Cobalt Strike是一款基于Java的滲透測試神器,常被業界人稱為CS神器,在內網滲透中使用的頻率較高,其功能和MSF類似,不乏釣魚攻擊、生成后門攻擊等。
Cobalt Strike可生成C、C#、COM Scriptlet、Java、Perl、PowerShell、PowerShell Command、Python、Raw、Ruby、Veil、VBA共12種格式的Payload,可以通過打開“Packages”中的“Payload Generator”查看其可以生成的格式。
使用最多的是C和Powershell這兩種格式,首先簡單介紹一下C格式的“Shellcode”,Shellcode是一段用于利用軟件漏洞的代碼,對于免殺操作更方便。Powershell通常是在滲透中拿下Webshell后,直接運行然后使主機上線,當然Powershell的免殺較Shellcode要更復雜一點。
區別如下:
Http代理用的是Http協議,工作在應用層,主要是用來代理瀏覽器訪問網頁,它的端口一般為80、8080、3128等。是Internet上進行信息傳輸時使用最為廣泛的一種非常簡單的通信協議。部分局域網對協議進行了限制,只允許用戶通過HTTP協議訪問外部網站。
全能代理,就像有很多跳線的轉接板,它只是簡單地將一端的系統連接到另外一端。支持多種協議,包括http、ftp請求及其它類型的請求。它分socks 4 和socks 5兩種類型,socks 4只支持TCP協議而socks 5支持TCP/UDP協議,還支持各種身份驗證機制等協議。其標準端口為1080。
滿足以下條件即可取得等級保護資質:
在中華人民共和國境內注冊成立,由中國公民、法人投資或者國家投資的企事業單位;
產權關系明晰,注冊資金 500 萬元以上,獨立經營核算,無違法違規記錄;
從事網絡安全服務兩年以上,具備一定的網絡安全檢測評估能力;
法人、主要負責人、測評人員僅限中華人民共和國境內的中國公民,且無犯罪記錄;
具有網絡安全相關工作經歷的技術和管理人員不少于 15 人,專職滲透測試人員不少于 2 人,崗位職責清晰,且人員相對穩定;
具有固定的辦公場所,配備滿足測評業務需要的檢測評估工具、實驗環境等;
具有完備的安全保密管理、項目管理、質量管理、人員管理、檔案管理和培訓教育等規章制度;
不涉及網絡安全產品開發、銷售或信息系統安全集成等可能影響測評結果公正性的業務(自用除外);
應具備的其他條件。
HTTP降級攻擊存在以下風險:
盜竊信息
使用SSL剝離攻擊,用戶發送到網站的任何信息都可以被黑客或其他人訪問,因為它是以明文形式發送的,而且沒有經過加密。這很容易導致信息被盜,包括知識產權獲有關用戶或公司客戶的敏感的個人身份信息。
欺詐性交易
SSL剝離攻擊不僅允許黑客攔截用戶發送到網站的信息,還允許他們進行反向操作,并更改從網站返回到用戶的通信。這意味著用戶可能會從網站收到不準確的信息,因為信息在傳輸過程中被黑客更改了。以這種方式接收到的錯誤信息可能導致用戶采取與原本計劃完全不同的行動,給個人和公司帶來許多危害。
溝通不準確
通過中間人攻擊竊取用戶的登錄憑據,也可以讓黑客訪問任意數量的附加系統。這意味著,即使只有一個系統容易受到攻擊,它也可能使其他更安全的系統更容易受到攻擊。總的來說,這種情況需要組織的安全團隊確保沒有薄弱環節,無論任何給定的連接點看起來多么簡單。
針對HTTP降級攻擊的防御措施有以下這些:
URI監測:在指定的時間內,某一個URI的訪問量要是過高,Anti-DDoS就會針對這種情況啟動URI行為檢測,如果檢測出來的訪問數超過規定的閾值,超出的IP訪問數就會被判定加入動態黑名單。所以在配置URI監測時,可將消耗內存或計算資源多、容易受攻擊的URI加入“重點監測URI”列表。
URI源指紋學習功能:適用于攻擊源訪問的URI比較固定。因為如果要形成攻擊效果,攻擊者一般都事先探測,找到容易消耗系統資源的URI作為攻擊目標,然后一個攻擊源的一個會話上會有多個針對該URI的請求,最終呈現為該源對選定的URI發送大量的請求報文。動態指紋學習正是基于這個原理,Anti-DDoS設備對源訪問的URI進行指紋學習,找到攻擊目標URI指紋,如果對該URI指紋的命中次數高于設置的閾值就將該源加入黑名單。
HTTP Flood源認證:源認證防御方式是防御HTTP Flood最常用的手段,這種防御方式適用于客戶端為瀏覽器的HTTP服務器場景,因為瀏覽器支持完整的HTTP協議,可以正常回應重定向報文或者是驗證碼。源認證防御主要包含三種方式分別是基本模式(META刷新)、增強模式(驗證碼認證)、302重定向模式。
HTTP源統計:HTTP源統計是在基于目的IP流量異常的基礎上,再啟動針對源IP流量進行統計。Anti-DDoS設備首先對到達目的IP的流量進行統計,當目的IP流量觸發告警閾值時,再啟動到達這個目的IP的每個源的流量進行統計,判定具體某個源流量異常,并對源IP的流量進行限速。HTTP源統計功能可以更準確的定位異常源,并對異常源發出的流量進行限速。
按照涉密等級實行分級保護。通常情況下對涉密信息系統施以保護都是按照分級原則進行分級實施的。涉密系統的安全管理級別分為絕密級、機密級、秘密級,有效分級后,才能更進一步實施分級保護,提升管理效能,提升安全標準。
秘密級:信息系統當中包含有秘密級的國家秘密,其總體的防護水平不應該低于國家信息安全等級保護三級的要求,信息系統應該達到分級保護的技術標準。
機密級:信息系統當中包含有機密級國家秘密,其防護水平不應低于國家信息安全等級保護四級要求,同時,還需要符合分級保護的保密技術要求。
絕密級:信息系統當中包含有絕密級國家秘密,其防護水平應不低于國家信息安全等級保護五級要求,需符合分級保護的保密技術要求。同時,絕密級涉密信息系統應該被建設并應用到封閉的場地建筑之內,不能與外網連接。
等級保護涉及面廣,相關的安全標準、規范、指南還有很多正在編制或修訂中。常用的規范標準包括但不限于如下幾個:
GB/T 31167-2014 信息安全技術 云計算服務安全指南
GB/T 31168-2014 信息安全技術 云計算服務安全能力要求
GB/T 36326-2018 信息技術 云計算云服務運營通用要求
GB/T 25058-2010 信息安全技術 信息系統安全等級保護實施指南
GB/T 25070-2019信息安全技術 網絡安全等級保護安全設計技術要求
GB/T 28448-2019信息安全技術 網絡安全等級保護測評要求
GB/T 22239-2019 信息安全技術 網絡安全等級保護基本要求
GB/T 22240-2008信息安全技術 信息系統安全等級保護定級指南
GB/T 36958-2018 信息安全技術 網絡安全等級保護安全管理中心技術要求
GM/T 0054-2018 信息系統密碼應用基本要求
GB/T 35273-2020 信息安全技術 個人信息安全規范
代碼審計和滲透測試是兩種不同的測試方法不存在哪個更高級,滲透測試屬于黑盒測試他不關心目標或者產品內部的代碼結果只對網站提交一些參數來進行漏洞挖掘,代碼審計相反屬于白盒測試了解測試目標的相關信息和代碼且需要有一定安全經驗的相關人員借助工具或者人工來進行分析審計。兩者各有利弊相輔相成不存在誰比誰高級。
滲透測試和代碼審計的關系
滲透測試:能夠相對于發現操作系統和網絡服務綜合性的安全,因為滲透測試是在已經成熟的網絡環境中去操作。(網絡架構,后臺服務器等)
代碼審計:更多的是一個靜態的代碼審計,白盒測試則是徹底地發現代碼的風險
兩者的關系
相互補充,相互強化(黑盒測試通過外層進行嗅探挖掘,白盒測試從內部充分發現源代碼中的漏洞風險)
代碼審計發現問題,滲透測試確定漏洞的可利用性
滲透測試發現問題,代碼審計確定成因
計算機等級保護的評審包括以下內容:
各單位應該自己確定定級對象,對自己單位的所有系統進行一個梳理,對每一個系統進行一個初步預定級。
如果認為該系統應該為二級以上,應該進行專家評審,但是很多單位對于自己單位的系統的重要程度,被破壞后的危害認識存在很多主觀因素,或者認識不夠,因此建議所有的系統都應該做專家評審,否則某個單位系統假如說有幾十個,主觀認為都是一級,那就進行不到專家評審這一環節了,違背了定級的思想了,所以,在專家評審時,應該對所有系統進行定級評審。避免出現二級(含二級)以上系統沒有定級備案的情況,避免因為信息系統沒有定級備案而被違法處罰。
專家評審后有主管部門的報主管部門審核,審核后出具定級審批意見后,報給公安機關備案審查,公安機關屬于終審,如果公安機關認為仍然定級不準備,則重新定級。
公安機關審核通過后,最終確定等級,出具備案證明。
專家評審注意問題:
專家評審的時候,不是審查備案表和定級報告的瑕疵,文件的毛病,而是看系統的安全性,看系統是否缺少了什么安全防護設備。
專家的主要職責是根據系統的重要程度,根據系統被破壞后產生的影響后果去確定系統的級別,這才是專家評審的意義。其實系統定級是一件比較難,也非常重要的工作。系統級別確定后,系統就要按照這個標準去建設,去防護。
專家評審時,應該對系統的邊界劃分清楚。有些單位習慣把一些系統合并成為一個系統,專家應該審核這種合并的合理性。
在評審表中應該考慮系統服務安全和系統業務安全,并認清對應的級別。
在評審時,很多單位會把所有的系統都拿出來評審,對于認定為一級的系統也應該在專家評審意見中寫明原因。不能只寫二級以上的評審意見。
滲透測試的目的在于模擬攻擊者對網站進行全面檢測和評估,在攻擊者之前找到漏洞并且進行修復,從而杜絕網站信息外泄等不安全事件。測試、檢查、模擬入侵就是滲透測試。滲透測試能夠通過識別安全問題來幫助一個單位理解當前的安全狀況。這使促使許多單位開發操作規劃來減少攻擊或誤用的威脅。滲透測試是一種瞻性的防御措施,可以集中關注與其自身緊密相關的攻擊產生的預警和通知,提升真正有意義的安全防護。
滲透測試包括以下這些階段:
情報的搜集階段:情報是指目標網絡,服務器,應用程序等的所有信息,如果是黑盒測試,信息搜集階段是最重要的一個階段,一般通過被動掃描或主動掃描兩種技術。
威脅建模階段:如果把滲透測試看做一場對抗賽,那么威脅建模就相當于指定策略。
漏洞分析階段:漏洞分析階段是從目標網絡中發現漏洞的過程。這個階段我們會根據之前搜集的目標網絡的操作系統,開放端口及服務程序等信息,查找和分析目標網絡中的漏洞。這個階段如果全靠人手工進行,那么會非常累。不過Kali Linux 2提供了大量的網絡和應用漏洞評估工具。不光是網絡的漏洞,還要考慮人的因素長時間研究目標人員的心理,以便對其實施欺騙,從而達到滲透目標。
漏洞利用階段:找到目標網絡的漏洞后,就可以對其進行測試了。在漏洞利用階段我們關注的重點是,如果繞過網絡的安全機制來控制目標網絡或訪問目標資源。如果我們在漏洞分析階段順利完成任務,那么我們就可以在此階段準確,順利的進行。漏洞利用階段的滲透測試應該有精確的范圍。這個階段我們主要的目標就是獲取我們之前評估的重要的資產。進行滲透測試時還需要考慮成功的概率和對目標網絡造成的最大破壞。
后滲透攻擊階段:后滲透攻擊階段和漏洞利用階段連接十分密切,作為滲透測試人員,必須盡可能地將目標網絡滲透后可能產生的結果模擬出來。
報告階段:報告階段是滲透測試最后一個階段。要簡單,直接且盡量避免大量專業術語向客戶匯報測試目標網絡出現的問題,以及可能產生的風險。這份報告應該包括目標網絡最重要的威脅,使用滲透數據產生的表格和圖標,以及對目標網絡存在問題的修復方案,當前安全機制的改進建議等。
按照劫持的方法不同,我將劫持分為下面兩類:
為了獲取流量,一些電商或者類似百度這樣需要流量合作的網站都會有自己的聯盟系統,通過給予一些獎勵來獲取導流,比如:百度或者電商會有渠道分成。
為了區分哪些是第三方給予導流過來的,通常會在url地址增加類似source、from之類的參數,或者進入頁面之前通過「中間頁」種cookie。
這樣,當用戶輸入一個正常網址的時候,劫持方會在網絡層讓其跳轉到帶分成或者渠道號的「中間頁」或者帶渠道號的頁面。這樣用戶進行下單或者搜索等行為,劫持方會得到「傭金」。
上面說的這類case還算友好,至少用戶一般體驗不到頁面變化,還有類似跳轉到釣魚網站的case,也有不正當競爭的case:用戶輸入baidu.com跳轉到so.com或者sm.cn,而對方網站有故意做成和百度搜索差不多的樣子,那時候也幫助法務做了很多案例收集。
題外話:前些年,用戶使用百度搜索某些醫療類query,立即用戶就會收到電話推廣醫院,很多用戶投訴,不明真相的群眾也指責百度,實際這類是運營商把url的關鍵詞賣給了醫療機構,百度只不過是躺槍。。。那時候還做了個項目是加密query。。。
頁面在傳輸的過程中,被網絡層進行內容「再加工」,常見有:注入js、iframe、篡改頁面。
注入js的方式可以通過document.write或者直接改html代碼片段等方式,給頁面增加外鏈js,為了做到更難檢測,有些運營商會捏造一個不存在的url地址,從而不被過濾或者檢測。
案例1:運營商會用自己識別的ip或者域名做js網址,wap.zjtoolbar.10086.cn這類只有在浙江移動網絡下才會被解析出來,同理ip也是
案例2:運營商很聰明,知道頁面可以檢測所有外鏈js的域名,比如:m.baidu.com我只允許m.baidu.com/static的外鏈js,其他js都會被記錄反饋;為了不被檢測出來,我遇見個case電信會訪問一個不存在的地址,比如:m.baidu.com/static/abc.js,這個地址在運營商直接返回劫持的js代碼,請求不會發到百度的服務器。
這類case比較少見,但是一些擦邊球的網站或者沒有內容的垃圾站會用這種方式,他們一般是通過熱門關鍵詞之類做SEO,打開網站實際去了廣告之類沒有任何實際內容,而頁面卻是內嵌了一個其他網站,我們要是識別出來不被內嵌就需要檢測。
這類case很少見,一般是在頁面底部增加js之外的div,然后展現一些非網站內容。
使用人工智能可以提高網絡分析師的準確性和效率。部署AI解決方案將幫助組織更好地保護密碼和身份驗證策略。通過使用機器學習算法和支持AI的預防控制,組織可以在威脅和漏洞造成指數級損害之前對其進行跟蹤,監視,檢測和預防。而且由于AI的多功能性和能力,將AI用于網絡安全的好處非常明顯。
AI用于網絡安全的好處有:
這是網絡安全中的關鍵因素之一,因為必須及時采取措施來應對威脅和攻擊。借助AI,公司可以比以往更快地檢測到威脅。他們可以部署軟件以進行連續掃描和高級威脅檢測技術。人工智能可以極大地減少所需的時間和資源,并使您的數字資產免受潛在風險的影響。
有各種各樣的高級AI工具和解決方案可用,它們可以調查,預測,掃描并連續檢查組織各個級別的漏洞。可以在身份驗證,網絡和分析級別部署AI工具。這些工具越來越好,并且如果與人類網絡分析師一起使用,而不是單獨使用,可以為保護數據,網絡和資源提供最佳結果。
當處理大量數據并在幾分鐘內識別出罕見的活動或場景時,人類無法與AI的準確性相提并論。也有可能為AI程序提供了錯誤的輸入或以錯誤的方式對其進行了編程,從而導致意外中斷。
AI算法可以隨著時間的推移而學習,并發現與常規行為的差異。深度學習和機器學習算法能夠識別模式和變化,并逐漸了解它們。AI的自學習功能可幫助安全團隊快速發現常規網絡流量中的差異。
解決內網安全問題的措施如下:
在用戶網絡內部,終端一般是通過交換機接入內部網絡。這些接入終端的安全狀態將直接影響整個網絡的運行安全。為了確保只有符合安全標準的用戶接入網絡,ASM可以通過交換機的配合,強制終端用戶在接入網絡前通過入網強制技術進行身份認證和安全狀態評估,幫助管理員實施安全策略,確保終端病毒庫和系統補丁得到及時更新,降低病毒和蠕蟲蔓延的風險,阻止來自用戶內部的安全威脅。
內網安全軟件類產品,可通過設置“端口、IP地址、通信方向等”參數,限制外來計算機非法訪問內網/內網計算機非法訪問互聯網等,自動檢測并實時阻斷新計算機非法接入,實時發出報警。
解決外網安全問題的措施如下:
安裝配置防火墻iptables;
關閉系統除了用到的端口外所有其他端口;
關閉一切用不到的服務。
對用戶權限加以限制。
監控服務器服務等采用短信報警機制。
信息系統安全等級保護分為五級,一級防護水平最低,最高等保為五級。
第一級(自主保護級):一般適用于小型私營、個體企業、中小學,鄉鎮所屬信息系統、縣級單位中一般的信息統信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級(指導保護級):一般適用于縣級其些單位中的重要信息系統;地市級以上國家機關、企事業單位內部一般的信息系統。例如非涉及工作秘密、商業秘密、敏感信息的辦公系統和管理系統等。信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級(監督保護級):一般適用于地市級以上國家機關、企業、事業單位內部重要的信息系統,例如涉及工作秘密、商業秘密、敏感信息的辦公系統和管理系統。跨省或全國聯網運行的用于生產、調度、管理、指揮、作業、控制等方面的重要信息系統以及這類系統在省、地市的分支系統;中央各部委、省(區、市)門戶網站和重要網站;跨省連接的網絡系統等。信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級(強制保護級):一般適用于國家重要領域、重要部門中的特別重要系統以及核心系統。例如電力、電信、廣電、鐵路、民航、銀行、稅務等重要、部門的生產、調度、指揮等涉及國家安全、國計民生的核心系統。信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級(專控保護級):一般適用于國家重要領域、重要部門中的極端重要系統。信息系統受到破壞后,會對國家安全造成特別嚴重損害。
信息流分析技術 (information-flow analysis) 通過分析程序中數據傳播的合法性以保證信息安全,是防止數據完整性和保密性被破壞的有效手段。
信息流分析技術的核心思想是:首先給數據添加一個標簽,此標簽隨數據在系統中傳播,并根據標簽來獲得數據在系統或應用程序中傳播的相關信息;然后制定信息流策略并建立相應的信息流模型,通過分析數據傳播的相關信息以確定是否存在違反信息流策略的信息安全隱患,即若被分析對象的信息傳播過程符合制定的信息流策略,則認為被分析對象是安全的,否則就是不安全的。
根據信息流策略描述方法的不同,信息流模型可以分為基于格、基于安全類型、基于安全進程代數(Securily Process Algebra, SPA)和基于H動機等四種主要形式。
