亚信安全实习。Internship at AsiaInfo Security
1. 安全威胁基础
1.1 安全威胁基础
内容概要:APT 攻击、勒索病毒、挖矿病毒、无文件攻击、零日攻击。
1998-以破坏恶作剧为主
2008-APT攻击,有组织有蓄谋,长期隐藏,极强的针对性
2014-勒索/挖矿,黑产完善,明确经济诉求
1.1.1 APT攻击
锁定特定目标、有计划性、潜伏性、持续性。
案例:2020 SolarWinds,利用Orion秘密分发恶意软件监视用户,提取敏感数据文档。“供应链攻击”
可以轻而易举地穿透基于已知威胁防护的传统防御体系(防火墙/IPS,邮件网关,Web网关,服务器及终端防护),一旦攻击被发现,追溯和分析会非常复杂,需要很强的专业知识和技能。
1.1.2 勒索软件
劫持用户文件等方式,使用户资产或计算资源无法正常使用,并以此向用户勒索钱财的恶意软件。
形式:数据加密型、木马破坏型、用户锁定型。
案例:2021 LockBit窃取了6TB埃森数据,要求支付5000万美元赎金。
WannaCry,Petya,Bad Rabbit
趋势:勒索病毒加速更新和变种,多平台病毒陆续发现,走向产业化,攻击将更具有针对性,勒索赎金越来越高。
1.1.3 挖矿病毒
通过恶意代码利用其他人计算机的计算资源来挖矿,为自己牟利。
类型:网站挖矿,本机挖矿,无文件挖矿(证书伪装,内存等),IoT挖矿。
案例:2021 PolyNetwork 超6亿美元加密货币资产
趋势:利用新暴露漏洞攻击,无文件攻击形式成新宠,挖矿病毒仍将主要采取暴力破解进行传播,云和IoT安全面临挑战。
1.1.4 无文件攻击
影响力非常大的安全威胁,不会在目标主机的磁盘上写入任何的恶意文件,因而得名。
类型:漏洞型攻击,灰色工具型攻击,潜伏型攻击。
案例:大多利用Powershell,Linux Ransom EXX无文件攻击,前身是Windows下的勒索病毒。
1.1.5 零日漏洞
零时差攻击,被发现后立即被恶意利用。具有突发性和破坏性。
问题:企业需要预先评估漏洞补丁-安全空窗期,操作系统超出被支持范围。
案例:Windows Print Spooler远程代码执行漏洞,允许攻击者以SYSTEM权限执行任意代码。
总结:安全威胁趋势发展,常见威胁的概念及特征,具体事件。
1.2 防护和治理
信息安全的定义:ISO定义:为数据处理系统建立和采取技术、管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而受到破坏、更改、泄露。
1.2.1 安全模型与法律法规
CIA:信息安全三要素,保密性,完整性,可用性。
DAD:泄露,篡改,破坏。
网络安全-主机安全-应用安全-数据安全和备份恢复。
等保2.0,通用要求:技术要求和管理要求,扩展:云计算、移动互联、物联网、工业控制、大数据安全扩展要求。
网络安全法,第二十一条。
被动防御-主动防御:
PPDR模型,
预测-基线攻击,攻击预测,主动探索预测
阻断-加固和隔离系统,转移攻击,事故预防
检测-事故检测,风险确认和排序,事故隔离
响应-设计/模式改变,修复和改善
1.2.2 安全技术体系
区域边界安全 | 网络安全域划分与隔离 | 隔离网闸/防火墙 |
ㅤ | 网络入侵检测与防护 | IDS/IPS |
ㅤ | 网络边界准入 | 网络、应用、客户端准入 |
ㅤ | 边界内容控制 | 防病毒网关 |
通信网络 | 网络冗余 | 链路负载、服务器、双机均衡 |
ㅤ | 网络传输安全 | VPN |
ㅤ | 网络设备安全检测 | 漏洞扫描 |
计算环境 | 应用安全 | 身份认证权限划分/应用服务器统一检控 |
ㅤ | 主机安全 | 终端安全管理/终端入侵检测和反病毒 |
ㅤ | 数据安全 | 通信与存储加密/本异地数据备份与回复 |
安全管理 | 审计安全 | 日志审计/资产管理 |
ㅤ | 态势感知 | 数据采集处理分析/威胁情报 |
1.2.3 常见安全防护方法
防火墙:静态数据包过滤、应用级(代理防火墙)、状态检测(动态包过滤)。
安全网关:UTM 统一威胁管理、NGFW 下一代防火墙。
入侵检测:IDS入侵检测系统,IPS入侵防御系统。
网络准入控制NAC:节点检测-身份认证-安全检测-授权-策略执行-隔离修复-接入控制。
VPN虚拟专用网,一条通信隧道。
漏洞防护:补丁发布-测试-部署-完成部署,无需重启服务器,解决EOS系统问题,抵御零日漏洞。
终端病毒防护与治理:特征码匹配,行为分析,沙盒分析。终端病毒检测与清除。
数据加密:对称和非对称。
身份认证:集中账号、认证、权限、审计管理,4A。
安全审计:流量审计,数据审计,行为审计。评估漏洞及隐患,测试策略和操作情况,发现网络系统入侵,调查取证。
态势感知:感知理解预测。
EDR XDR
PPDR
第一阶段:阻断,已知/高级威胁-传统EPP、防火墙、入侵检测系统。
第二三阶段:检测和响应-行为特征和高级威胁,强调快速响应和恢复补救,EDR,NDR,APT监控设备和沙箱。
第四阶段:预测,未来安全由威胁情报驱动,MDR,TI,Decpetion,UEBA。
1.2.4 防护体系
1.3 建立安全防范意识
有价值的信息-信息资产。
华住酒店信息泄露,facebook硬盘失窃,未加密的员工姓名、银行账户、社保号等。
信息安全目标:CIA三要素-可用性,保密性,完整性。
阻止未授权人员进入公司,不用来路不明的U盘,不贴便利贴,记得锁屏,丢弃重要文件需要破碎,不要在社交网站透露敏感信息,小心被钓鱼。
注意网站链接,免费,绿色,折扣等字眼不要轻易去点。谨慎点击可执行文件,会伪装文件夹图标。报毒就不要运行。
电子邮件安全,警惕打开文件和点击。
社会工程学,心理弱点、好奇心、信任等心理陷阱进行利用,伪装成信任发件人。点击链接就会被入侵。电话伪装,客服,套取个人信息。
保护密码,2FA等,密码不要包含个人信息,避免能从社交网络中获得的信息。
1.4 安全事件的一般处理建议
1.4.1 反病毒
病毒名称定义:类型+平台+病毒名(家族)+病毒变种名+其他信息
例:RANSOM.Win32.Badrabbit.SM
工作机制:扫描文件。扫描引擎,病毒码,间谍软件病毒码,网络病毒码。
损害清除服务(DCS):病毒清除、终止进程、DLL脱钩、删除、注册表回复、专杀、组件-损害清楚引擎和模板,间谍软件清除码。
常见问题:为什么会出现无法清除的病毒?
感染型病毒在正常文件中插入一片恶意代码,难隔离。
病毒进程已经被系统加载
DLL已经嵌入运行的系统进程中
Windows自身特性,加载的文件无法进行改动操作
加载的病毒不在损害清除模板DCT中
1.4.2 安全事件处理流程
终端系统上如何处理。
已知病毒:
能检测,但无法删除、隔离、清除。
处理流程:拔网线、收集病毒日志、确认病毒名称、路径和文件名、搜索病毒知识库寻找解决方法、根据方案手动清理病毒、若找不到方案或方案无效可收集样本与系统信息厂商协调处理。
未知病毒:
无法检测,但出现病毒现象,疑似情况。
拔网线、ATTK工具收集系统关键信息、如明显可以将文件压缩加密、反馈给安全厂商寻找病毒解决方案。
其他:
恶意代码被清除后,文件损坏-提交厂商。
宏病毒打开异常或被隔离-收集原始样本给厂商。
网络异常,ARP攻击-抓包信息给厂商。
手动处理建议:
安全模式下操作,
终止所有可疑进程和不必要进程,
关闭系统还原,
显示所有隐藏文件,
判断可疑文件,
路径 %SystemRoot%\System32\drivers\
日期排名,查看版本信息
LOG文件,DLL会伪装
OCX文件
判断关键位置内容是否被篡改
1.4.3 常用工具
ATTK
反病毒工具集:病毒查杀工具、系统信息收集工具。
WireShark
抓包工具。
Rootkit Buster
MBR问题的收集工具。
Autoruns
显示Windows自启动程序,允许用户禁用和删除。(自带够了)
Process Explorer
WIN系统和应用程序监视工具,能看DLL链接。
1.4.4 典型案例分析
Worm_downad 黑客蠕虫
传播手段-漏洞MS08-067和移动存储
特征:组织访问安全网站,安全配置失效,暴力破解密码
解决方法:通过日志找感染源,各计算机装补丁,专杀,将域密码改为强密码。
PE_SALITY
传播手段-漏洞MS10-046,移动存储,网络共享,电子邮件
特征:终止安全相关软件和服务,禁用防火墙,注册表,任务管理器,进入安全模式,共享目录及子文件存在LNK和TMP文件,存在恶意的AUTORUN.INF。
解决方法:日志找感染源(O母体文件),ATTK,关闭系统还原,安装补丁
勒索
类型:传统勒索病毒,勒索蠕虫
特征:文档被锁定,弹出勒索信息
传统手段:社工(订单,银行账单),宏病毒的Word/Excel附件
特点:依赖人机交互
勒索蠕虫手段:MS17-010,互联网传入,WannaCry勒索,永恒之蓝,军用工具的使用。
被加密的文件,收集日志,难解。
预防:提升安全意识,OSCE防御,备份重要文档:三二一规则,3副本,2不同格式保存,异地保存。
挖矿病毒
ATTK或专杀
预防:提升安全意识,更新病毒库,浏览器安全防护功能,任务管理器,资源监视器留意异常现象。