读红蓝攻防：技术与计谋10侦探

1. 概述

1.1. 侦探是威胁生命周期中最重要的阶段之一

• 1.1.1. 网络攻击的侦探阶段是整个攻击过程的关键决定因素
  

1.2. 在这个阶段，攻击者侧重寻找可以用来攻击目的的弊端，通过定位和收集数据，以识别目的网络、用户或计算体系中的弊端
1.3. 分为被动和主动两种方式

• 1.3.1. 分为外部侦探和内部侦探
  

1.4. 举行侦探的正确方式是，不应该让目的知道他正在被侦探
2. 外部侦探

2.1. 也称为外部踩点

• 2.1.1. external footprinting
  
• 2.1.2. 外部侦探是在不与体系交互的情况下完成的，通过在组织中工作的人找到切入点
  

2.2. 包括利用工具和技术，资助黑客在目的网络外部操纵时找到有关目的的信息

• 2.2.1. 指在目的网络之外，尽大概多地发现有关目的的信息
  
• 2.2.2. 利用的新工具包括Webshag、FOCA、PhoneInfoga和Harvester
  

2.3. 这种做法是秘密举行的，很难被检测到，因为一些侦探工具专门为躲避监控工具而计划，而其他工具则利用在服务器看来很正常的请求
2.4. 外部侦探不同于内部侦探，因为它是在威胁举动者现实渗透到组织之前举行的

• 2.4.1. 假如威胁举动者的目的不是举行高级连续性攻击，那么外部侦探也可以是根本不必渗透到组织的攻击
  

2.5. 外部侦探通常比内部侦探需要更少的积极，但其成功率往往很低
2.6. 外部侦探攻击通常集中在外围，黑客很少或根本没有关于目的的值得利用的信息
2.7. 证明外部侦探确实有效的变乱通常是因为攻击利用了用户的粗心大意而发生的
2.8. 攻击者可以利用很多不同的技术来举行外部侦探，从扫描目的的社交媒体到翻垃圾箱，再到利用不同的社会工程技术从目的中提取信息
2.9. 欣赏目的的社交媒体

• 2.9.1. 社交媒体为黑客开辟了新的猎场
  
  
  
  • 2.9.1.1. 欣赏社交媒体账户已成为举行外部侦探的常用方法
    
  
  
• 2.9.2. 寻找人们信息的最简单方法是通过他们的社交媒体账户，黑客发现这是发掘特定目的数据的最佳场所之一
  
• 2.9.3. 一种利用社交媒体的新方法来实行更加险恶的预攻击(pre-attack)
  
• 2.9.4. 另一种方式是查看他们的账户帖子，以获取可辅助破解暗码的信息，或用于重置一些账户的秘密题目的答案
  
  
  
  • 2.9.4.1. 有了社交媒体账户中的全名以及可行的暗码，攻击者就可以大概筹划如何进入网络并实施攻击
    
  • 2.9.4.2. 众所周知，用户由于懒惰或缺乏对他们所面临的威胁的了解而利用弱暗码
    
  
  
• 2.9.5. 社交媒体中另一个隐患是身份盗窃
  
  
  
  • 2.9.5.1. 创建一个带有另一个人的身份的假账户是很容易的，所需要做的只是访问一些照片和身份盗窃受害者的最新细节
    
  
  

2.10. 垃圾搜索

• 2.10.1. 组织以多种方式处置过时的装备
  
  
  
  • 2.10.1.1. 处置惩罚方法存在严重的隐患
    
  • 2.10.1.2. 大多数组织在处置惩罚旧的外部存储装备或过时的计算机时都不够彻底，有些人甚至懒得删除包含的数据
    
  
  
• 2.10.2. 谷歌是彻底处置惩罚大概包含用户数据的装备的公司之一
  
  
  
  • 2.10.2.1. 它销毁了数据中央的旧硬盘，以防止恶意用户访问其中的数据
    
  • 2.10.2.2. 硬盘被放入一个粉碎机中，粉碎机将钢质活塞向上推过磁盘的中央，从而使其不可读
    
  • 2.10.2.3. 这个过程一直连续到呆板吐出硬盘的小碎片，然后这些碎片被送到回收中央
    
  • 2.10.2.4. 谷歌选择利用军用级删除软件擦除旧硬盘上的数据，这确保了在处置旧硬盘时无法从旧硬盘中规复数据
    
  
  

2.11.  社会工程

• 2.11.1. 详细见下篇
  

3. 内部侦探

3.1. 内部侦探是在威胁举动者已经攻破一个组织之后举行的，并且是在目的的网络内举行的，以收集关于该组织及其成员的尽大概多的情报
3.2. 内部侦探是在现场举行的

• 3.2.1. 意味着攻击是在组织的网络、体系和场所内举行的
  
• 3.2.2. 涉及在其网络中查找有关目的的更多信息
  
• 3.2.3. 黑客进入目的网络并不总是可行的
  

3.3. 大多数情况下，这个过程由软件工具辅助

• 3.3.1. 攻击者与现实的目的体系举行交互，以便找出有关其弊端的信息
  
• 3.3.2. 内部侦探工具将主要产生关于目的的更丰富的信息
  
• 3.3.3. 利用的一些新工具包括Airgraph-ng、Hak5 Plunder Bug、CATT和Canary令牌链接
  

3.4. 内部侦探是一种被动攻击，因为它的目的是发现信息，这些信息可以在未来用于更严重的攻击
3.5. 主要目的是一个组织的内部网络，黑客肯定会在那边找到他们可以感染的数据服务器和主机的IP地址

• 3.5.1. 网络中的数据可以被同一个网络中的任何人通过正确的工具和技能获取
  
• 3.5.2. 嗅探工具
  

3.6. 内部侦探用于确定防范黑客攻击的安全机制
3.7. 内部侦探也称为利用后侦探(post-exploitation reconnaissance)，因为它发生在攻击者获得网络访问权之后

• 3.7.1. 攻击者的目的是收集更多信息，以便在网络中横向移动，发现关键体系，并实施预期的攻击
  

4. 被动侦探与主动侦探

4.1. 主动侦探需要黑客直接与体系举行交互
4.2. 主动侦探过程的目的是获取某一组织所用体系的相干信息

• 4.2.1. 主动侦探比被动侦探更快、更准确
  
• 4.2.2. 主动侦探对黑客来说风险更大，因为它往往会在体系内制造更多噪声，从而大大增加黑客在体系内被检测到的大概性
  

4.3. 被动侦探是一种体系信息的收集过程，它利用间接办段，包括利用Shodan和Wireshark等工具

• 4.3.1. 被动侦探利用的方法包括OS fingerprinting等方法，以获取有关特定体系的信息
  

5. 对抗侦探

5.1. 在侦探阶段就不让攻击者的筹划得逞对于阻止攻击进一步发展至关重要
5.2. 假如攻击者无法获得有关体系的关键细节，他们将最终利用试错法或根据猜测订定筹划
5.3. 对抗攻击者成功完成侦探的最佳方法是，完全了解你组织内部的网络

• 5.3.1. 体系和网络中利用的全部技术
  
• 5.3.2. 体系中大概的差距
  

5.4. 最佳方式是让体系有一个日志收集点，在那边集中收集关于体系中的日志和运动的消息
5.5. 方式

• 5.5.1. 利用Graylog工具
  
  
  
  • 5.5.1.1. 可以看到体系内的全部网络通讯，以及网络通讯是如何完成的
    
  • 5.5.1.2. 该信息是从日志文件中获得的，日志文件将展现全部被拒绝的网络毗连和那些被创建的网络毗连
    
  
  
• 5.5.2. 雇佣红队
  
  
  
  • 5.5.2.1. 雇佣一个团队对你的体系举行道德黑客攻击
    
  • 5.5.2.2. 红队的测试效果将资助你识别体系基础办法中的弊端
    
  • 5.5.2.3. 假如红队成功进入该体系，那么他们将可以大概查明用来进入体系的区域，并给出关于需要额外保护的其他区域的建议
    
  
  

6. 防止侦探

6.1. 侦探过程是攻击的第一阶段，黑客将利用它来确定需要付出什么样的积极或利用什么工具来访问体系
6.2. 成功的侦探阶段答应黑客有效地筹划他们的攻击

• 6.2.1. 假如黑客没有在这个阶段获得信息，将被迫利用试错法，这将大大增加他们在体系中的噪声，大概增加他们触发安全体系告警以阻止攻击的概率
  

6.3. 找到防止黑客成功实行侦探程序的方法并确定有关体系的重要细节以资助他们更好地应对攻击是至关重要的
6.4. 渗透测试是一种解决方案

• 6.4.1. 组织可以利用它来确定攻击者在侦探期间可以获得体系哪些方面的信息
  
• 6.4.2. 渗透测试是一个合乎道德的黑客程序，由安全团队实行，以确定体系中的弊端，如开放端口和攻击者可以利用来进入体系的其他弊端
  
• 6.4.3. 安全小组利用可以大概扫描大型网络的端口扫描工具来确定与网络相干的全部主机，包括启动的主机和未启动的主机
  
• 6.4.4. 旨在扫描和识别体系中大概被埋伏攻击者利用的任何弊端
  
• 6.4.5. 有助于检测网络中处于运动状态的源IP地址，并在给定时间运行扫描工具
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

继续阅读请点击广告