洋葱式信息安全观察:黄赌情报技术基础

发表评论 / 技术 / 作者: / 2022-04-14
打印 .PDF 电子书

网络威胁情报应用是一门科学,需要从很多细节去思考和设计。我们结合黄、赌网站情报来窥其一般。

第一幕:前情提要

在网络威胁情报中,C2(也写作:C&C,Command &Control)无疑是最吸引安全技术人员关注的一类。然而,网络威胁情报在威胁类别上分类众多,例如:C2、僵尸网络、DDoS等十数余种,在这些众多的网络威胁情报类别及其使用场景的组合中,应当如何看待这些网络威胁情报的优先级,是网络安全策略制定者需要关注的问题之一。例如:“黄、赌网站情报在我的业务和网络安全中应当处于何种地位?”。

由于色情、赌赌博行业在不同的国家或地区有着不同的政策,黄、赌网站严格意义上讲不能算是全球公认的网络威胁情报,然而其场景性却非常分明。例如,在一个视色情、赌博为非法的地区,监管部门如果不能及时发现在其辖区内运营的黄、赌网站,将可能被视为失职;金融行业为了避免牵涉入洗钱的可能性,也会关注这一类情报的应用;一般企业为了避免合规风险、降低员工利用工作资源做不恰当的行为,也会使用黄、赌网站情报。

我们可以看出以上的场景都是从业务视角出发的,然而黄、赌网站中仅仅需要从业务角度考虑吗?它们背后是否还隐藏着技术风险?请看下一幕。

第二幕:Tiger,Tiger,Tiger

从www.oreilly.com关于Browser Autopwn的信息,我们可以看到针对浏览器攻击的过程。

(以下斜体字来自 https://www.oreilly.com/library/view/metasploit-for-beginners/9781788295970/c7d91992-8dd1-4f7b-8c01-702e53955a84.xhtml?msclkid=5cf14e1eb70311ec9ee86c3cd0cd8617

Another interesting auxiliary module for performing client-side attacks is the browser_autopwn. This auxiliary module works in the following sequence:

  1. The attacker executes the browser_autopwn auxiliary module.
  2. A web server is initiated (on the attacker’s system), which hosts a payload. The payload is accessible over a specific URL.
  3. The attacker sends the specially generated URL to his victim.
  4. The victim tries to open the URL, which is when the payload gets downloaded on his system.
  5. If the victim’s browser is vulnerable, the exploit is successful and the attacker gets a meterpreter shell.

From the msfconsole, select the browser_autopwn module using the use auxiliary/server/browser_autopwn ;command as shown in the following …

以上文字介绍了MSF(Metasploit Framework)针对浏览器的渗透过程,同时这也是一个钓鱼的过程,利用黄、赌类具有吸引力的网站吸引访问者,实施网络攻击,获得访问者设备的控制权。

那么,利用黄、赌网站进行钓鱼或者其他攻击是否真实存在呢?请继续看下一幕。

第三幕:隐藏的威胁

请见来自威胁情报厂商的报告示例(为防止网络安全风险以及合规要求,以下示例均进行一定掩盖,专业人员请通过合法渠道获取IOC信息):

示例1:色情+C2

示例2:赌博+C2

以上示例中,示例2中特地用红色箭头指出,该威胁大概率来自APT组织Gamaredon,其危险性和技术含量,请读者自行审度。

幸运的是,渗透测试所利用的特定浏览器漏洞,也通常已经广为浏览器厂商所知,更新到最新版本一般可以防范这类攻击。然而,仍需需要采用补偿措施防范以下两种情况:

  1. 浏览器未能及时更新到最新版本;
  2. 攻击所利用的漏洞尚未被厂家所知或者厂商尚未推出修复方案。

针对以上两种情况,可以利用威胁情报结合现有网络安全设备进行补偿性防范。

方法请见第四幕。

第四幕:威胁情报应用

企业中通常已有各种设备,可以利用威胁情报进行威胁识别,甚至是执行阻断,下表列出常见的利用威胁情报进行网络安全增强的设备或专用设备:

常见安全设备/平台应用类型一般建议应用能力
上网行为管理通用1.告警2.阻断3.审计
NGFW通用阻断
DNS通用1.告警
2.审计
IDS(IPS)通用告警(IPS可阻断)
TIG专用1.告警2.阻断3.审计

终幕

网络威胁情报应用是一门科学,需要我们去思考一般应用方法。

剧终

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注