不知攻,焉知防。只有以攻击者视角出发,持续研究网络攻击技术的细节,才能够设计出更好的网络安全防护体系。从历史上真实的网络安全事件、影响极大的高危安全漏洞以及网络安全黑客组织出发,以史为鉴。再详细研究市面上出现过的所有的攻击手法,掌握其利用方式以及理解其原理。
真实网络安全攻击事件研究
先看看历史上那些真实发生的安全事件,每一次安全事件都付出了巨大的成本,然而我们当前是否真的能有效应对这些安全事件?
境外真实安全事件
- 2010,震网,Stuxnet(CVE-2010-2568);
- 2010,极光行动(Operation Aurora);Aurora:浏览器及其相关RCE 0day。拥有多个可造成RCE的0day漏洞(比如Oracle Java/Internet Explorer/Firefox),这些漏洞被植入到各类有特定人群的网站上(比如伊斯兰圣战相关),甚至通过广告精准投放给特定人群,实现访问特定网页即可感染。
- 2012,LinkdIn数据泄漏
- 2013,斯诺登;Yahoo数据泄漏;Target数据泄漏;Adobe数据泄漏;
- 2014,Sony Picture数据泄漏;JP Morgan Chase数据泄漏;eBay数据泄漏;The Regin Platform;
- 2015,反击安全公司Hacking Team
- 2016,方程式组织(The Equation Group)数据泄漏;如何在网络上抢银行:开曼国家银行入侵启示;Uber数据泄漏;Adult Friend Finder数据泄漏;Mirai僵尸网络攻击 DNS 服务。
- 2017,Equifax遭入侵导致1.47亿用户数据泄露的安全分析;WannaCry勒索软件攻击;Vault 7/8;
- 2018,Facebook数据大规模收集和滥用;CA&Facebook:合作伙伴数据滥用。Cambridge Analytica滥用Facebook接口采集超过8700万用户资料数据进行分析并出售。面对一方/二方/三方合作伙伴,数据安全水位各不一样。
- Under Armour MyFitnessPal数据泄漏;Marriott数据泄漏;
- 2019,Capital One数据泄漏;WhatsApp被NSO Group入侵;
- 2020,SolarWinds供应链攻击;Twitter钓鱼事件;
- 2021,Colonial Pipeline勒索软件攻击;
- 2023,Operation Triangulation:0click iMessage RCE 0day。收到一条包含附件的iMessage,无需任何交互即可出发代码执行漏洞,接着利用其它漏洞进行权限提升,并下载功能齐全的恶意软件,之后删除附件和原始消息。
- LockBit:各种供应链软硬件0day。通过钓鱼邮件以及0day/Nday漏洞(Fortinet/Citrix等软件)突破边界,进行感染以及自传播。通过窃取加密、威胁泄漏数据、DDoS等多重方式勒索赎金。勒索软件已RaaS化,通过利用Nday甚至储备0day方式进行攻击。
- 勒索,WannaCry(CVE-2017-0145)
- SolarWinds:供应链软件更新源被控。SolarWinds遭到入侵,导致更新包被替换为存在后门的。超过18000个使用SolarWinds的企业被控制。
- HackerOne中值得学习的漏洞
国内真实安全事件
- 保密
- 乌云漫游内网系列
- 购买内部员工权限/入职为外包。业内曾出现多起将查询敏感数据的权限对外出售赚取利益,还不仅限于企业内部员工。甚至存在通过入职成为外包的方式,获取查询数据的权限甚至作为跳板进入内网收集数据。
历史影响极大的高危安全漏洞
软件/框架漏洞
- Flask Security
- WordPress Security
- Spring
- Struts 2
- ThinkPHP
- Log4Shell
- NotPetya(CVE-2017-0147)
- Stuts2 RCE(CVE-2017-5638)
- Cloudbleed(CVE-2017-8817)
- Heartbleed(CVE-2014-0160)
- Shellshock(CVE-2014-6271)
- POODLE(CVE-2014-3566)
- KRACK(CVE-2017-13077)
- Zip Slip(CVE-2018-5002)
- Dirty COW(CVE-2016-5195)
系统服务漏洞
- EternalBlue(CVE-2017-0144)
- SQL Slammer(CVE-2003-0352)
- BlueKeep(CVE-2019-0708)
- ZeroLogon(CVE-2020-1472)
- SMBGhost(CVE-2020-0796)
- ProxyShell(CVE-2021-34473/34523/31207/34474)
硬件漏洞
- Meltdown(CVE-2017-5754)
- Spectre(CVE-2017-5715)
学习网络安全黑客组织
APT组织
- APT28、APT29
- APT32、APT33、APT34、APT37、
- APT1、APT3、APT10、APT41
- Cobalt Group
- Lazarus Group
- Carbanak Group
- Evil Group
- The Shadow Brokers
- REvil
- DarkSide
- Magecart
国家组织
- 方程式组织
- GCHQ/NCSC
- Turla Group
- TAO(Tailored Access Operations)
- GRU(Shadworm Team)
网络安全攻击技术研究
攻击后果、身份、环境与策略
攻击所带来的处罚
- 涉及网络攻击相关的法律法规处罚研究
- 那些真实的网络攻击导致的处罚案例
攻击策略
- 不要成为0号嫌疑人
- 大隐隐于市
- 留马脚栽赃嫁祸
- 一键远程销毁
常规入侵攻击技术
常规漏洞
后渗透技术
- 未授权访问
- 出网/DNS隧道
- AD域攻击
- 拖库
不同攻击方视角下的风险特性
内鬼
- 拖组织架构、以及花名册
- 爬取内部简历、技术文档等
- 非业务数据查询和操作
- …
黑灰产
- 批量注册
- 扫号/撞库
- 抢购(抢票/抢优惠券/抢红包)
- 粉丝操控
- 欺诈
- 场景:交友/虚假兼职/身份冒充/刷单返利/网络贷款/虚假投资理财/裸聊敲诈/杀猪盘
- 技术:人脸伪造/声音克隆/虚假网站/FaceTime
- 洗钱
- 营销
- 工具化众包使用
- 赌博
- 涉黄
- iOS:Cydia,虚拟摄像头、越狱状态隐藏、证书绕过等插件
- 挖矿
- 大模型
竞争对手
- 数据爬取
- 恶意内容
- DDoS/CC拒绝服务,通过大量流量使网站承受不住,导致无法处理正常业务。
外部不可控攻击技术
社工钓鱼
- 冒充可信身份诱骗用户提供信息或点击链接。以投递简历、公司活动、安全提醒,通常使用电子邮件、短信、聊天软件、社交媒体平台进行。
- 电子邮件伪造实践
恶意软件
勒索软件
- 通过社工钓鱼等手段感染电脑,加密电脑上重要文件,并以提供解密、公开文件等方式勒索赎金。
近源渗透/物理入侵
- 短信嗅探
- 虚假Wi-Fi
- 控制路由器
- 借手机/电脑时偷偷安装木马
- 翻墙/尾随入户
- 复制/盗取员工工卡
- 冒充公检法/维修工人等
- 收买员工身份
- 员工身份入职
- 打印车牌