特征时,例如飞客蠕虫,判断方法如僵尸网络一样,通过域名判断,基本没有误报。

当蠕虫没有互联网特征时,只是恶意的在局域网不断传播,就有一些行为特征,目前主流的传播方式有以下两种:

    1}暴力破解

    2}永恒之蓝漏洞利用

除此之外,还可以通过电脑是否有卡顿等现象来判断。





暴力破解

可参照之前的暴力破解事件处理

深信服安全感知平台只是通过流量发现该主机存在爆破行为,但无法准确分析出是该主机的业务异常触发的爆破行为,还是病毒行为。


蠕虫病毒处置

处置建议:

    1}修改主机密码为强密码(密码大于8位数,包含字母大小写、数字和符号
    2}使用蠕虫病毒专杀进行病毒查杀




4.挖矿病毒

挖矿病毒可以理解为僵尸网络的一种,不过它的目的很明确,就是占用系统资源去挖矿。

当主机已被黑客控制,沦为肉鸡,挖矿病毒会大量耗费CPU资源,也存在以下风险:

    1}造成机密信息被窃取,比如机密文件、关键资产的用户名和密码等;
    2}主机作为“肉鸡”攻击互联网上的其他单位,违反网络安全法,遭致网信办、网安等监管单位的通报处罚

传播途径:

   1}钓鱼邮件,恶意代码伪装在邮件附件中,诱使打开附件感染病毒。

   2}其他不知名网站上下载了被植入了挖矿病毒的恶意程序(如激活工具等)。

   3}利用永恒之蓝漏洞(MS17-010)等系统漏洞进行传播。

   4}通过暴力破解RDP-3389端口、SSH-22端口、文件共享-445端口、数据库端口-1433等控制主机,获取管理员权限后上传病毒程序执行。

挖矿病毒分析研判:



   1}挖矿病毒的告警是基于互联网通信时的域名判断,基本不存在误报。

   2}若想验证的话可以将通信的域名输入微步在线进行恶意域名的分析。

   3}这边也建议防火墙和态势感知及时升级相关库


挖矿病毒处置:

   深信服挖矿病毒响应工具:https://edr.sangfor.com.cn/#/introduction/mining_virus



5.永恒之蓝漏洞攻击

永恒之蓝漏洞是微软windows系统一个普遍存在的漏洞,利用的是445的文件共享端口,老机器在不打补丁的情况下都默认存在这个漏洞。

2017年5月12日起,全球范围内爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码,这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。五个小时内,包括英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件,对重要数据造成严重损失。

该漏洞攻击特征较为明显,不存在误报。

永恒之蓝漏洞攻击分析研判



永恒之蓝漏洞攻击处置

当SIP平台有此告警之后,可以确定的是该机器已经中病毒或被黑客利用。可参照之前的各类病毒处置手法进行处置。
另外,针对该漏洞可以采取以下几种手法进行修补:

   1}关闭445高危端口

   2}系统打上微软的MS17-010补丁,根源上修复漏洞

   3}做好区域隔离,防止该漏洞被利用


普遍病毒处置方法:

   使用EDR杀软进行查杀或者专业的僵尸网络查杀工具。



6.勒索病毒

勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。

勒索病毒现在可以分成两种,一种是类似僵尸网络的机械化投放的,可以按照之前的僵尸网络进行处理和分析。
另一种是黑客投放,这个建议平时加强防护,分析的话对专业要求比较高。一旦发现建议立即联系安全厂商进行应急响应。



二、安全加固

1.主机加固

   1}主机关闭没必要的风险端口(如TCP 135、139、445、UDP 137、138)
   2}主机定期进行病毒查杀,并定期修改密码(密码8位数以上,包含数字字母符号)。
   3}主机关闭文件共享服务
   4}安装永恒之蓝漏洞补丁,防止主机因漏洞被其他主机攻击而持续感染病毒、也可通过EDR热补丁进行修复.



2.安全意识

  1}不随意打开来历不明的邮件及附件;

  2}不随意下载或打开来历不明的文件,不随意浏览恶意网站。

  3}不要私自搭接双网卡,将内外网互通

  4}不要私自搭建代理将内网高危端口映射到公网



3.辅助加固

对业务资产系统定期进行漏洞扫描、基线核查、渗透测试、系统加固、漏洞修复、Web漏洞扫描

三、HVV建议

HVV或攻防演练场景对实时性要求较高,建议使用重保中心模块的实时告警分析模块,常用刷新间隔和重保配置



重保配置:



默认情况下重保中心是对全网流量进行分析,如果负担比较大,或者想把靶标或者对外可访问的业务系统单独做一个区分就可以使用重保配置来设置,不过需注意红框内容。

勾选右边仅看重点关注即可筛选:



告警分析:



分析的所有事件会聚合到下面方便研判,点开可以看到详细信息,重保的一个优势就是会将同一段时间的所有类似行为做聚合,比如爆破行为就直接统计爆破了多少次等。
另外右边可以联动各个设备进行处置,常用的联动防火墙封IP,联动EDR杀毒等

内外部威胁:



主要通过事件标签来判断,也是通过这个地方来区分内网的病毒种类,好做到专项专杀

脆弱性发现:



态势感知还可以通过被动的流量发现一些网站存在的问题和风险,因为暂未被利用,所以称为脆弱性,因为是被动收集的,不能保证完全发现和准确率,其中弱密码较为常用。

日志检索:



最详细,最原生的日志就在这个日志检索模块,无论是日常分析还是重保分析,都可以来这个地方进行最终的分析,建议通过时间和源目IP来筛选



这个地方还可以进行日志上的统计和分类,筛选安全检测日志之后下面会有各个类别的统计

潜伏威胁黄金眼同样也可用形成多维的威胁系统展示,特别是在HVV下潜伏威胁黄金眼绝对是你的第一大助力。

相应工具拓展:



以上就是本次的HVV精心制作助力之常见攻击手段及处理第二篇,本篇主要是相对深入一些,介绍了内网常见的威胁处理方式以及加固方式等等,截至第二篇,对于HVV的助力就到此结束了,两篇均为精心制作篇幅 较长,但是耐心看完一定有用,感谢大佬们的参阅,此贴先到这里后续会带上更加优质的帖子,感谢大家!

励志分享超清壁纸语句~~:



各位舰长,星门已开,伊甸将至,诱导已亮,前方净空,准许跃迁,祝君武运昌隆,点亮星空,燃尽星河!!


好的今天就到这里,老样子,感谢各位大神的参阅,孩子为了挣豆子不容易,孩子家里穷没豆子吃饭了!!!

打赏鼓励作者,期待更多好文!

打赏
84人已打赏

牵网线的 发表于 2023-6-9 14:35
  
楼主分享的案例很实用,具有典型性,希望有更多这样的干货供我们学习参考,非常感谢!
新手899116 发表于 2023-6-9 15:02
  
感谢分享,构建全联接的未来
zjwshenxian 发表于 2023-6-9 18:50
  
楼主分享的案例很实用,具有典型性,希望有更多这样的干货供我们学习参考,非常感谢!
浮云终日行 发表于 2023-6-9 19:44
  
逐句地看完这个帖子以后,我的心久久不能平静,震撼啊!为什么会有如此好的帖子!我纵横社区多年,自以为再也不会有任何帖子能打动我,没想到今天看到了如此精妙绝伦的这样一篇帖子。
sangfor_s 发表于 2023-6-9 19:44
  
逐句地看完这个帖子以后,我的心久久不能平静,震撼啊!为什么会有如此好的帖子!我纵横社区多年,自以为再也不会有任何帖子能打动我,没想到今天看到了如此精妙绝伦的这样一篇帖子。
sangfor_双 发表于 2023-6-9 19:44
  
逐句地看完这个帖子以后,我的心久久不能平静,震撼啊!为什么会有如此好的帖子!我纵横社区多年,自以为再也不会有任何帖子能打动我,没想到今天看到了如此精妙绝伦的这样一篇帖子。
秦冰 发表于 2023-6-9 19:44
  
逐句地看完这个帖子以后,我的心久久不能平静,震撼啊!为什么会有如此好的帖子!我纵横社区多年,自以为再也不会有任何帖子能打动我,没想到今天看到了如此精妙绝伦的这样一篇帖子。
S_李军 发表于 2023-6-9 19:44
  
逐句地看完这个帖子以后,我的心久久不能平静,震撼啊!为什么会有如此好的帖子!我纵横社区多年,自以为再也不会有任何帖子能打动我,没想到今天看到了如此精妙绝伦的这样一篇帖子。
肖振宙 发表于 2023-6-9 19:47
  
逐句地看完这个帖子以后,我的心久久不能平静,震撼啊!为什么会有如此好的帖子!我纵横社区多年,自以为再也不会有任何帖子能打动我,没想到今天看到了如此精妙绝伦的这样一篇帖子。
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
【 社区to talk】
安全效果
干货满满
技术笔记
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
POC测试案例
全能先锋系列
云化安全能力

本版版主

7
20
6

发帖

粉丝

关注

本版达人

ggbang

本周建议达人

adds

本周提问达人