SEC504.2 Recon, Scanning, and Enumeration Attacks
Table of Contents Page
Hacker Tools, Techniques, and Exploits Introduction
MITRE ATT&CK Framework
Open-Source Intelligence
Lab: OSINT with SpiderFoot
DNS Interrogation
Lab: DNS Interrogation
Website Reconnaissance
Network and Host Scanning with Nmap
Lab: Nmap
Cloud Spotlight: Cloud Scanning
Lab: Cloud Scanning
SMB Security
Lab: SMB Security
Defense Spotlight: DeepBlueCLI
Lab: Windows Password Spray Attack Detection
本課程的目的
ï 本課程部分的目的是瞭解攻擊方法……
ï …以便我們能夠實施有效的防禦策略
ï 專為事件處理人員、安全人員和系統管理員設計
ï 攻擊是什麼樣的,我們如何應用我們在 504.1 中討論的事件處理流程?
– 我們如何建立有效的防禦?
– 這就是我們在這裡的原因
為何我們選擇報導這些內容
ï 我們為什麼選擇這些工具和技術
– 它們現在被廣泛使用
– 它們為我們提供了有關攻擊者所採用原則的基本資訊
– 它們說明了我們需要做些什麼來保護自己
– 其中一些令人驚歎,也非常可怕
根據 SANS 網際網路風暴中心、大中型企業的事件響應活動以及 MITRE ATT&CK 框架的集體經驗選擇的工具。
在本課程中,我們將介紹大約 100 種工具和技術。我們之所以選擇這些攻擊,是因為根據 SANS 網際網路風暴中心和 MITRE ATT&CK 框架所看到的攻擊,它們是當今最具破壞性和最廣泛使用的攻擊。此外,每次攻擊都說明了我們需要做些什麼來保護我們的系統。
永遠不要低估你的對手!你需要了解他們的策略並準備好保護你的網路。
始終獲得許可
ï 在網路上執行任何這些工具之前,必須獲得完整且有記錄的許可
ï 獲得許可時,必須以書面形式進行
– 口頭協議在法庭上不太有效
ï 有記錄的許可還應說明許可授予者瞭解掃描或測試活動可能會產生潛在的不利副作用
– 這也稱為“免於入獄”檔案
局裡局氣的表抄它okay? https://www.counterhack.net/permission_memo.html
總體趨勢:為樂趣和利潤而攻擊
ï 攻擊者正在想辦法利用惡意程式碼賺錢
ï 詢問執法部門:如果某一犯罪行為涉及金錢,我們將會看到更多金錢
ï 如何利用惡意程式碼賺錢:
– 加密貨幣礦工
– 垃圾郵件和基於網路的廣告
– 網路釣魚:電子郵件、電話和定向(魚叉式)網路釣魚
– 拒絕服務勒索
– 鍵盤記錄器竊取財務資訊
– 出租受感染系統大軍用於上述所有目的
– RAM 抓取器從 POS 終端提取 CC 號碼
ï 勒索軟體、勒索軟體、勒索軟體
總體趨勢:消費裝置攻擊
ï 物聯網裝置廣泛存在
– 在家庭和企業中
ï 供應商之間的價格競爭和較短的上市開發週期通常會導致安全功能不佳
ï 產品採用率持續下降,但無法大規模管理裝置
使用針對攝像頭的初始攻擊媒介,攻擊者獲得內部網路訪問許可權並利用關鍵系統。
行業專家預計到 2030 年物聯網裝置數量將達到 500 億臺。
總體趨勢:黃金時代
ï 攻擊者的技巧越來越高超
ï ... 但防禦者也是如此!
– 更加科學和精確的防禦方法
– 代價高昂的入侵事件促使高層支援資訊保安
– 分析工具越來越有效
ï 對具備資訊保安技能的 IT 專業人員的需求不斷增長
– 瞭解系統和網路是好事
– 增加資訊保安技能可讓您從同行中脫穎而出
底線:現在是成為攻擊者(或安全從業者)的好時機
MITRE ATT&CK Framework
ï MITRE 是一家非營利性美國公司,負責管理聯邦資助的技術研究和開發中心 (FFRDC)
ï ATT&CK 框架是一個知識庫,用於對映對手的策略、技術和程式 (TTP)
– 基於現實世界的觀察
ï ATT&CK 整合了攻擊的通用術語
攻擊者的 TTP 非常複雜,難以全面表徵。ATT&CK 提供了一個簡單的框架來表徵和交叉引用攻擊技術,以便更好地瞭解攻擊者的運作方式以及如何防禦網路。
https://attack.mitre.org
word文章APT化,APT文章Excel化,Excel表格指標化
我們如何將 SEC504 與 ATT&CK 整合
ï 使用 ATT&CK 採用的命名約定對內容進行規範化
– 這為您提供了一個一致的工作框架,供您在描述、記錄和討論攻擊者的策略、技術和程式時使用
ï 使用 ATT&CK 識別符號交叉引用工具和技術
– “讓我們談談密碼噴灑攻擊”(憑證訪問:TA0006)
– “Donut 將 shellcode 注入現有程式集和有效載荷”(程序注入:T1055)
ï 驗證攻擊工具和防禦現實性
偵察
ï 偵察就是收集情報,尋找機會
ï 兩種常見的攻擊者
– 無差別攻擊者:他們傾向於尋找易得的目標(即“低垂的果實”),並可能跳過這一步驟(即“特定目標攻擊”)
– 攻擊者試圖獲取特定站點:這一步非常重要
ï 對經驗豐富的攻擊者很有幫助
ï 偵察通常從 OSINT 收集開始
對於好奇的攻擊者來說,網際網路是一個資訊寶庫。
https://attack.mitre.org/matrices/enterprise/pre/
Open-Source Intelligence 開源情報
在向目標傳送第一個資料包之前,你應該收集 OSINT 資料
ï 所有組織都擁有大量線上資料
– 計劃內共享:年度報告、聯絡資訊、網站內容、新聞稿等。
– 非計劃內共享:被駭客入侵的第三方網站電子郵件地址、員工社交媒體內容、網站證書詳細資訊、內部伺服器連結、公共論壇資料、文件後設資料等!
ï OSINT 是這些資料的有用集合表示
ï 進攻和防禦利用
https://attack.mitre.org/versions/v7/techniques/T1266/
$ whois hasborg.com
WHOIS 資料曾經是電子郵件、電話和地址資料的重要來源。GDPR 合規結束了這一局面。
WHOIS 資料由 MITRE PRE-ATT&CK 框架分類,ID 為 T1596.002
一個典型的 OSINT 資訊來源是 WHOIS 資料的收集。當註冊商註冊域名時,他們會收集有關注冊人的資訊,包括姓名、電話號碼、地址和電子郵件資訊。
此聯絡資訊可能因域名的計費、技術和管理聯絡人而異。有多種線上服務可用於收集 WHOIS 資訊,但也有內建的 Linux 工具 whois,如本頁所示。
隨著歐洲《通用資料保護條例》(GDPR)要求的出臺,WHOIS 資訊在 2016 年不再那麼有用。2018 年 5 月 25 日,即 GDPR 的強制遵守日期,WHOIS 記錄中列出的大多數公共資訊變得無法訪問。一些資訊仍然可用,例如域名註冊人組織、州和國家/地區資訊
證書透明度:新 WHOIS
ï 現代瀏覽器可以很好地檢測惡意網站證書
ï 現代瀏覽器無法很好地檢測受信任 CA 頒發的惡意證書
ï 證書透明度要求 CA 釋出證書頒發日誌
– 接受審查以查詢可疑證書……並進行 OSINT 收集
ï 收集有關目標的資訊,包括正在使用哪些 CA、證書何時更新等!
使用證書透明度搜尋來識別與組織相關的未知目標,或尚未公佈為可用的新主機的存在。
https://crt.sh
谷歌搜:Certificate transparency search services
賬號洩露
haveibeenpwned.com
確定帳戶是否已被洩露,然後收集網站密碼以探索密碼重用暴露。
雖然 Have I Been Pwned 網站不會共享與被盜賬戶相關的密碼資訊,但它確實列出了與賬戶資訊相關的洩露事件。只需透過密碼重用暴露即可。
OSINT 資料收集
OSINT 資料的挑戰:大量獨特的資料來源
ï OSINT 資料來源眾多,可訪問性各不相同
– 免費,無需註冊
– 免費,需要註冊
– 付費,按查詢收費
– 付費,(在此處插入付款收集模型)
ï OSINT 資料來源的可訪問性和可信度也可能是一個挑戰
– 您是否收集了所有可用資訊?
– 如何快速收集和解析資訊?
OSINT 資料聚合器工具,它們使用來自多個來源的 OSINT 資訊,提供單一介面來儲存和處理收集到的資訊。類似SOC的SIEM平臺。
SpiderFoot 具有一個簡單的介面,可以從數百個線上來源收集 OSINT 資料。指定掃描名稱和種子目標(通常是主機名、電子郵件地址或域名)以開始掃描。
SpiderFoot 是一個開源的、GPL 許可的 OSINT 資料收集和分析工具,由 Steve Micallef 建立。
SpiderFoot 支援 Linux、macOS 和 Windows 系統,使用起來非常簡單,而且速度相對較快。
透過提供種子目標(例如域名、主機名或電子郵件地址),SpiderFoot 從數百個線上來源收集 OSINT 資料,並使用收集的資料來播種其他搜尋。
SpiderFoot 可在 https://spiderfoot.net 上獲得。商業配套工具 SpiderFoot HX 與開源版本相比提供了更多功能;更多資訊可在 https://www.spiderfoot.net/open-source-vs-hx 上獲得。
SpiderFoot 從許多不同的線上來源查詢資料。有些來源需要註冊才能獲得 API 金鑰。如果您未指定 API 金鑰,SpiderFoot 會將該模組記錄為錯誤,並使用其他剩餘模組進行掃描。
非 OSINT 資料
OSINT 在哪裡停止?
ï 通常,OSINT 資料是透過第三方收集源從網站和 API 收集的
– 對攻擊者來說非常有用,因為它不會在目標站點生成日誌
ï 雖然 OSINT 資料豐富,但並不是所有可用目標資料的盡頭
儘管有些 OSINT 工具越過了這條界線,但任何直接傳送到目標站點的活動都會成為直接偵察。接下來,我們將介紹以潛在目標識別為代價提供額外資訊的工具。
ISO media files as Summary-OSINT.pdf
Lab 2.1: OSINT with SpiderFoot
692
DNS 詢問
153