作者简介:孟翔巍,网安加社区特聘专家,先后就职于中国中铁五局、株洲中车时代电气股份有限公司、广东OPPO移动通信有限公司、三一重工等大型集团企业,目前任职某医药新零售信息安全负责人,全面负责集团的信息安全战略规划、体系搭建、安全人才队伍建立和培养等。
一、前言选择探讨Kill-Chain这个话题,主要从三个方面来考量。首先,尽管已有许多专家探讨过Kill-Chain,但考虑到每个人对其理解的不同,尤其是在蓝队防护方面可能存在差异性,所以想聊一聊这个话题,以期达到更深入的理解和共识。其次,使用Kill-Chain指导蓝队工作建设确实更为有效,因为它基于实际需求,能确保方案落地,这也避免了仅讨论宏观技术框架或前沿技术而无法实际应用的问题。最后,Kill-Chain作为一个闭环过程,确保了我们的工作最终形成一个完整的故事链或剧本链,从而实现了完整的闭环。基于这三个原因,我认为与大家探讨Kill-Chain有一定的价值和意义。
二、Kill-Chain生命周期的理解我理解Kill-Chain的运作流程是从信息收集开始。完成信息收集后,流程分为两个主要分支。一方面,进行自动化地侦测与尝试,以验证所收集的数字资产及基础设施的可用性,通过POC验证来确认漏洞的存在。另一方面,通过社会工程学方法收集公司敏感信息,尝试进行钓鱼投毒。
随后,回到主线流程将聚焦于手工POC验证,针对自动化侦测识别出的关键目标进行验证。一旦POC验证成功,即进入EXP利用阶段,利用已确认的漏洞进行深入攻击。同时,钓鱼投毒成功之后可以尝试通过CC回连获取命令,并在控制跳板后进一步实施权限获取。
无论是通过Webshell或反弹Shell的方式获得跳板权限,下一步都可以尝试横向移动,以获取高集权系统的权限,如堡垒机、自动化运维平台、DevOps平台等。前一个分支在获取CC命令之后,可以做一些手工或自动化的横向感染。到这一步,Kill-Chain的目的基本达成,无论是勒索、挖矿、信息泄露还是破坏行为,均可进行。
1、外部攻击面管理
在信息收集阶段,倾向于采取谨慎态度,尽量降低自身的暴露面以减少信息被收集的风险。由于信息收集手段多样,此阶段我们的感知能力较弱或几乎无感知,因为对方收集信息的手段有很多,如Fofa、Whois、Nmap、ICP备案信息等等。虽然会有探测性扫描动作,但在日常监控中,由于告警量巨大,这些行为往往被忽略。
针对此状态,有效的策略是进行整体的暴露面管理,特别是对外攻击面管理。尽管对内攻击面管理也很重要,但受限于资源和精力,我们更多