构建内网安全的威胁与方法

网络钓鱼

• 诀窍
  • 选好钓位，选准钓饵，备好钓具，练好钓具
• 行为特征
  • 各式各样的欺骗
  • 邮件带附件
• 成本
  • 时间和耐心
  • 0Day，不愿也上钩

人肉

• 方法
  • 无线网络攻击
    • 窃取接入密码
    • 流氓AP攻击
  • 直接物理攻击
    • 成功应聘某个岗位，直接攻击企业内部
• 成本
  • 物理上接近目标
  • 器材
• 应对方法
  • 管好无线
    • Radius 证书 双因素 隔离
      • 无线用户使用独立的网络，不接入办公网
      • Client lsolation
    • 防止流氓AP
      • 员工私自安装的AP：禁止安装
      • 黑客安装的AP（airsnarf）：隔离
  • 做好应聘人员背景调查

渗透

• 黑客思路：在扎根、扩大权限的同时找东西
• 攻击方式
  • 扫描端口，漏洞，弱密码和共享
  • 破解密码并尝试登陆
  • 安装不同的后门
  • 网络欺骗
• 攻击成本
  • 工具：扫描，数据分析，文件查找，密码破解，后门
  • 时间：太快容易被发现，太慢也容易被发现
• 应对方法
  • 应对扫描和密码破解
    • Ip地址一对多，目的端口相对固定
    • 数据包行为短时间内大量重复
  • 后门
    • 后门的分类和部署方式
      • 按公开程度分：私有、小范围公开和完全公开私有、小范围公开和完全公开
      • 按协议分：UDP TCP ICMP FTP SMTP HTTP
      • 按行为分：正连（被动）和 回连（主动）
      • 按性质分：干活用，尽量方便；回生用，尽量隐蔽。BIOS，引导区
      • 公开私有混合部署，多种协议混合部署；正连回连混合部署；大量干活，少量回生
    • 检测后门
      • 行为检测
      • 协议特征
      • 监控响应
  • 应对欺骗
    • 欺骗的类型
      • ARP欺骗：MAC-IP
      • CAM欺骗：MAC-PORT
    • 行为特征
      • 大量ARP包
      • 元素对应关系变化频繁
    • 应对方法
      • Arp监控
      • Cisco Port Security
      • .•划VLAN禁共享，监控扫描、破解、欺骗和后门

收货

• 行为分析
  • 收货：黑客从办公网下载数据的过程
  • 收货的方式
    • 用后门直接下载
    • 用邮件发送
    • 结合包转发程序用HTTP/FT[+Socks多线程下载（HTran）
  • 行为特征
    • 超长连接
    • Socks4/5协议
    • 持续大量PSH-ACK
• 应对收货
  • Panabit 监控主机流入流出的流量
  • 监控长连接、Socks和上传流量

炒鸡辣鸡原创文章，转载请注明来源