0x0 背景
由于參加最近特殊多人活動(dòng)的原因���,很多滲透攻擊武器也進(jìn)行了對(duì)應(yīng)的更新�。冰蝎出了3.0版本、甚至還有好幾個(gè)beta版本�����;還朋友圈還出了一個(gè)據(jù)說(shuō)比冰蝎3.0還厲害的神器”哥斯拉”全部類型的shell均過(guò)市面所有靜態(tài)查殺����、流量加密過(guò)市面全部流量waf�、自帶的插件是冰蝎、蟻劍不能比擬的;看名字就很厲害的樣子��,看描述更是功能強(qiáng)大 不禁內(nèi)心一陣酸爽���。
豐富了自己部分武器庫(kù)之后很多白帽子喜悅之情溢于言表��,身邊很多小伙伴甚至都開(kāi)始在本地開(kāi)始測(cè)試了�����;幾家歡喜幾家愁�,總一些人的快樂(lè)終究是建立在一些人的痛苦之上的����,生活真的是殘酷了�����;這個(gè)節(jié)骨點(diǎn)更新大家品大家細(xì)品�,很多安全公司的小伙伴可能又得徹夜分析�����,樓下小超市的方便面又得賣斷貨�����。
0x1 技術(shù)背景
webshell就是以asp���、php����、jsp或者cgi等網(wǎng)頁(yè)文件形式存在的一種代碼執(zhí)行環(huán)境��,也可以將其稱做為一種網(wǎng)頁(yè)后�;Webshell的技術(shù)問(wèn)題也是老生常談了,各個(gè)論壇上面的安全技術(shù)分析還是比較豐富���,大馬小馬一句話��,菜刀冰蝎哥斯拉(還漏了蟻劍)�����;從攻防角度來(lái)看在多數(shù)的攻擊場(chǎng)景下按照killchain的思路與實(shí)際步驟來(lái)看�,一次完成的webshell攻擊基本上都繞不過(guò)以下4個(gè)階段 主要可以分為:
1�、webshell制作(武器化WEAPONIZATION) 無(wú)論怎么樣首先的生成一個(gè)webshell,很多webshell管理工具是配套使用的直接生成就好�,或者自定義改改默認(rèn)配置,常規(guī)的一句話notepad就可以搞定����。生成出來(lái)只是具備了這個(gè)功能,不做一下免殺估計(jì)本地的隨便一個(gè)殺毒軟件直接就刪除了���,詳細(xì)的免殺繞過(guò)后面再討論�����。
2����、Weshell投遞(交付DELIVERY) webshell的投遞方式普遍以文件上傳為主��、主流的方式還包括一些文件寫入、主動(dòng)下載�����、命令執(zhí)行寫入等方式��,花里胡哨的姿勢(shì)很多�����。投遞過(guò)程應(yīng)該是整個(gè)過(guò)程中的最關(guān)鍵的部分也是難度最大的一部分�����,因?yàn)檫^(guò)程中會(huì)面臨很多的對(duì)抗機(jī)制�����,往往需要結(jié)合具體場(chǎng)景多次嘗試測(cè)試�。
3、webshell訪問(wèn)(利用EXPLOITATION) 將腳本上傳到對(duì)應(yīng)的服務(wù)器上面之后就進(jìn)入了關(guān)鍵的一步:如何正確快速的訪問(wèn)到指定的webshell文件����。
4、webshell執(zhí)行(ACTIONS ON OBJECTIVES) 使用工具或者直接通過(guò)訪問(wèn)訪問(wèn)到對(duì)應(yīng)的webshell執(zhí)行����,就可以隨心所欲的操作受害者主機(jī)�。包括不局限于執(zhí)行系統(tǒng)命令���、探測(cè)內(nèi)網(wǎng)��、讀取敏感文件��、反彈shell、添加用戶�、清理痕跡、橫向移動(dòng)等操作���。
后續(xù)剖析討論一下在每個(gè)階段當(dāng)中包含的一些攻擊手法與常規(guī)的識(shí)別方法�����。
0x2 制作免殺
常規(guī)一句話直接用記事本就可以直接解決�,簡(jiǎn)單的同時(shí)也非常容易被查殺�����,這一類木馬的特征實(shí)在太明顯了比如常見(jiàn)的eva l() assert()之類的函數(shù)肯定是一抓一個(gè)準(zhǔn)��。傳統(tǒng)的檢測(cè)方式基于對(duì)webshell內(nèi)容的檢測(cè)里面最簡(jiǎn)單的就是字符匹配、正則匹配或者詞袋模型 ����,這種木馬肯定是檢測(cè)出率100%的。
此類檢出場(chǎng)景最多出現(xiàn)在基于終端的文件檢測(cè)比如大家熟知的D盾��、安全狗等產(chǎn)品主要是從文件本身出發(fā)�����。還有另外一個(gè)場(chǎng)景就是目前出現(xiàn)最多的防火墻����、UTM之類的產(chǎn)品雖然是網(wǎng)關(guān)類設(shè)備,大多數(shù)場(chǎng)景下也是根據(jù)內(nèi)容進(jìn)行識(shí)別檢測(cè)的���,所以本質(zhì)上都沒(méi)什么差異�����。
為了應(yīng)對(duì)此類檢測(cè)當(dāng)然就的想辦法繞過(guò)了�����,基于文件內(nèi)容的繞過(guò)方式就很多了����,基于檢測(cè)方法多數(shù)是基于敏感函數(shù)是吧,那么只要換一種方式處理這些函數(shù)就可以了��。比較簡(jiǎn)單幾種方法如:
1�����、大小寫混淆 比如eva l函數(shù)可以使用eva l()當(dāng)然這種方法基本上已經(jīng)不起作用了
2��、字符順序混淆 assert()可以使用tressa然后用反序函數(shù)進(jìn)行輸出或者進(jìn)行移位拼接 ass+e+rt頗有一種凱撒密碼的感覺(jué)���。
3、字符串編碼混淆 典型的幾個(gè)方法如Chr() Base64() rot13() gzinflate()通過(guò)編碼敏感的字符同樣可以達(dá)到這種效果��。當(dāng)然現(xiàn)實(shí)情況上這幾類函數(shù)同樣被列入了敏感函數(shù)范疇�,或者大量使用一些注釋、\n\t\r之類的一起玩����。
4、創(chuàng)建匿名函數(shù) eva l()函數(shù)總得跟一個(gè)參數(shù)吧�����,如果直接命中eva l這四個(gè)字符勢(shì)必會(huì)引起大量的誤報(bào)�����;谶@種思路就衍生了call_user_func生成��,最后這個(gè)函數(shù)也被列入了敏感函數(shù)
5��、字符替換 生成一個(gè)字符串e123/v123/a123/l再使用函數(shù)把”123/”給替換掉空白即可常見(jiàn)的函數(shù)如preg_replace()與str_replace()
還有很多其他的繞過(guò)方式��,如回調(diào)函數(shù)�����、定義函數(shù)方法���、字節(jié)填充等等方法還是很多這里不多給大家復(fù)制粘貼����,一般多種繞過(guò)方式組合一般能繞過(guò)D盾就基本上可以正常使用�����,相信很多經(jīng)驗(yàn)豐富的大佬都有不少免殺的webshell。
針對(duì)webshell的檢出相反手法就要難的多�����,理論上你知道的webshell種類越多設(shè)計(jì)的對(duì)應(yīng)的檢測(cè)手段就越全面���,就和股票的漲跌原理是差不多的根本原因就是消息的不對(duì)稱性��,大家都知道還怎么割韭菜��。除開(kāi)自己構(gòu)造一些webshell之外�����,很多管理工具都支持自己生成比如大家熟知的冰蝎����、weevly之類的��,之前自己偶然間抓到了黑產(chǎn)團(tuán)伙掛馬用的shell低版本的D盾還無(wú)法識(shí)別�����,后續(xù)在新版本卻能識(shí)別并提示為已知后門����。這一類的腳本檢測(cè)起來(lái)還是比較容易,原理很簡(jiǎn)單大多數(shù)工具生成的木馬(除開(kāi)魔改的那種)格式內(nèi)容都比較固定�����,通過(guò)針對(duì)內(nèi)容里面的函數(shù)位置�����、調(diào)用順序�、語(yǔ)法特性等維度做一個(gè)特定的模型特征,簡(jiǎn)單的如yara規(guī)則的模式也可以稱作指紋��。
當(dāng)前針對(duì)文本類的webshell檢測(cè)主要還是正則匹配����、語(yǔ)法分析、繞過(guò)特征分析��、文本特征指紋等手法為主�,之前也注意到有一些針對(duì)腳本文件的虛擬執(zhí)行,感興趣的小伙伴大家可以了解一下���。
0x3 樣本投遞
樣本生成之后�,就開(kāi)始考慮如何把自己手上的webshell投遞到制定服務(wù)器的文件目錄,主要的手法還是以文件上傳居多����。常規(guī)操作攻擊者首先需要對(duì)目標(biāo)的應(yīng)用做個(gè)詳細(xì)的信息收集和踩點(diǎn)。在webshell上傳下多數(shù)關(guān)注一些上傳點(diǎn)��,常見(jiàn)的上傳點(diǎn)如個(gè)人資料當(dāng)中的頭像上傳�、注冊(cè)需要上傳驗(yàn)證資料、上傳某些模板更新���、常見(jiàn)的編輯器漏洞���、留言板回復(fù)、商品頁(yè)面展示����;多數(shù)業(yè)務(wù)場(chǎng)景上傳主要以圖片(JPG、Png��、bmp�、ico一類)、文檔類(doc�����、excel��、pdf����、wps)、壓縮包(zip�、rar)格式居多一些。
根據(jù)具體的業(yè)務(wù)場(chǎng)景的不同��,常規(guī)的防御手段一般應(yīng)用在上傳界面少說(shuō)會(huì)做一些限制與檢測(cè)����。比如常見(jiàn)的文件大小、后綴名��、文件類型的MIME ����、文件頭信息、簡(jiǎn)單的內(nèi)容識(shí)別等等���,成功上傳之后全面統(tǒng)一修改命名與文件格式��、設(shè)置一定的訪問(wèn)權(quán)限�����、定義特殊的文件存放路徑等等�。
當(dāng)然并不是所有的防御方案都無(wú)懈可擊,相反多數(shù)場(chǎng)景下都會(huì)存在一定的配置風(fēng)險(xiǎn)����;文件名的后綴檢測(cè)可以通過(guò)修改成圖片的格式上傳,后續(xù)通過(guò)重命名或者文件包含的方式進(jìn)行執(zhí)行���。如果是黑名單機(jī)制就可能存在一些遺漏項(xiàng)前幾年比較熱門的解析漏洞(基本上主流中間件都出過(guò)這個(gè)問(wèn)題)最熱門應(yīng)該還是II6這個(gè)版本����、0字節(jié)截?cái)嘁约翱赡艽嬖谶z漏的場(chǎng)景�。白名單機(jī)制的話,相對(duì)安全性要高一些�����。文件頭檢測(cè)本身是以二進(jìn)制的數(shù)據(jù)流方式進(jìn)行檢查的�,所有繞過(guò)方式也比較簡(jiǎn)單在腳本開(kāi)頭直接添加對(duì)應(yīng)的十六進(jìn)制字符進(jìn)行偽造就好,之前發(fā)現(xiàn)有很多黑產(chǎn)的webshell文件開(kāi)頭都是GIF8想必也是深諳此道�����。
在webshell上傳的過(guò)程當(dāng)中對(duì)于大多數(shù)的流量層的安全設(shè)備如FW、IDS���、IPS、UTM一類來(lái)講�����、本質(zhì)上是和文本識(shí)別沒(méi)有什么區(qū)別�����,都是講上傳的文件審計(jì)下來(lái)進(jìn)識(shí)別或者直接在HTTP數(shù)據(jù)流當(dāng)中簡(jiǎn)單匹配特征字符�����。
高階一點(diǎn)方案可以做行為識(shí)別其實(shí)也很簡(jiǎn)單�。估計(jì)有很多萌新白帽子不知道的是,常規(guī)的業(yè)務(wù)流量和咱們webshell上傳的流量在大量數(shù)據(jù)統(tǒng)計(jì)的層次上來(lái)講本質(zhì)上是不一樣的甚至有點(diǎn)另類�。舉個(gè)簡(jiǎn)單的例子來(lái)說(shuō)比如咱們現(xiàn)在有一個(gè)上傳接口主要是用戶用來(lái)修改自己主頁(yè)logo的,通過(guò)對(duì)HTTP協(xié)議的解析可以簡(jiǎn)單的看到這個(gè)filename字段多數(shù)多數(shù)都是圖片文件���,分辨率����、大小、格式都是基本上符合一個(gè)特定的基線水平����,突然出現(xiàn)了一個(gè)jsp的文件上傳或者一個(gè)超出預(yù)期大小的jpg文件這個(gè)就是異常,畢竟這種攻擊流量是少數(shù)人才會(huì)做的事情普通用戶并不會(huì)就”恰到好處”的傳了一個(gè)這么一個(gè)特殊格式的文件上來(lái)����。
估計(jì)會(huì)有不少萌新覺(jué)得這樣會(huì)不會(huì)數(shù)據(jù)量很大?如何定義這些基線�����?怎么才能認(rèn)為是異常��?其實(shí)類似于這樣的場(chǎng)景檢測(cè)技術(shù)都已經(jīng)很成熟了�,這些接口層面的數(shù)據(jù)量本質(zhì)上很小,現(xiàn)在都是ES�、Mongo、Kafaka�、集群分析的時(shí)代了不是之前關(guān)系型數(shù)據(jù)庫(kù)的風(fēng)格,幾十T的硬盤價(jià)格也很親民加點(diǎn)存儲(chǔ)與運(yùn)算能力對(duì)甲方金主爸爸來(lái)說(shuō)不過(guò)是灑灑水而已����。數(shù)據(jù)統(tǒng)計(jì)的統(tǒng)計(jì)維度,無(wú)非也就是加一個(gè)索引設(shè)計(jì)一個(gè)檢測(cè)場(chǎng)景的事情罷了,成熟的機(jī)器學(xué)習(xí)框架不需要太懂算法的具體原理����,方法函數(shù)調(diào)用總會(huì)吧 調(diào)調(diào)參數(shù)就完事技術(shù)難度也不高。
不少大佬利用自己發(fā)散思維的小腦袋最后傳到了服務(wù)器的后臺(tái)之后�����,依然面臨著終端安全軟件的檢查��。不少大佬肯定已經(jīng)做過(guò)免殺了��,內(nèi)容識(shí)別不一樣管用�。但是這個(gè)世界有時(shí)候就是這么惡意�,你傳上來(lái)了一個(gè)腳本文件但是同文件的文檔都是圖片或者別人都是100K的大小�����,你就1Kb的大小(一句話木馬就是這么短小精悍)突然就有點(diǎn)那種鶴立雞群的感覺(jué)有沒(méi)有,然后其他腳本大家都齊刷刷轉(zhuǎn)頭看著你�,就有點(diǎn)類似大學(xué)”羅漢班”上計(jì)算機(jī)網(wǎng)絡(luò)的時(shí)候大家都在后面,突然來(lái)了一個(gè)漂亮妹子走進(jìn)教室坐在第一排認(rèn)真聽(tīng)課的感覺(jué)是一樣的場(chǎng)景����;非我族類,其心必異。分分鐘就把你上傳到云查��、或者交給身不由己卻又站在你對(duì)立面的”同伙”鑒別��。
不少萌新又開(kāi)始質(zhì)疑��,人能夠一眼看出來(lái)異常代碼能這么輕易的做到嗎��?怎么說(shuō)了代碼還真的能做到而且效率更高����、無(wú)遺漏而且更加準(zhǔn)確,因?yàn)槿诉是要吃飯睡覺(jué)打盹或者劃水摸魚(yú)�����,代碼不會(huì)的(總不能故意在代碼加個(gè)sleep()函數(shù)吧)��。既然都寫到了估計(jì)很多小伙伴也有了不少對(duì)策和其他思路在后續(xù)的滲透過(guò)程中����,怎么說(shuō)呢方式還真的有不少,這里就不多介紹了留個(gè)伏筆吧��。
0x4 訪問(wèn)
在所謂的縱深防御的體系下��,還能突破層層防御之后還能上傳成功并且成功拿到訪問(wèn)路徑的黑闊已經(jīng)算是翹楚了;當(dāng)然也有可能是另辟蹊徑通過(guò)控制內(nèi)網(wǎng)其他主機(jī)之后����,成功的繞過(guò)了邊界防御設(shè)備的檢測(cè)成功上壘,到了最關(guān)鍵的一步���。一般鏈接這些一句話木馬需要有一個(gè)webshell的管理工具常見(jiàn)的就是菜刀�����、weevly、冰蝎��、蟻劍之類的���。而這個(gè)也是最難的一部分�����,因?yàn)檫@些工具攻擊者知道那些苦逼的安全公司乙方的打雜員工也知道�,早早的就對(duì)這些工具做了流量識(shí)別����。
針對(duì)于每一個(gè)管理工具流量層面的識(shí)別方法都不一樣�����,都針對(duì)單一工具的方法當(dāng)然也有通用工具的檢測(cè)方法����,是的你沒(méi)有看錯(cuò)是有通用檢測(cè)方法的�。常見(jiàn)的菜刀的流量長(zhǎng)什么樣估計(jì)很多萌新也多知道,特征是十分明顯的�,如下圖所示。關(guān)鍵是菜刀這個(gè)玩意可能有后門呀�����,你辛辛苦苦的拿的站��,可能是給被人在打工����。
然后就衍生出了中國(guó)菜刀,后面發(fā)現(xiàn)這個(gè)工具也很容易被識(shí)別可玩性并不是很好���。接下來(lái)就是蟻劍���,支持了很多參數(shù)的自定義�����。很多萌新用的時(shí)候都是不改默認(rèn)配置的�����,HTTP流量當(dāng)中User-Agent碩大的字符Antisword V2.0 V3.0 也是勇氣可嘉��。之后還有冰蝎��,再?zèng)]有出3.0的beta版本的時(shí)候����,鏈接的過(guò)程當(dāng)中最典型的特征就是秘鑰協(xié)商��,如大家所知冰蝎的流量只要是以AES加密的(感興趣的小伙伴可以了解一下密碼學(xué)知識(shí)還是挺有用的無(wú)論是免殺還是流量分析都有大有裨益)�,對(duì)稱加密就一定會(huì)有個(gè)秘鑰用于加密解密傳輸?shù)臄?shù)據(jù)�,所以在建立的鏈接的時(shí)候就存在這么一個(gè)交換秘鑰的過(guò)程,建立行為模型來(lái)識(shí)別這個(gè)過(guò)程會(huì)是重要的一環(huán)��。估計(jì)開(kāi)發(fā)者也意識(shí)到了這一點(diǎn)�,新版本已經(jīng)換了一種方式實(shí)現(xiàn)。
是不是加密的內(nèi)容就無(wú)法識(shí)別了呢���?其實(shí)并不是�,只是比傳統(tǒng)的正則匹配稍微復(fù)雜了一丟丟而已。傳統(tǒng)的密文一般都不具備可讀性�����,如果前期我識(shí)別出了你交換秘鑰的過(guò)程過(guò)程中的流量我解密一下就好了��,就和用Burpsuit添加個(gè)證書做HTTPS的代理的原理差不多�����,而且只是AES的標(biāo)準(zhǔn)加密反而更容易一些���。
不少萌新會(huì)覺(jué)得這種思路太荒謬����,特征性不是很強(qiáng)就不怕誤報(bào)����。的確如此,特殊內(nèi)容與格式的特征并不是很強(qiáng)但也不是唯一特征那么再結(jié)合一下行為呢���?你在訪問(wèn)這個(gè)webshell的時(shí)候���,首先他得是一個(gè)腳本文件(格式就那么多)��。多數(shù)樣本訪問(wèn)的路徑往往也有不少蛛絲馬跡典型的比如上傳在一個(gè)uploadfile/image的目錄下別人訪問(wèn)都是 beautifulme.jpg uglgyou.png 之類的你一訪問(wèn)就是1.jsp hackme.php 在結(jié)合你的特殊內(nèi)容格式和你這個(gè)從來(lái)沒(méi)有訪問(wèn)過(guò)的IP地址和賬戶���,這不是攻擊流量誰(shuí)是攻擊流量?
既然都說(shuō)到這里了就簡(jiǎn)單的一些機(jī)器學(xué)習(xí)的基礎(chǔ)思路�����,在這里本質(zhì)上是將攻擊者與普通用戶定義成了二個(gè)不同的對(duì)象�����,而且是對(duì)立面的角色���。二種角色在平時(shí)的訪問(wèn)路徑�����,頁(yè)面元素、訪問(wèn)文件��、甚至是訪問(wèn)時(shí)間�����、使用的IP方面都存在較大的差異性,簡(jiǎn)單點(diǎn)說(shuō)就是需要從多個(gè)維度將二者區(qū)分清楚����,模型上就是一個(gè)簡(jiǎn)單的二分類問(wèn)題。常見(jiàn)的分類算法比較多��、比如SVM(支持向量機(jī))�����、K-Means���、多種樹(shù)或者森林模型等等��,大概長(zhǎng)這個(gè)樣子���。
或者這樣
現(xiàn)在很多小伙伴都共享了一些蟻劍、冰蝎的魔改方法和思路�����,稍加專研繞過(guò)傳統(tǒng)的規(guī)則檢測(cè)場(chǎng)景問(wèn)題應(yīng)該不大可能還有點(diǎn)輕松。但是另外一個(gè)層面是正常訪問(wèn)用戶還是占了絕大多數(shù)(定義了所謂的基線)�����,所以少數(shù)異常的行為就顯得格外明顯����。算法模型的好處就在于,之前你可能需要人為去調(diào)控一些閾值�����,容易出現(xiàn)很大的偏差而模型依靠大量的真實(shí)數(shù)據(jù)進(jìn)行運(yùn)算自動(dòng)算出來(lái)而且還能實(shí)時(shí)更新����,私人覺(jué)得這個(gè)是大數(shù)據(jù)+AI對(duì)安全檢測(cè)的一個(gè)實(shí)用性體現(xiàn),當(dāng)然無(wú)論是誰(shuí)也不能保證了100%的檢出識(shí)別��。
0x5 執(zhí)行
到了最后的執(zhí)行階段�,如果類似于菜刀是基本上明文流量(base64和明文沒(méi)有什么差異)檢測(cè)起來(lái)就容易的多,由于格式是比較固定的一個(gè)關(guān)鍵字匹配或者正則就可以識(shí)別����。如果是類似于冰蝎的加密流量,就需要用到一些行為特征結(jié)合多維度的方式進(jìn)行識(shí)別����。加密流量的HTTP協(xié)議部分的request_body和response_body都的是密文吧,這里接觸到一個(gè)信息熵(熱力學(xué)中表征物質(zhì)狀態(tài)的參量之一其物理意義是體系混亂程度的度量)的概念�,可以簡(jiǎn)單識(shí)別傳輸?shù)膬?nèi)容是否具備可讀性。
試想一下如果一個(gè)正常的用戶商品管理的界面��,大家訪問(wèn)各種腳本文件都是明文登錄�����,突然出現(xiàn)了一個(gè)信息熵很高的加密流量����,會(huì)不會(huì)有點(diǎn)此地?zé)o銀三百兩的感覺(jué)。在利用webshell執(zhí)行命令上傳文件甚至是添加用戶探測(cè)內(nèi)網(wǎng)����,對(duì)于終端的上來(lái)講一般都是很有問(wèn)題的。典型的場(chǎng)景如����,攻擊者通過(guò)weblogic上傳了一個(gè)war后之后獲取到權(quán)限,執(zhí)行一個(gè)whoami返回的用戶權(quán)限就是weblogic進(jìn)程的啟動(dòng)用戶的權(quán)限�����。如果是root或者system危害性就很大,如果只是一個(gè)www用戶危害性會(huì)降低不少�,這也是為什么要求降權(quán)運(yùn)行數(shù)據(jù)庫(kù)、中間件的愿意之一�,這個(gè)時(shí)候比如拉起了一個(gè)cmd.exe或者powershell.exe進(jìn)程添加個(gè)wooyun的用戶這個(gè)行為會(huì)很有問(wèn)題常規(guī)的業(yè)務(wù)怎么會(huì)有這種操作。與此同時(shí)利用一些工具或者cmd掃描內(nèi)網(wǎng)做主機(jī)的存活探測(cè)�����,為了避免不發(fā)現(xiàn)慢速掃描�、多協(xié)議之類同樣風(fēng)險(xiǎn)也很高,關(guān)鍵問(wèn)題在于:攻擊者本身不熟悉內(nèi)網(wǎng)業(yè)務(wù)的訪問(wèn)關(guān)系很容易導(dǎo)致被發(fā)現(xiàn)���。舉個(gè)簡(jiǎn)單例子���,某web服務(wù)器與隔壁網(wǎng)段一臺(tái)域控服務(wù)器從未有個(gè)通信行為,這次突然來(lái)了一個(gè)RDP的登錄(不管失敗或者成功)不是很突然么���?未記錄在案敏感資產(chǎn)的訪問(wèn)從來(lái)都很有有問(wèn)題���。
0x6 攻防對(duì)抗
安全攻防是一件很專業(yè)的事情,安全不是夸夸其談也非紙上談兵更不是未經(jīng)實(shí)踐的“想當(dāng)然”�;攻防的本質(zhì)在于人與人之對(duì)抗,對(duì)抗的是知識(shí)技能儲(chǔ)備����、時(shí)間�����、精力等多個(gè)維度的全面競(jìng)賽;舉個(gè)簡(jiǎn)單例子�����,攻擊者繞過(guò)上傳機(jī)制把腳本傳到對(duì)應(yīng)的服務(wù)器��,現(xiàn)在鏈接擔(dān)心動(dòng)靜太大發(fā)現(xiàn)���,不然就凌晨12點(diǎn)等運(yùn)維人員睡覺(jué)再搞事情����;或者就多找?guī)着_(tái)VPS服務(wù)器用WVS進(jìn)行各種漏洞嘗試攻擊�����,成不成功都沒(méi)有關(guān)系被發(fā)現(xiàn)也沒(méi)有關(guān)系主要就是分散對(duì)方的注意力��,間隙時(shí)間里面再去訪問(wèn)這個(gè)webshell執(zhí)行命令現(xiàn)實(shí)版的暗度陳倉(cāng)的感覺(jué)有沒(méi)有��。
攻防技術(shù)日新月異變化的很快從之前的手工注入、穿山甲��、啊D到現(xiàn)在的sqlmap技術(shù)門檻看似乎是越來(lái)越低�,伴隨著的是很多甲方自己的技術(shù)能力和安全意識(shí)也提升了很多,現(xiàn)在很多應(yīng)用框架本身也針對(duì)常見(jiàn)的web安全做了很多防護(hù)����,再也不是那個(gè)一掃各種漏洞一大堆的時(shí)代了。同樣的攻擊技術(shù)的提升也一樣很快���,從之前的菜刀到現(xiàn)在的冰蝎��、蟻劍的各種自定義魔改到一定程度之后基本上都做到無(wú)特征�����,依靠特征檢測(cè)的路可能就越來(lái)越窄�;如果真的做到和正常的業(yè)務(wù)流量上能保持到一致就是潤(rùn)物細(xì)無(wú)聲了�,對(duì)很多安全公司和甲方來(lái)說(shuō)反而更加有緊迫感。
個(gè)人覺(jué)得這也是攻防技術(shù)演進(jìn)的一個(gè)方向�,越來(lái)越多的正常流量會(huì)趨向于正常的業(yè)務(wù)流量。就拿隧道通信來(lái)說(shuō)�����,DNS隧道、HTTP隧道特征還是很容易識(shí)別��,如果RDP隧道�、SSH呢?自己寫一個(gè)后門很容易被殺毒軟件查殺�,那利用很多操作系統(tǒng)自帶的定時(shí)任務(wù)、WMI�、Powershell無(wú)文件留后門殺毒軟件也敢查殺么�?同樣的對(duì)于很多安全公司和甲方來(lái)說(shuō),后續(xù)在應(yīng)對(duì)此類攻擊的時(shí)候需要更多創(chuàng)新性的思路去發(fā)現(xiàn)與識(shí)別�。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
