【安恒EDR功能预告】攻防对抗之隧道搭建
前情提要
上一期,跟大家聊到攻防对抗中的单机扩展,有些小伙伴是不是还一头雾水,单机扩展到底是什么呢?而有些小伙伴却还意犹未尽,想尽快了解一下后面几个功能,甚至还有小伙伴会提到什么是攻防对抗,攻防对抗到底有哪几个阶段呢?别着急,后面几期的文章会跟大家一一讲解。
为了让大家更加清楚地了解一下攻防对抗的各个过程,这个时候我们不妨以一个攻击者视角来聊一下攻防对抗这件事情。
现在假设你是攻击方,如果你打算窃取数据、破坏业务系统,你第一步会打算做什么呢?
是不是需要了解一下到底要窃取谁的数据?破坏哪个业务系统?然后再去规划怎么去实施攻击?
没错,上面讲到的其实就是攻击前的准备阶段,其中的工作就包含了目标定位(定位需要攻击的系统是哪一个)、信息收集(收集攻击目标的相关信息)、准备工具(根据收集到的信息准备相应的渗透攻击工具)。细心的小伙伴这个时候就会想到上一期单机扩展的内容了。
准备阶段就是对应于单机扩展中的信息收集阶段,而安恒EDR的高级威胁功能中的单机扩展就是为了应对攻击者信息的收集而准备的。只要使用了安恒EDR的单机扩展功能,那么攻击者就无法获取本机的信息以及提权,也就无法进行下一步的攻击了。
第二步,就是本期要讲的入侵阶段,包括信息收集、搭建隧道以及进行漏洞攻击。
这里可能有小伙伴就会有疑惑了,明明准备阶段已经进行了信息收集,为什么入侵阶段也需要收集信息呢?其实答案很简单,入侵的过程其实也是一个信息收集的过程,因为并不是每一次的攻击都是有效的,这就需要在入侵的过程中不断的收集对抗过程暴露的一些信息,方便在下一次攻击中能够进行更加有效的攻击。而其中的漏洞攻击就是基于收集到系统存在的一些常见的易被利用的高危漏洞而进行的一种攻击方式。
隧道搭建
隧道搭建,也就是本期主要讲解的入侵过程,在该过程中攻击方会通过以“正向”、“反向”、“多级级联”等方式打通一条网络隧道,直达网络深处,用类似蚯蚓独有的手段突破网络限制,给防火墙松土。在很多复杂的网络环境中,攻击者需要将自己的攻击流量带入到目标所处的网络进行下一步的横向拓展时,会使用各类的隧道搭建工具建立流量传输隧道。
说的简单一点就是,搭建一条直通内网的通道,相当于给攻击方开了一扇大门,可以随意进出。而由于不同网络的边界策略不同,有的无法在互联网直接访问,有的无法直接连接等等,攻击者会根据不同的防火墙策略,选取不同的方式来建立隧道。如外部无法直接访问攻击者控制的内网服务器时,会采用“反向”的回连方式建立代理隧道。“反向”即由失陷的服务器主动发起建立隧道的请求,与攻击者服务器建立隧道,攻击者借由该隧道将流量带入失陷服务器内网,进行下一步的攻击行为。
常见处置方式
那么对于一般的机器遇到隧道搭建等渗透攻击该如何处理,安恒EDR相关专家建议:
1、注意检查防火墙软件的工作状态,保证防火墙正常运行;
2、查看当前正在活动的网络连接,对可疑连接进行关闭并禁止相应IP访问;
3、对正在监听的端口和运行的服务进行排查,关闭不必要的服务和端口;
4、全盘检查和扫描,寻找可疑文件并删除;
5、关闭与可疑服务相关的进程;
6、安装防隧道搭建的安全防护软件。
安恒EDR解决方案
对于隧道搭建黑客渗透工具,安恒EDR相关专家根据上百种ATT&CK攻击检测模型,研发高级威胁模块中的隧道搭建功能,全面提高威胁检测能力,对隧道搭建的恶意行为进行实时监控使得EDR不仅能够防止黑客渗透工具的产生,而且还能做到黑客渗透工具的防启动和防隧道搭建。
防生成:开启病毒防护功能中的文件产生时、存储介质连接时扫描,可在恶意渗透工具落地实时发现阻断并告警。详细记录生成的包括文件路径、工具名称、MD5等相关信息,用于排查和告警。
防启动:开启病毒防护功能中文件执行时扫描,可在恶意渗透工具启动时实时发现阻断并告警。详细记录生成的包括进程、进程命令行、父进程、父进程命令行等相关信息,用于追踪溯源。
防搭建:开启高级威胁中的隧道搭建功能模块,可在渗透工具进行隧道搭建时实时阻断并告警。详细记录生成的包括来源IP、进程树、风险评级等相关信息,用于追踪溯源。
安恒EDR是一款集成了丰富的系统防护与加固、网络防护与加固等功能的主机安全产品。业界独有的高级威胁模块,专门应对攻防对抗场景;自主研发的免疫引擎与专利级文件诱饵引擎,有着业界领先的勒索专防专杀能力;通过内核级东西向流量隔离技术,实现网络隔离与防护、流量画像;拥有补丁修复、外设管控、文件审计、违规外联检测与阻断等主机安全能力。目前产品广泛应用在服务器、桌面PC、虚拟机、工控系统、国产操作系统、容器安全等各个场景。
下期预告:
攻防对抗之远控持久化
往期精选
围观
热文
WAF亚太区市场份额排名出炉,安恒信息为唯一进入前三的中国厂商
热文
三度蝉联 |安恒信息入选“2019中国自动化领域年度优质工业安全服务商”