THM学习之 SOC1级 学习笔记 DAY 1
前言
本文基于学习蓝队相关知识,一切基于Try Hack Me 平台,相关房间信息均在本文小结处。
学习目标
了解安全分析师是什么
了解痛苦金字塔的定义以及如何用痛苦金字塔来确定造成的威胁等级
了解杀伤链的定义以及如何利用杀伤链识别入侵
了解钻石模型的定义
学习前准备
对于没有了解过的,可以先学习 https://tryhackme.com/r/path/outline/presecurity 和 https://tryhackme.com/r/path/outline/introtocyber 这两个房间
网络防御框架
安全分析师
什么是安全分析师
信息安全分析师是负责保护组织计算机系统和网络免受网络威胁的专业人员。
安全分析师的主要职责
监控并调查警报
配置和管理安全工具
开发并实施基本的IDS(入侵检测系统)签名
参加SOC工作组、会议
什么是SOC
SOC,中文名安全运营中心,也称信息安全运营中心(Information Security Operations Center,ISOC),是一个集人员、流程和技术于一体的中心,负责全天候检测端点、服务器、数据库、网络应用程序、网站和其他系统的所有活动,以实时发现潜在的威胁;对网络安全事件进行预防、分析和响应,以改进企业的网络安全态势。
痛苦金字塔
什么是痛苦金字塔
信息安全痛苦金字塔模型是由David Bianc 于2013年提出。该模型共六层,由低到高分为哈希值(Hash Values)、IP地址(IP Addresses)、域名(Domain Names)、网络/主机工件(Network/Host Artifacts)、工具(Tools)以及战术、技术和程序(TTPs)。痛苦金字塔模型表示了如果拒绝了该层攻击能够给攻击者带来多大的痛苦。
痛苦金字塔的指标
哈希值(Hash Values):利用MD5、SHA1等哈希算法来识别恶意软件,在金字塔的最底层。
IP地址(IP Addresses):IPv4地址或者IPv6地址。可以拒绝IP地址来达到防御攻击的目的。
域名(Domain Names):可以是攻击者域名本身或者其他的子域名。
网络/主机工件(Network/Host Artifacts):主机工件是指攻击者在系统上留下的痕迹或可观察的东西,例如注册表值、可疑进程执行、攻击模式或 IOC(妥协指标)、恶意应用程序丢弃的文件或当前威胁独有的任何内容。网络工件可以是用户代理字符串、C2 信息或 HTTP POST 请求后面的 URI 模式。
工具(Tools):攻击者所用的脚本、提权工具等。
战术、技术和程序(TTPs):是指攻击者为实现其目标所采取的所有步骤,从网络钓鱼尝试到持久性和数据泄露。此为最高级,这步处理完成后,攻击者只有两个选项:(1)重新学习和配置工具;(2)放弃这个网站。
杀伤链
杀伤链是一个与攻击结构相关的军事概念。它包括目标识别、攻击目标的决策和命令,以及最终摧毁目标。
网络杀伤链
网络杀伤链旨在识别和入侵网络的攻击行为。
网络杀伤链共分为七个部分:侦察(Reconnaissance)、武器化(Weaponization)、交付(Delivery)、利用(Exploitation)、安装(Installation)、命令与控制(Command and Control, C2)、目标行动(Actions on Objectives)。
网络杀伤链的指标
侦察(Reconnaissance):是发现并收集有关系统和受害者的信息。侦察阶段是攻击者的规划阶段。如OSINT、社会工程学。该阶段为信息收集阶段。
武器化(Weaponization):对发现的漏洞利用脚本进行集中编写。
交付(Delivery):在该阶段,攻击者会尝试利用社会工程学对受害者进行攻击。如钓鱼邮件、bad usb、水坑攻击等。
利用(Exploitation):在该阶段,攻击者利用交付阶段的手段对受害者进行攻击,当受害者点击攻击者发送的链接或插入bad usb时,攻击者会获取到受害者主机最低权限。
安装(Installation):在该阶段,攻击者会在受害者主机上植入后门程序,以维持其权限。
命令与控制(Command and Control, C2):在获得持久性并在受害者的机器上执行恶意软件后,“Megatron”会通过恶意软件打开C2(命令和控制)通道,远程控制和操纵受害者。该术语也称为C&C 或C2信标,是 C&C 服务器与受感染主机上的恶意软件之间的一种恶意通信。受感染的主机将持续与C2服务器通信;这也是信标术语的来源。
目标行动(Actions on Objectives):在此阶段,攻击者可以对受害者主机实现任意操作,如收集用户的凭证、权限提升、内网探测、内网横向移动、收集敏感数据、删除备份和副本、覆盖或损坏数据。
统一杀伤链
Paul Pols 于 2017 年发布的 “统一杀伤链” 旨在补充其他网络安全杀伤链框架,例如洛克希德马丁公司和MITRE的 ATT&CK。在Try Hack Me的房间中,重点讨论了统一杀伤链中的几个重点模块,共分为三个大点:开始,传播和结束。
开始阶段
该阶段为网络攻击的侦察阶段,其目的在于利用收集到的信息成为下一个攻击的立足点。
在该阶段中,也分为不同的小阶段:
侦察:UKC的这一阶段描述了对手用来收集与其目标有关的信息的技术。这可以通过被动和主动侦察手段实现。在此阶段收集的信息将用于UKC的整个后期阶段(例如初始立足点)。
此阶段收集的信息包括:
发现目标上正在运行的系统和服务,这是本节武器化和利用阶段的有益信息。
查找可冒充或用于社会工程或网络钓鱼攻击的联系人列表或员工列表。
寻找可能在后期阶段有用的潜在凭证,例如枢转或初始访问。
了解网络拓扑和其他网络系统也可以用来进行枢转。
武器化:这一阶段描述了攻击者设置执行攻击所需的基础设施。如将一些系统权限提升脚本、反弹shell脚本等攻击手段进行集中系统化。
社会工程学:利用人性的弱点使得受害者点击攻击者发送的链接,或让受害者自行透露出一些敏感关键的信息。
漏洞利用:这一阶段描述了攻击者如何利用系统中的缺陷来执行命令或运行脚本程序。
持久性:在这个阶段,攻击者研究如何让自己所拥有的权限维持的更加长久。
防御规避:此阶段是攻击者对于防御者所利用的,如防火墙、防病毒程序、入侵检测系统等防护手段进行规避,以防止被防御者所察觉。
指挥和控制:利用上诉的一些手段,制定的一些计划,以达到入侵受害者主机的目的。
枢纽:在入侵了一台主机后,利用这台主机作为跳板,攻击内网中的其余主机。
传播阶段
在找到立足点后,对获取到的信息做利益最大化处理。
枢纽:一旦攻击者获得系统访问权限,他们就会将其用作他们的临时站点以及创建与受害者网络之间的隧道。该系统还将在后期用作所有恶意软件和后门的分发点。
发现:攻击者扫描受害者主机中的内容,从而发现内网中的网络信息以及其他活跃的主机。
权限提升:在收集到信息后,攻击者会尝试在枢纽系统内获取更突出的权限。他们会利用发现的漏洞和配置错误的账户信息,将其访问权限提升到以下某个更高级别:
系统权限。
本地管理员。
具有类似管理员访问权限的用户帐户。
具有特定访问权限或功能的用户帐户。
执行:在受害主机中部署和创建远程木马、C2脚本、恶意链接和计划任务,以促使其在系统上的存在并维持其持久性。
访问凭证:在该阶段,攻击者会尝试通过各种方法窃取账户名和密码,包括键盘记录和凭证转储。
横向移动:有了凭证和提升的权限,攻击者会试图穿越网络并跳转到其他目标系统以实现其主要目标。
结束阶段
此阶段是攻击者对环境发起攻击的整个过程,攻击者可以在此环境中访问关键资产并实现其攻击目标。这些目标通常旨在破坏机密性、完整性和可用性 ( CIA ) 三要素。
合集:在获取访问权限和资产之后,对手将会寻求收集所有感兴趣的有价值数据。这会进一步破坏数据的机密性,并导致下一个攻击阶段——数据外泄。主要目标来源包括硬盘、浏览器、音频、视频和电子邮件。
数据外泄:为了提升其破坏效果,对手会试图窃取数据,并通过加密和压缩等手段对数据进行打包,以避免被检测到。在之前阶段部署的C2信道和隧道将在这一过程中派上用场。
影响:如果对手企图破坏数据资产的完整性和可用性,他们可能会操纵、中断或销毁这些资产。其目的是破坏业务和操作流程,可能涉及移除账户访问权限、清除硬盘、加密数据(如勒索软件)、篡改和拒绝服务 (DoS) 攻击。
目标:拥有对系统和网络的完全控制后,对手会寻求实现其攻击的战略目标。
钻石模型
钻石模型是一种用于分析和理解网络攻击的框架模型,特别适用于高级持续威胁(APT)的分析。该模型由四个关键模块组成:攻击者、受害者、基础设施、能力。
攻击者:发动攻击的主体。可能是个人、组织或国家资助的黑客团体,他们具有相关的资源和技术发动黑客攻击。
受害者:被攻击的对象。可能是具有价值的个人、组织或国家。
能力:攻击者所使用的各种攻击手段,如特洛伊木马、恶意软件等。
基础设置:攻击者用来执行攻击的物理或虚拟资源,如域名、服务器、IP地址等。
小结
本文总结
本文介绍了安全分析师的主要职责,什么叫痛苦金字塔、杀伤链以及钻石模型。
本文所涉及到的THM房间
https://tryhackme.com/module/cyber-defence-frameworks