技战法-借助情报进行防护处置

通过情报进行攻击收缩

一、背景

攻击队获取内网权限主要采用以下两种方式：

1. 利用外部暴露漏洞入侵：通过企业暴露在外的服务器端口或业务系统自身的0day/Nday漏洞，以常规入侵手段进入内网，再通过横向移动控制整个网络。

2. 基于敏感信息收集入侵：借助爬虫、暗网、GitHub、码云或文库等渠道，收集企业人员信息、业务代码、域名、用户名及证书等敏感数据，结合钓鱼邮件或代码审计等技术实施内网渗透。

该技术方法的核心目的是：利用外部威胁情报监控能力与威胁情报关联分析，发现企业在互联网上暴露的服务端口及泄露的敏感信息（如邮箱、账户、密码或代码）

二、防御思路

步骤1: 资产扩展与发现未记录资产

• 原理：利用被动DNS（pDNS）数据关联企业的已知IP和域名资产，可以扩展发现未在内部记录的外部资产（如子域名、影子IT系统）。这基于威胁情报基础信息，例如从公开数据库或商业服务中获取关联数据。

• 操作方法：

  • 使用工具如Censys或Shodan查询pDNS记录，输入企业域名（如$example.com$），提取相关IP和域名。

  • 通过情报平台（如VirusTotal或ThreatConnect）关联这些资产，识别潜在风险点。：

步骤2: 情报查询获取资产细节

• 原理：基于发现的资产，查询开放端口、证书信息（如SSL/TLS证书）和关联服务，以评估暴露面。这能揭示可被攻击者利用的弱点（例如，未加密的端口或过期证书）。

• 操作方法：

  • 使用工具如Nmap或Masscan扫描IP资产的开放端口（例如，扫描范围$[0, 65535]$端口）。

  • 通过证书透明度日志（如crt.sh）查询域名关联的证书信息，识别潜在漏洞。

  • 结合威胁情报源（如AlienVault OTX）进行实时监控。重点关注高风险端口（如$22$用于SSH或$443$用于HTTPS），并设置告警规则。例如，端口扫描后可生成报告，优先处理高威胁资产。

步骤3: 敏感信息检索与泄露识别

• 原理：通过关键字（如企业名称、简称、域名）在搜索引擎和专用平台搜索，暴露泄露的邮箱、账号、密码等敏感数据。这模拟攻击者侦察阶段，帮助提前加固。

• 操作方法：

  • 在FOFA（fofa.so）或ZoomEye（zoomeye.org）输入查询语法，如title="企业名称"，过滤出相关资产。

  • 使用Google Dorking技术（如site:example.com intext:"password"）查找公开泄露信息。

步骤4: 漏洞识别与历史漏洞检索

• 原理：从漏洞数据库查询业务系统版本信息，识别已知漏洞（如CVE条目），以评估潜在攻击路径。乌云等平台提供历史漏洞数据，帮助预测攻击者可能利用的点。

• 操作方法：

  • 访问CVE数据库（如nvd.nist.gov）或乌云镜像，输入业务系统名称（如Apache版本），获取漏洞详情。

  • 关联步骤1-3的发现，匹配漏洞影响（例如，如果发现开放端口$8080$运行旧版Tomcat，则查询相关CVE）。

  • 使用漏洞管理工具（如Nessus或OpenVAS）进行自动化扫描。优先处理高风险漏洞（CVSS评分 $\geq 7.0$），并建立漏洞优先级矩阵。

步骤5: 监控、加固与持续运营

• 原理：综合前序步骤的情报，安全团队可以重点监控高风险资产和账号，实施加固措施（如补丁更新或访问控制），减少攻击面。

• 操作方法：

  • 部署SIEM系统（如Splunk或ELK）整合所有数据源，设置实时告警（例如，针对新泄露信息或漏洞利用尝试）。

  • 定期演练红蓝对抗，验证防御效果。

• 建议：制定响应计划，包括：

  • 立即行动：对泄露账号强制密码重置。

  • 长期策略：每季度更新资产清单和威胁模型。监控频率建议：资产发现每日一次，漏洞扫描每周一次。

三、对抗过程

在网络安全防护演习的准备阶段，企业通过系统化的资产管理和威胁情报应用来降低潜在攻击风险。这个过程基于网络安全最佳实践（如NIST框架和ISO 27001标准），确保演习期间安全态势得到优化。

步骤1: 演习前的资产与威胁情报评估（提前1-2周）

在演习开始前，企业需要全面梳理自身资产，并利用内外部威胁情报平台进行风险评估。具体步骤如下：

• 资产识别：首先，收集企业所有IP地址和相关资产（如服务器、应用系统），建立资产清单。这有助于确定暴露在互联网上的关键点。

• 威胁情报查询：使用市面上第三方威胁情报服务平台（如VirusTotal或IBM X-Force）或企业内部平台，查询这些资产的开放服务端口（如HTTP的80端口、SSH的22端口）。通过关联情报数据，识别出非必要或高风险端口（例如，未加密的FTP服务）。

• 敏感信息扫描：同时，利用外部威胁情报监控工具（如Shodan或Censys），扫描与企业相关的泄露信息（如员工邮箱、配置文件）。例如，如果发现公开的数据库管理后台URL，立即标记为漏洞。

• 风险处置：基于查询结果：

  • 关闭所有非必要开放端口和管理后台（如测试环境端口），减少攻击入口。

  • 对无法关闭的服务（如核心业务端口），进行加固措施（如升级加密协议、设置访问控制列表）。

  • 重点监控列表：生成一个脆弱点监控清单，包括所有加固后的端口和潜在泄露点（如特定邮箱）。

这一阶段的目标是将攻击面最小化。根据行业数据，关闭非必要端口可减少70%以上的常见攻击向量（例如，暴力破解或端口扫描攻击）。

步骤2: 演习期间的监控与响应

演习开始后，由于前期准备，攻击面已大幅缩减。但攻击队可能尝试利用残留脆弱点，因此安全运维团队需执行实时监控：

• 重点监控：对预先标记的脆弱点（如加固端口或泄露邮箱）部署监控工具（如SIEM系统或EDR解决方案）。例如，在管理后台设置异常登录告警。

• 告警触发：一旦检测到可疑活动（如多次失败登录尝试），系统立即触发告警。运维人员通过日志分析确认攻击行为（如IP溯源）。

• 响应行动：及时封禁攻击源IP，并启动溯源流程（如追踪攻击路径）。例如，如果攻击队利用泄露邮箱发送钓鱼邮件，快速隔离相关账户并修复漏洞。

通过这种主动监控，企业能在攻击初期就阻断威胁。根据演习经验，及时响应可将潜在损失降低90%以上，并提升溯源效率。

四、成效

此技战法通过主动侦察，帮助企业安全团队在演习或实际攻击前识别和收敛风险。

主要效果包括：

• 攻击面收敛：减少未记录资产和暴露服务，降低被利用概率（例如，通过关闭不必要的端口）。
• 成本效益：利用免费或开源工具，降低安全投入。
• 合规性：符合GDPR或等保要求，强化数据保护。