網(wǎng)絡(luò)釣魚

• 訣竅
  • 選好釣位，選準(zhǔn)釣餌，備好釣具，練好釣具
• 行為特征
  • 各式各樣的欺騙
  • 郵件帶附件
• 成本
  • 時間和耐心
  • 0Day，不愿也上鉤

人肉

• 方法
  • 無線網(wǎng)絡(luò)攻擊
    • 竊取接入密碼
    • 流氓AP攻擊
  • 直接物理攻擊
    • 成功應(yīng)聘某個崗位，直接攻擊企業(yè)內(nèi)部
• 成本
  • 物理上接近目標(biāo)
  • 器材
• 應(yīng)對方法
  • 管好無線
    • Radius 證書 雙因素 隔離
      • 無線用戶使用獨(dú)立的網(wǎng)絡(luò)，不接入辦公網(wǎng)
      • Client lsolation
    • 防止流氓AP
      • 員工私自安裝的AP：禁止安裝
      • 黑客安裝的AP（airsnarf）：隔離
  • 做好應(yīng)聘人員背景調(diào)查

滲透

• 黑客思路：在扎根、擴(kuò)大權(quán)限的同時找東西
• 攻擊方式
  • 掃描端口，漏洞，弱密碼和共享
  • 破解密碼并嘗試登陸
  • 安裝不同的后門
  • 網(wǎng)絡(luò)欺騙
• 攻擊成本
  • 工具：掃描，數(shù)據(jù)分析，文件查找，密碼破解，后門
  • 時間：太快容易被發(fā)現(xiàn)，太慢也容易被發(fā)現(xiàn)
• 應(yīng)對方法
  • 應(yīng)對掃描和密碼破解
    • Ip地址一對多，目的端口相對固定
    • 數(shù)據(jù)包行為短時間內(nèi)大量重復(fù)
  • 后門
    • 后門的分類和部署方式
      • 按公開程度分：私有、小范圍公開和完全公開私有、小范圍公開和完全公開
      • 按協(xié)議分：UDP TCP ICMP FTP SMTP HTTP
      • 按行為分：正連（被動）和 回連（主動）
      • 按性質(zhì)分：干活用，盡量方便；回生用，盡量隱蔽。BIOS，引導(dǎo)區(qū)
      • 公開私有混合部署，多種協(xié)議混合部署；正連回連混合部署；大量干活，少量回生
    • 檢測后門
      • 行為檢測
      • 協(xié)議特征
      • 監(jiān)控響應(yīng)
  • 應(yīng)對欺騙
    • 欺騙的類型
      • ARP欺騙：MAC-IP
      • CAM欺騙：MAC-PORT
    • 行為特征
      • 大量ARP包
      • 元素對應(yīng)關(guān)系變化頻繁
    • 應(yīng)對方法
      • Arp監(jiān)控
      • Cisco Port Security
      • .?劃VLAN禁共享，監(jiān)控掃描、破解、欺騙和后門

收貨

• 行為分析
  • 收貨：黑客從辦公網(wǎng)下載數(shù)據(jù)的過程
  • 收貨的方式
    • 用后門直接下載
    • 用郵件發(fā)送
    • 結(jié)合包轉(zhuǎn)發(fā)程序用HTTP/FT[+Socks多線程下載（HTran）
  • 行為特征
    • 超長連接
    • Socks4/5協(xié)議
    • 持續(xù)大量PSH-ACK
• 應(yīng)對收貨
  • Panabit 監(jiān)控主機(jī)流入流出的流量
  • 監(jiān)控長連接、Socks和上傳流量

炒雞辣雞原創(chuàng)文章，轉(zhuǎn)載請注明來源