小白帽从病毒视角聊企业安全建设
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》
背景
最近各类安全事件还是很流行的,以前只是批量抓鸡做DDOS现在伴随着虚拟货币的流行挖矿勒索逐步进入了大众的视野,仅以此文按照精力财力人力最小化的原则分析一些恶意行为与相对应的此类安全事件一些防范措施。
安全标准是个好东西奈何现在客户安全意识并没有特别高,所以在具体落实实践的过程中难度太大,况且按照ISO27XXXX标准、等级X保、GD*R、或者GB*X的条例来说人力物力财力都是一个不小的挑战,毕竟那都是要花钱的。在业务部门看来安全就是来找麻烦的,***标准落实了测评通过了***又出了安全事件又会被抓住一阵狂怼。
弱口令问题
首当其冲的还是先解决最严重的问题:弱口令。强弱密码的区分没有一个严格明确的定义,通常认为容易被别人(他们有可能对你很了解)猜测到或容易被破解工具破解的口令均可以定义为弱密码。
目前大多数worm类病毒都具备暴力破解模块针对的常见服务如下:
- SSH RDP MSSQL Mysql Redis SMB SMTP HTTP
此处定义弱口令非一些传统的类似与123456这类的弱口令主要举例如下:
A类常见的弱口令如:
- 12345678 1111111 admin 1234abcd 8888888
B类符合密码复杂度的弱口令如:
- 1qaz@WSX Aa12345678 P@ssword
C类用户名关系配合常见字符串类的如:
- zhangsan123 zhangsan888 zhangsan@qq zhangsan520
顺手写一个脚本短短几十行的代码量而已或者上github找一个弱口令生成器都可以生成大量C类弱口令:
解决建议:
统一整改一批弱口令同时设置一个强的面密码策略,设置一个若密码字段的检测针对不同的用户不运行类似C类密码的设置。
统一或规律密码问题
去年下半年的时候出现了一个比较流行的勒索病毒叫GlobeImposter3.0,该勒索往往可以导致内网很多主机同时被勒索。加密文件的后缀改成.动物名称+4444的样子,如:.Horse4444 12生肖凑齐的感觉有没有。
这货利用mimikatz.exe扫描本机的所有账户机器密码,将结果保存到result.txt里面加入到暴力破解的字典里面。之后利用nasp.exe扫描哪些机器开放3389端口。然后远程登录桌面爆破工具NLBrute.exe会根据扫描结果,依次爆破局域网的机器。拿到机器账号后,成功登陆进而重复该步骤,再次进行传播。
针对很多内网主机密码都是一致的情况,估计分分钟就内网就歇菜了。比如还有一些运维管理员喜欢把密码和IP关联在一起。比如192.168.1.101 密码就设置为Root@101随便一下8个字符、大小写数字字母、特殊字符都具备了却往往很危险。攻破一台主机,可能内网所有主机都玩完了。
解决建议:
强烈推荐开源的跳板机JumpServer可以自己做二次开发,梳理内网主机的访问关系图设置内网主机的访问控制策略
系统补丁
每次谈到windows系统补丁就觉得有必要说一下Windows二个比较有代表性病毒Conficker与Wannacry系列二者都属于比较活跃且感染面相对较大的。
前者主要利用了MS08-067后者主要利用MS17-010进行内外网的扩散,MS17-010涉及面相对较广广泛被挖矿勒索病毒用于横向传播,收获颇丰这个是真的猛。
解决建议:
这个解决办法是真的简单就是打补丁,有条件的可以自己搭建一个WSUS用于补丁的分发、或者自己写一个小脚本用于检测主机端的补丁安装情况。针对与一些服务器不方便重启的情况建议可以做好ACL策略或者端口封禁。
热点安全漏洞利用
客户普遍都认为内网是相对安全的,连接外网的服务一般也会重点关注。目前较多的worm类挖矿病毒与时俱进常常有很多Web漏洞的利用模块。
如最近360捕获的Psminer 基本上覆盖了Weblogic类、Redis未授权访问、ES类、ThinkPHP命令执行类、Spring命令执行类。
除非之外还有一些常见的Tomcat Manager弱密码、S2命令执行系列、Wordpress命令执行漏洞都是一些可以用于传播的漏洞。这一些漏洞的特别就在于简单高效,不需要提权什么的直接就是一个curl或者wget从互联网下载一个恶意脚本回来开始搞事情,windows调用Powershell一个downloadsrting开始搞事情。
无论是做为内网的突破口还是内网横向扩散使用,这一类高位漏洞都能发挥较好的效果。指不定很多刚刚入门的脚本小子练练手搞点EXP批量扫描,拿到了一个shell之后一个rm -rf /* ,咱们后面又该怎么和领导去交代呢,估计第二天是不是都不用来上班了。
解决建议:
这一类安全漏洞是危险性比较强的,说不定就是导致内网瘫痪的一个入口。定期的跟踪热点的安全事件、安全测试上github收集各类POC回来验证,参考自动化测试那一套玩意做到内部安全风险自己评估。Ummmm….还涉及到一个问题谁去修复的问题?当然是谁开发谁负责,开发不修复怎么办,谁去做回归测试等问题参考如下:
安全意识与安全管理
安全意识这个属于老生长谈了无论说的怎么牛X感觉都是在自嗨,该点击的钓鱼邮件还是要点,说了很多遍不要安装来路不明的软件还是一样安装,不要打开来路不明的附件出于好奇看了看,弱密码一定会改的就从123456改成了12345678,***发现电脑卡到不行CPU占用率90%,内存占用90%以上中了勒索挖矿就是安全工作没有做好。
每次遇见到这种情况,我也不知道怎么玩,除了本地装上EDR就不知道还能怎么玩了遇见免杀的Virus就呵呵了。
所以这个时候有个人背锅就很重要了,按照XXXX标准结合自己的实际场景搞一些简单的安全管理制度,大家看不看没有关系一定把责任要划分到人头,***还能走正式的那种制度文档,批准人为:XXX领导。大概就差不多了。
解决建议:
定期抽查部分PC的终端防护软件、多培训多洗脑,多出一些制度。
安全运营
根据一些law的要求需要将日志保存到至少半年,搞一个简单的日志中心就十分的有必要了,购买第三方厂商或者自己搞个开源的都可以主要看领导给不给预算。
开源的日志中心还是比较推荐,毕竟可以根据自己的业务场景自定义,比较推荐比较完善的ELK套装。现在新增了一个FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后传输给Logstash,官方也推荐此工具
Elasticsearch是个开源分布式搜索引擎,提供搜集、分析、存储数据三大功能。它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。
Logstash 主要是用来日志的搜集、分析、过滤日志的工具,支持大量的数据获取方式。一般工作方式为c/s架构,client端安装在需要收集日志的主机上,server端负责将收到的各节点日志进行过滤、修改等操作在一并发往elasticsearch上去。
Kibana 也是一个开源和免费的工具,Kibana可以为 Logstash 和 ElasticSearch 提供的日志分析友好的 Web 界面,可以帮助汇总、分析和搜索重要数据日志。
Filebeat隶属于Beats。目前Beats包含四种工具:
- Packetbeat(搜集网络流量数据,溯源可能用得着)
- Topbeat(搜集系统、进程和文件系统级别的 CPU 和内存使用情况等数据,检测挖矿神器)
- Filebeat(搜集文件数据)
- Winlogbeat(搜集 Windows 事件日志数据,检测暴力破解必备!!!)
主要目的还是能够通过日志发现一些异常点,出了安全事件后方便溯源分析,根据对业务情况的熟悉可以自己写一些报警规则对于很多常规的暴力破解、异常登录都能做到准确的报警提醒。
总结
企业安全还是看资金投入只有领导愿意投入,预算管够直接就购买一些安全厂商的全家桶FW+IPS+IDS+WAF+SIEM+EDR+DLP+Scaner+Codereviewer+APTdetecter,剩下的就是一些运营工作了美滋滋毕竟是真金白银搞出来的。
***吐槽一下热门的利用”驱动人生”升级通道的那个木马,各种不好查杀还经常变来变去已经被折磨的快吐血了,求大佬放过。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
小师妹聊安全标准(二)
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》 上一篇聊的是关于风险评估实施的安全标准,看到有人留言怀疑我冒充小师妹,我觉得并没有冒充的必要,反倒我希望各位圈友把我当成兄弟,不吝赐教。 身边一个朋友常挂在嘴边的一句话是“做人嘛,开心最重要”,我就是这个态度,能把自己感兴趣的东西,一边学习一边有所输出,并能和大家一起交流,互相帮助,开心就好。聊标准的目的本身也就是想把标准通俗化,想要大家都能一看就明白,但由于本人水平有限,内容上难免有点差强人意。 我今天想和大家聊的是关于信息安全管理体系的标准《GB/T 31496-2015 信息技术 安全技术信息安全管理体系实施指南》。 一、该标准的简单描述 这个标准其实就是国际标准ISO/IEC 27003:2010的中文翻译,并没有做多少改动,主要用来指导信息安全管理的过程,将信息资产的风险控制在组织可接受的安全范围内。 该标准同另外8个标准共同组成了信息安全管理体系标准族(简称ISMS标准族),如下: 通常情况下,ISMS的实施被作为一个单独的项目来执行。既然是项目我们应该都知道,一个项目的启动,前期都要经过详细的计划、统...
- 下一篇
寻找有效的微隔离技术?想想覆盖模型
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》 Gartner最近更新了微分段评估因子文档(“如何使用评估因子来选择微隔离模型”。 微隔离的四种不同模型,但没有明确建议哪种更适合。了解这一点的答案意味着要考虑每个模型的局限性,并认识到动态混合云数据中心的未来前景。很明显一个解决方案模型高于其他解决方案,以前使用其他模型的供应商现在正在改变他们的技术使用应该不足为奇这个型号:覆盖。 但首先,解释下为什么其他模型不适合大多数企业客户。 本机云控制的不灵活性 本机模型使用随虚拟化平台,虚拟机管理程序或基础架构提供的工具。该模型本质上是有限且不灵活的。即使对于仅使用单个虚拟机管理程序提供商的企业,此模型也将它们绑定到一个服务中,因为当您切换提供商时,不能简单地移动微隔离策略。此外,虽然企业可能认为他们在一个IaaS服务器或虚拟机管理程序下工作,但提供商也可能在其他地方也有服务器。现实情况是,过去支持Native控件进行微分段的供应商已经意识到客户正在转型并且必须开发新的基于覆盖的产品。 更常见的是,企业知道他们正在与多个云提供商和服务合作,并且需要一种可以在这种异构环境...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- Windows10,CentOS7,CentOS8安装Nodejs环境
- Docker安装Oracle12C,快速搭建Oracle学习环境
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- CentOS8编译安装MySQL8.0.19
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS8安装Docker,最新的服务器搭配容器使用
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- SpringBoot2整合Redis,开启缓存,提高访问速度
- CentOS7,8上快速安装Gitea,搭建Git服务器