第六十一课:高级持续渗透-第五季关于后门
这一季依然是一个过渡季,根据之前的连 载中,了解到后门是渗透测试的分水岭,它分别体现了攻击者对目标机器的熟知程度,环境,编程语言,了解对方客户,以及安全公司的本质概念。也同样检测了防御者需要掌握后门的基本查杀,与高难度查杀,了解被入侵环境,目标机器。以及后门或者病毒可隐藏角落,或样本取证,内存取证等。对各种平台查杀熟知,对常见第三方软件的了解程度。既然题目以“艺术”为核心,那么怎样把后门“艺术”行为化呢?
依然遵循以往,引入概念,只有概念清晰,本质清晰,对于攻击者,这样的后门更具有持久性,潜伏性,锁定性等。对于防御者,更能熟知反后门对抗,对待常用第三方软件的检测方式方法,切断攻击者的后渗透攻击。溯源或取证攻击者。
在高级持续渗透测试中,PTES的渗透测试执行标准主要分为6段1报。既:
- 1.前期交互阶段
- 2.情报收集阶段
- 3.威胁建模阶段
- 4.漏洞分析阶段
- 5.渗透攻击阶段
- 6.后渗透攻击阶段
- 7.报告编写
这里要讲的不是打破它的流程,而是归纳总结到类,明确了类的方向,对待一个未知的目标网络环境,更能清晰的进行攻击或者对抗。
提权的本质是什么? 信息搜集,搜集目标补丁情况,了解目标第三方利用等。
内网渗透的本质是什么? 信息搜集,搜集目标内网的组织架构,明确渗透诉求,在渗透过程中,当获取到内网组织架构图,如鱼得水。
渗透与高级持续渗透的本质区别是什么? 区别于“持续”,可长期根据攻击者的诉求来潜伏持久的,具有针对性的信息获取。
(而在高级持续渗透它又分为2类,一类持久渗透,一类即时目标渗透)
溯源取证与对抗溯源取证的本质是什么? 信息搜集与对抗信息搜集。
以上4条,清晰的明确了类,以及类方向,在一次完整的实战过程中,攻击者与防御者是需要角色对换的,前期,攻击者信息搜集,防御者对抗信息搜集。而后渗透,攻击者对抗信息搜集,防御者信息搜集。
而在两者后的持续把控权限,是随机并且无规律的角色对换过程。主要表现之一为后门。这一句话也许很难理解,举例:
持续把控权限过程中,攻击者需要对抗防御者的信息搜集,而又要根据对方行为制定了解防御者的相关动作以及熟知目标环境的信息搜集安全时间。(包括但不限制于如防御者近 期对抗查杀动作,防御者的作息规律,目标环境的作息规律等来制定相关计划)。
而在持续把控权限的过程中,防御者需要定期不完全依赖安全产品对自身环境的信息进行搜集(包括但不限制于日志异常,登陆异常,数据异常,第三方篡改日常等),一旦发现被攻击或者异常,对抗攻击者搜集,并且搜集攻击信息,攻击残留文件,排查可能沦陷的内网群,文件等。
在一次的引用百度百科对APT的解释:APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。