一年一度的攻防演练又要开始了,大家也陆续开始了护网前的准备。众所周知,攻防演练考验的不仅是攻击队的“战略导弹”,也是检验防守方的“铁穹”。蓝队的价值往往需要用攻击来验证,为了让大家在护网中不做平安鸟,本文将参考ATT&CK模型,讲述侦查、资源开发、初始访问三个模块,绘制和分析攻击手法,并对攻击手法进行指纹进行识别,从而海量告警中找到那个万中无一的“TA”。
攻击手法分析
在侦查环节,攻击者通常会主动+被动的方式发现并采集目标的子域名、指纹、供应链等信息,主动所发起的采集肯定会被流量设备记录,被动采集的资产也需对收集的资产进行可效性认证,那我们可通过以下几个纬度进行发现该行为:
1. 时间纬度
作为收集资产的工具,最大的特性就是可在短时间能发起大量的请求,并指向不同的域名,可将设备告警(指态势感知、WAF、负载均衡等能记录正常访问流量的设备)通过execl表格汇总的方式进行统计分析。
分析指标
1.1 短时间同一站点同一IP大批量的访问
1.2 短时间不同站点同一IP大批量的访问
2. 指纹纬度
同一IP大量发起请求是很容易被发现的,我们知道,红队也知道,所以有些红队有着丰富的IP代理池,所有的探测都是不同IP进行发起并收集,以避免蓝队的发现。面对这种情况,我们可通过威胁情报,发现其中可能存在攻击行为的IP。
3. 场景维度
看到这肯定又有人要问了,这俩我们都知道,有些IP是新池里的,没有被标记,还是纯净的,那碰到这种我们怎么去发现攻击者呢?
整体场景关联
什么叫异常流量,就是和日常场景是冲突的、不关联的,在我们很多的网站中,包含着大量JS、CSS等框架类文件,我们正常浏览器加载的时候,从来不是只加载一个页面
已在FreeBuf发表 0 篇文章
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022