01摘要
网络安全研究员Mario Henkel开发出了一款用于回击CobaltStrike服务器的工具CobaltSpam。这将为网络攻防中的蓝队(防守方)提供一种新的以时间为主要考量因素的防御思路。
02背景
我们首先来了解一下CobaltStrike,CobaltStike与Metasploit是渗透测试中最常使用的两种框架(也可以将他们理解为工具箱),承担着全球黑客渗透攻击近30%的工作。也是安全工作人员进行渗透测试的必备利器。
03Cobalt Strike渗透流程
要了解CobaltSpam的工作机制,我们首先要了解CobaltStrike渗透攻击的过程。
1.黑客会先建立一台TeamServer,用于向被控制的客户端发送指令。
2.利用TeamServer,扫描目标主机的系统漏洞或者应用漏洞,
3.利用发现的漏洞攻击目标主机,攻陷主机后,将后门程序(Beacon)部署在目标主机上。
4.Beacon每隔一段时间就向TeamServer询问:长官,我需要做什么吗?
5.TeamServer上的监听器接收到目标主机发出的询问后,给出执行任务,可能是情报收集或者是任务执行。勒索团伙一般会让Beacon先收集主机中的数据,然后再将数据加密,最后提示用户支付赎金。
高级的攻击中,第4, 5步骤会是一个反复循环的过程,需要消耗比较长时间才能进行一次完整的网络攻击。
04CobaltSpam反击机制
在网络中一旦发现TeamServer的踪迹,利用CobaltSpam给TeamServer进行洪水攻击,发送大量的虚假的客户端被攻陷信息。
这种洪水攻击可以在1小时内,对服务器发送数千条虚假信息。
攻击者无法在大量虚假信息中无法进行有效的攻击,而不得不放弃继续攻击,清除他们的数据库。因为他们不会花成百上千倍的时间在区分信息真伪的事情上。
05CobaltSpam提供的安全防御思考
CobaltSpam实施的前提是我们已经侦测到这种高级的网络攻击,且已经发现对方的TeamServer,才能进行反制攻击。要求我们有足够的检测和响应能力。
所以企业的网络安全防御可以不必将投资全部或绝大部分关注在防护这一项上,检测,响应同样可以帮助我们保护网络安全。
而且仅关注防护这一项是远远不够的,任何技术随着时间变迁,一定会暴露出落后技术的问题。所以应该全面的考量我们的网络安全。
只要保证我们的 检测时间Dt+响应时间Rt < 保护措施支撑的时间Pt,就能保证我们的信息资产安全。
暴露给攻击者的时间Et=Pt-Dt-Rt, Et也被称为安全间隙时间,间隙越大,代表风险越高,反之则风险越小。
关注我,带你知晓科技最新动态
热门跟贴