终端安全对抗及防护

攻击面管理实践终端安全对抗及防护 分享人：蔡浩宇 01终端安全技术对抗现状 目录 02案例解析及一线对抗技术分享 03安全防护升级之路 攻击面管理实践01终端安全技术对抗现状 1.不杀不拦只告警 2.日志缺失，运营排查止血难 3.安全一刀切，员工负反馈较多 挑战传统产品无法解决企业终端面临的新威胁与新挑战 03 多分支的终端成为攻击者的关键入侵点 安全能力更新慢，安全策略运维难 攻击面管理实践分享者：蔡浩宇•专业安全技术人员匮乏，安全运营人员少，经验浅，数据体量大•传统硬件部署方式，产品迭代更新慢，病毒、威胁情报无法紧跟时事•安全策略难运维，内置策略基本为零，后期维护更新成本高 •分支机构的业务人员较多，整体安全和IT基础知识薄弱•总部、各分支都有多款安全产品，运维管理工作量极大，没有办法全球统管•各分支安全策略难以按照集团的统一标准执行，尤其偏远分支安全管理水平不足 业终端面临的新威胁与新挑战•传统签名技术无法抵御新型威胁与攻击，企业终端安全在新型攻击面前基本失效•利用正常的权限和账户进行入侵和攻击的场景•新型的无文件攻击的形式（无可执行文件落地）•未知的恶意软件、未知特征恶意文件攻击 攻击队手法总结 攻击面管理实践分享者：蔡浩宇•邮件钓鱼更倾向于钓个人邮箱，以绕过企业的安全防护体系•除了IM、邮件钓鱼，集权系统失陷今年继续存在，还出现了多起针对客服系统的钓鱼•静态伪装更深度，从loader到shellcode都有做对抗，避免被杀软查杀和逆向分析•动态对抗是一线对抗最大的亮点，以绕过EDR为目的，从栈混淆、Syscall、dll加载中的栈伪装等，出现频率不高，但是体现了攻击队在当前终端对抗上的最高水平•白加黑依然是主流的手法，白模块从常见应用切换到了操作系统正常的模块，伪装性更高•凭据窃取依然是攻击者最常用的模块，浏览器凭据窃取最为常见，少量出现数据窃取•厂商支持的云函数锐减，C2通信以域前置为主，流量侧的检测和防护难度高•随着cobaltstrike的持续迭代，依然成为攻击者最主要使用的框架•随着Web3技术与加密货币的爆发发展，越来越多的职业黑客或特殊背景选手，盯上了个人钱包以及大型交易公司 新的攻击目的，攻击，盗币，洗币一条龙更广泛的攻击群体，从行业到公司到个人 攻击者改变-有组织的大规模攻击-目的明确 防守难度直线上升终端环境复杂暴露面更大攻击来源更广，多维度防范传统的防护体系容易失效 攻击策略演进-针对性的目标-层层递进的攻击路径 无力疲软的日志告警眼神涣散的安全运营人员无法止血的基础设施 -新的逃避检测技术-更隐蔽的攻击手法-迭代更新更快 攻击面管理实践02案例解析及一线技术分享 投毒简历 1.投毒简历前身为近期招聘者的实际简历 2.6月份已经本人经过面试并且到达二轮面试，但是7月份又再次投递到邮箱，经排查和确认，简历被攻击队获取并植入恶意payload再次投递 攻击面管理实践分享者：蔡浩宇3.攻击者利用该简历制作投毒简历后，同时进行多家单位的投递，8月份流出相关样本分析 4.收集招聘者优秀简历植入后门制作投毒简历批量投递投毒简历开源c2 样本分析 1.快捷方式调用白加黑+域前置 2.Lnk快捷方式调用Cmd.exe拼接Cmd.exe，Powershell 在当前目录下找出大小为0x0009AA06字节的.lnk快捷方式文件，并获取它的文 件名，16进制转换后也就是10进制的633350字节文件，也就是这份lnk文件，读取这个.lnk文件的内容，将其保存为字节数组，逐字节进行异或运算定义一个新的路径，并将上述异或运算后的字节数组写入到这个路径的文件中，跳过数组前012238个字节（核心payload） 分享者：蔡浩宇3.样本涉及代码混淆，数据加解密，反沙箱,网络连接存活等功能，基本覆盖了该有的后门功能，还原难度一般 4.通过人工处理，还原出来通信地址以及产出对应情报IOC该C2地址64.112.85.3，相关域名为chemdl.gangtao.live开源c2项目地址：hxxps://github.com/n1nj4sec/pupy 集权设施失陷 企业为了方便管理信息资产，通常会部署一些集权软件用于运维，一旦此类设施失陷，相关终端又未能部署EDR类防护软件，则基本意味着“出局” C2隐藏 部分公司接入了第三方供应商的情报，但是遇到这类情况怎么办呢？大多无法完成溯源及研判 攻击面管理实践 木马检测当前pc进程，匹配安全软件，比如360tray进程时会，伪造360弹窗，试图误导用户主动退出360相关安全软件 目的更加明确的攻击团队不仅来自于外部，内部作恶风险更大 攻击面管理实践分享者：蔡浩宇 剪贴板其实就是由系统预留的一块全局共享内存PC平台木马会一直读取剪贴板内存的数据，检查是否为钱包地址，如果是就替换掉剪贴板内存里面的地址。给大家一个参考判断BTC或ETH钱包地址，要做到百分百分准确率，就需要更精细的正则以及校验 攻击面管理实践03终端安全升级防护之路 当安全团队经验以及精力不足以运营或研判时,直接提供脱敏的运营数据给到我们优秀的乙方同学 从运营EDR至今所带来的正向反馈：1.一刀切情况可缓解，员工负面情绪降低，配合安全完成工作2.更丰富的前后日志，能够较快的定位问题，研判，溯源，止血等操作3.依赖厂商程度降低，大部分的日志可由内部安全团队消费4.各类运营成本降低与更多的开放能力比如威胁情报，更适合人员不多的安全团队 目前还在做的一些事情 1.Soc数据与SIEM集成，当前EDR提供的大量数据被无法被我们合理消费，这是比较可惜的。数据在任何团队应该都是宝贵的财富 2.降低运营难度，在现有的游族AI设施中，进行了初步的模型训练（未来考虑开放Api给到大家使用），已降低40%左右的告警量，现有的开源模型，也可参考https://xlab.tencent.com/cn/2024/01/26/edr-alert-analysis-robot/ 攻击面管理实践分享者：蔡浩宇3.EDR仍存在被绕过或无法检测的情况，仍需要更加深入的个人能力去研判，本质来说，安全技术还是在于个人对操作系统和网络协议的了解程度 THEEND THANKYOU! Wechat:lonely_XHY 关注我们 安世加专注于网络安全行业，通过互联网平台、线上线下沙龙、峰会、人才招聘等多种形式，致力于创建亚太地区最好的甲乙双方交流学习的平台，培养安全人才，提升行业的整体素质，助推安全生态圈的健康发展。