APT与传统攻击
-
APT:团队作战,拥有自研工具集,意图明确,技术高超,拥有政府或商业背景,潜伏期多达数年。
-
传统攻击:脚本小子,水平参差不齐,短期攻击,直接获取利益为目标。
攻击目标
APT攻击链
银行安全
体系庞大
- 内部部门庞大
- 业务类型繁多
- 人员混杂/外包人员
外强里弱
- 各类老旧系统
- 业务、技术复杂
- 过于依赖安全设备
- 安全人员水平….
钓鱼攻击
社会工程攻击的心理要素
钓鱼核心思路
- 邮件伪造:Swaks+smtp2go绕过SPF(以IP地址认证电子邮件发件人身份的技术)
- 钓鱼(用户敏感信息)
- 浏览器漏洞
- BEEF
- 邮件服务器匿名发送邮件功能
- 社交平台XSS
- Office漏洞
钓鱼工具
- Swaks+smtp2go
- https://blog.beefproject.com/2012/10/ beef web框架攻击平台
- https://github.com/thelinuxchoice/blackeye 网络钓鱼工具,可自定义32个模板+1
- https://github.com/clr2of8/G-chimp Google Apps脚本可自动从Google表格中找到电子邮件,主题和htmlBody列表中发送网络钓鱼电子邮件
- https://github.com/certsocietegenerale/swordphish-awareness Swordphish是一个允许创建和管理假冒网络钓鱼活动的平台。
- https://github.com/sweetsoftware/Artemis 仿冒网站应用生成器
- https://github.com/omergunal/PoT 在Twitter上进行网络钓鱼
- https://github.com/WeebSec/PhishX 钓鱼框架,数据将保存在MySQL数据库
- https://github.com/jofpin/trape 互联网上的人员跟踪器:Jose Pino的OSINT分析和研究工具
- https://github.com/Pure-L0G1C/Spectre 一个简单的网络钓鱼工具,几乎可以钓鱼任何网站
- https://github.com/gophish/gophish 开源网络钓鱼工具包 https://getgophish.com
- https://github.com/thelinuxchoice/shellphish 适用于18种社交媒体的网络钓鱼工具:Instagram,Facebook,Snapchat,Github,Twitter,Yahoo,Protonmail,Spotify,Netflix,Linkedin,Wordpress,Origin,Steam,Microsoft,InstaFollowers,Gitlab,Pinterest
- https://github.com/UndeadSec/SocialFish 网络钓鱼工具和信息收集器
- https://github.com/pentestgeek/phishing-frenzy Ruby on Rails网络钓鱼框架
- https://github.com/securestate/king-phisher 网络钓鱼活动工具包
防御APT
APT与普通恶意木马的要素
从测试开始
针对系统测试
- 防病毒软件
- 安全网关
- 入侵检测系统
- 安全监控
- 防火墙
- 审计系统
- …………….
测试方向
- 系统信息收集
- 后门植入
- 系统凭证访问
- 系统防御绕过
- 程序执行
- 权限提升
- 恶意流量
模拟攻击者行为
- APTSimulator 模拟APT攻击者
- Invoke-Adversary 模拟APT攻击者
- flightsim 模拟恶意流量
- monkey 模拟病毒传播
从蜜罐开始
优点
- 节约计算机及网络资源
- 延缓攻击时间
- 避免损失
- 无敏感数据
- 捕获来源、行为、目的
发展方向
- 密网/密场
- 日志整合-攻击事件关联
- 隐藏蜜罐特征
- 增强规则库
蜜罐开源
- opencanary:16种协议、24种攻击特征
- hfish
- honeyd
- kippo
从人开始
钓鱼邮件测试
- 征得企业高层同意后可对员工
- 进行针对性钓鱼邮件测试
- 钓鱼网站
- 可执行程序
- 企业安全首席钓鱼官 x
网络安全意识宣传
- 内部安全管理制度建设及执行力度
- 安全意识宣传活动
- 新员工网络安全意识培训
邮件安全网关+防病毒设备
安全人员配备
- 安全管理
- 安全运维
- 安全开发
- 安全测试
- 代码审计
