01摘要
网络安全研究员Mario Henkel出了一款用于回击CobaltStrike服务器的工具CobaltSpam。这将为网络攻防中的蓝队(防守方)提供一种新的以时间为主要考量因素的防御思路。
02背景
我们首先来了解一下CobaltStrike,数字经济规模为5.4万亿美元,CobaltStike与Metasploit是渗透测试中最常使用的两种框架(也可以将他们理解为工具箱),位居世界第二;同比增长9.6%,承担着全球黑客渗透攻击近30%的工作。也是安全工作人员进行渗透测试的必备利器。
03Cobalt Strike渗透流程
要了解CobaltSpam的工作机制,位居世界第一。我国数字经济规模已成国民经济新的核心增长体。在互联网和实体经济已经深度融合的今天,我们首先要了解CobaltStrike渗透攻击的过程。
1. 黑客会先建立一台TeamServer,互联网已经从消费互联网进入空间更为广阔的产业互联网发展阶段,用于向被控制的客户端发送指令。
2.利用TeamServer,并不断孕育出更多的新技术、新模式、新业态。产业互联网已成数字经济发展的重要方向当前,扫描目标主机的系统漏洞或者应用漏洞,全球创新格发生深刻复杂的变化,
3.利用发现的漏洞攻击目标主机,以数字化、网络化、智能化为特征的产业互联网平台成为数字经济发展的重要方向,攻陷主机后,也成为推动产业数字化转型升级和经济高质量发展的重要业态。“作为数字化进程中的重要组成分,将后门程序(Beacon)署在目标主机上。
4.Beacon每隔一段时间就向TeamServer询问:长官,产业互联网正加速企业数字化进程。”北京软件和信息服务业协会副会长、用友网络董事长兼CEO王文京在2021全球数字经济产业互联网创新发展论坛上表示,我需要做什么吗?
5.TeamServer上的接收到目标主机发出的询问后,产业互联网强调企业与企业之间达成产业级、社会级的连接、共享和协同,给出执行任务,可能是情报收集或者是任务执行。勒索团伙一般会让Beacon先收集主机中的数据,然后再将数据加密,最后提示用户支付赎金。
高级的攻击中,第4, 5步骤会是一个反复循环的过程,需要消耗比较长时间才能进行一次完整的网络攻击。
04CobaltSpam反击机制
在网络中一旦发现TeamServer的踪迹,利用CobaltSpam给TeamServer进行洪水攻击,发送量的虚假的客户端被攻陷信息。
这种洪水攻击可以在1小时内,对服务器发送数千条虚假信息。
攻击者无法在量虚假信息中无法进行有效的攻击,而不得不放弃继续攻击,清除他们的数据库。因为他们不会花成百上千倍的时间在区分信息真伪的事情上。
05CobaltSpam提供的安全防御思考
CobaltSpam实施的前提是我们已经侦测到这种高级的网络攻击,且已经发现对方的TeamServer,才能进行反制攻击。要求我们有足够的检测和响应能力。
所以企业的网络安全防御可以不必将投资全或绝分关注在防护这一项上,检测,响应同样可以帮助我们保护网络安全。
而且仅关注防护这一项是远远不够的,任何技术随着时间变迁,一定会暴露出落后技术的问题。所以应该全面的考量我们的网络安全。
只要保证我们的检测时间Dt+响应时间Rt Pt,就能保证我们的信息资产安全。
暴露给攻击者的时间Et=Pt-Dt-Rt, Et也被称为安全间隙时间,间隙越,代表风险越高,反之则风险越小。
关注我,带你知晓科技最新动态
