HW蓝方技战法总结.pdfVIP

HW蓝⽅技战法总结

⼀、day攻击应急处置流程

⼆、连环陷阱的apt攻击捕获战法

三、零信任架构

四、ip归属地筛选⽅案

五、基于威胁情报构筑动态防御体系

六、专有情报⽣产

七、⿊客指纹收集

伪装、异构、阻断、拦截、诱捕、排查6步法

1、伪装关键应⽤指纹伪装常⽤中间件、更改http协议header头的server字段。可将linux改为IIS6.0。修改中间

件配置⽂件，将移动通讯app的web服务⻚⾯配置成“错误”⻚⾯返回信息。修改⽹关系统配置指纹，将邮件系统

指纹改为“MoresecHoneyPot”，转移攻击者注意⼒。

2、异构边界防护设备（增加⼊侵难度和成本）vpn和防⽕墙采⽤异构⽅式部署，同时在内外层vpn系统⽹络区

域间部署⼤量蜜罐。

3、严控出⽹访问（有来⽆回）攻击者需要受害主机出⽹访问的权限，采⽤配置防⽕墙双向⽩名单，阻断协议

包括tcp、udp、icmp、dns等，达到攻击⽆法完成的效果。

4、强化主机安全防护部分0day利⽤成功后需要主机读写⽂件权限，部署终端防护系统，⼀是监控⾮⽩名单地

址的运维操作和敏感操作命令，及时发现异常命令执⾏⾏为，包括攻击者常⽤的whoami、id等。⼆是监控服务

器敏感配置⽂件的读取，例如passwd、shadow、*.conf⽂件。三是进制web⽬录写⼊脚本⽂件，防⽌webshell

后⻔落地执⾏。

5、布置内⽹诱捕陷阱⼀是边界区域部署办公系统蜜罐。⼆是在核⼼计算区域布置核⼼系统和集权系统蜜罐。三

是将真实系统的⾮业务端⼝访问流量转发⾄蜜罐，第⼀时间发现内⽹扫描⾏为。

6、紧盯零⽇漏洞利⽤痕迹⼀是加强敏感⽂件和⽬录监控。主机层⾯，流量层⾯、加强敏感⽬录读取排查，和返

回包的监控。⼆是加强敏感命令执⾏监控。主机层⾯通过⼊侵检测系统替换操作者系统bash程序，形成命令执

⾏钩⼦，监控敏感命令执⾏操作。流量层⾯，利⽤流量监测设备匹配敏感命令执⾏结果。

总结实战经验发现，不管什么0day漏洞，最终都需要在内⽹主机执⾏命令，主机是防护零⽇漏洞攻击最后也是

最关键的⼀道关卡。

制定了以主机异常命令执⾏为核⼼，以识别⽹络及应⽤层异常⾏为、收敛攻击⾯、制定快速攻击定位及处置流程

为辅助的0day漏洞防护战术。

1

在全⽹⽣产主机部署⼊侵检测系统hids，检测反弹shell等关键攻击⾏为。由于运维⼈员也会执⾏bash、nc等指

令，为避免误报，递归分析shell⽇志每条命令的⽗进程，如果发现是web类进程调⽤shell则出发告警（如⽗进程

是java、httpd⼦进程是sh、python）。告警配置短信实时提醒。

部署⾼交互、⾼仿真蜜罐，将vpn、oa系统做蜜罐备份，攻防期间替换掉真实业务域名，混淆攻击者，捕获零⽇

漏洞。同时将下载⻚⾯中vpn、oa客户端替换为cs免杀⽊⻢，在云服务器部署通过cna脚本进⾏上线微信提醒，

⼀旦上线即可第⼀时间反制溯源。

出⽹管控。最⼩化授权，梳理资产，绘制攻击路径。

⼀、0day攻击应急处置流程

0信任⽹络：

默认不信任办公⽹、⽣产⽹所有⽹络流量，基于身份属性、设备属性、设备状态、权限关系并结合密码技术实现

细粒度可信⽹络访问度量及管控。解决了it⽆边界化趋势下带来的安全问题，相对传统边界模型信任但验证不

同，零信任始终保持从不信任，始终验证。零信任关注的主体是数据及应⽤。零信任⽹络解决⽹络边界被突破后

对数据及应⽤的过度访问带来的数据窃取，服务器陷等安全问题。

防护对象，改变传统安全架构中以⽹络为中⼼的防护，改为以数据为中⼼的安全防护，关注应⽤和资源。防护基

础，改变传统基于”边界“的防护，改为“⽆边界”防护，默认不信任，做到最⼩权限防护。防护理念，改变传统

⼀次认真的静态策略，改为持续评估，动态访问控制。

⼆、连环陷阱的apt攻击捕获战法

基于主动防御理念，利⽤动态伪装和反向⽔坑，对抗0day⾼级攻击者。该技战法以守为攻，出奇制胜，不仅捕

获攻击⾏为，利⽤浏览器漏洞成功实施反制，获得了攻击者真实身份信息。

1、投递污染信息对数据库配置、缓存配置、交互服务器配置以及令牌加密因⼦，写⼊污染信息，指向蜜罐或诱

捕探针。在linux系统中主要针对history、shadow、config、ssh等核⼼配置⽂件进⾏伪造。尤其重视history、