1、曹嘉-基于情报驱动的实战化运营体系（15页）.pdf

1、基于情报驱动的实战化运营体系绿盟科技 曹嘉2021年对抗趋势2021年攻防演练攻击方“从成长期走向成熟期”2021年攻防演练防守方“孤军奋战已不适应攻防趋势”共监测到148个有效漏洞，69个0day漏洞，79个Nday漏洞，漏洞数量相较去年增长147%，应急的63起钓鱼事件中，包含热点事件钓鱼、利用浏览器内核漏洞对微信PC用户钓鱼等更多资源投入漏洞挖掘、收集购买0day漏洞，以争取正面突破得分；愈趋成熟的钓鱼攻击结合0day漏洞利用，更加难以防护。0day为王，“人”者无敌零日漏洞接收到的恶意样本中反沙箱占19.5%，免杀占78%，流量伪造占46.3%，开展溯源的501个真实对象中，使用CDN

2、/云函数相关隐蔽技术的达113个，同比往年大幅度增加免杀、伪装、隐匿技术发展趋成熟，技术开放使相关技术得到更加广泛应用伪装通信，隐匿行踪隐蔽隐匿基于情报的联防联控机制，完成了121个真实攻击者画像，形成了13个攻击组织画像，其中包括5个蓝军，并成功追踪多个APT/黑灰产组织实战对抗瞬息万变，基于情报的联防联控机制，主动狩猎，提前防控，是应对规模化、武器化、自动化的攻击集团及境外势力的有效手段情报驱动，主动狩猎联防联控对全国防守单位的现状分析中发现，超过90%的单位未建立起成熟的安全运营体系，采取临时突击，或堆砌防护的方式应对实战，投入大量资金与人力均未能达到预期效果有体系的建立起企业安全运营能

3、力，通过运营实现对抗能力的常态化，在实战当中不断推动能力优化实战出发，归于常态运营三化自动化能力资产信息搜集边界突破内网信息搜集斩获靶标基础工具集平台自动化隐匿技战术基础工具NTI-资产/漏洞/信息情报库FireBox-攻击辅助工具集（字典/免杀/个人信息生成）C2-后渗透工具集Movekit-横向移动工具Elevatekit-提权工具Staykit-驻留工具ExecuteassemblyEx-工具执行载体Artifactkit/SharpObf-免杀处理工具IP/域名资产搜集端口/服务/通用系统指纹识别实战漏洞主动发现Titan-分布式对抗自动化平台EZ-内网应用/端口/漏洞探测互联网资产搜

4、集服务指纹识别源代码泄露自动分析OSINT自动化资产分析平台信息构造邮件/短信钓鱼站点伪造社工辅助平台目录CONTENTS驻留时间博弈攻击者希望延长在目标网络的驻留时间以更好进行内网漫游，主要手段：主动对抗（Anti）：针对防护技术进行主动出击，避免查杀检测绕过（Bypass）：从自身特征出发绕过查杀行为隐匿（Undetect）：避免防御者发现样本行为主动对抗权限提升与修改防护配置通信协议与内容GET/jquery-3.3.2.min.js行为隐匿检测绕过内存webshell(加密)Webshell加密通信演练期间：样本中反沙箱占19.5%，免杀占78%，流量伪造占46.3%溯源501个真实对

5、象中，使用CDN等隐蔽技术的达113个，同比往年大幅度增加非A.B.U.通常驻留时间约4小时，A.B.U.通常驻留时间约4天或更久Subdomain takeover通信进程进程注入域前置权限进程文件行为文件驻留的攻防博弈将会愈演愈烈合法证书内存使用率检测远程开关重点关注权限，监控以防护软件文件、进程、配置为目标的操作合法性设备主要依赖于行为特征（进程）、流量学习、威胁情报进行狩猎进行行为特征识别，依赖威胁情报指导静态特征识别（包括内存、文件特征）钓鱼攻击使用自动化工具，能够短时间内发送大量恶意邮件 团队作战，囊括话术、漏洞（如Chromium漏洞）、免杀等部分，扩大钓鱼成功概率钓鱼趋势变化

6、今年供接收59起钓鱼事件，占应急事件46%钓鱼事件数与总数趋势基本一致，针对目标倾向于优先使用钓鱼攻击 捕获钓鱼攻击相关样本共108个，较2020年68个上升58.8%钓鱼成功23起占比21%，较20年6起多近3倍，多起客户内部转发钓鱼事件，单次传播范围达1000+人参演客户安全意识仍有待提高钓鱼攻击是攻击主要手段钓鱼攻击专业化、专职化社区疫苗接种685498817776121811432227329541555402468101214161820钓鱼事件发生趋势图应急事件数量钓鱼事件数量钓鱼攻击溯源以及钻石模型 逆向分析 使用了分发网络隐匿通信 AgentTesla为攻击载荷 联合威胁情报实