蓝队基础之网络七层杀伤链

蓝队基础之网络七层杀伤链

企业网络架构

企业技术和信息团队的管理架构因企业的规模、行业特性和业务需求而 异，但通常遵循一定的框架和原则。

高层管理：

CI0（首席信息官)：负责企业信息系统的战略规划、管理和优化，确保信 息技术与企业战略保持一致。

CT0(首席技术官)：负责运营技术的整体方向，包括技术创新、研发、技术 选型等。

企业 IT 管理涉及的领域

    中央系统：集中管理企业内的所有 T 资源，包括软件、硬件和数据。
​自带设备(BYOD：Bring Your Own Device)：员工自带移动设备（如手机、 平板电脑）接入企业网络，需要制定相应的安全策略和管理规定。
​影子 IT:员工可能在企业内部搭建的小网络或使用的未经授权的 1T 设备和 软件，这增加了企业的安全风险，需要加以管理和控制。

中央技术团队

 客户服务团队：提供技术支持和服务，包括工作站、笔记本的维护和服务 台支持。
​基础设施团队：负责网络、服务器机群的规划、部署和维护。
​数据库管理团队：负责数据库存储、备份和恢复，确保数据的完整性和安 全性。
​技术团队：通常由项目驱动，负责采购系统、维护和建立技术运营团队。 根据信息技术基础设施库（ITL)进行日常操作和管理。

安全部门

  由 CISO(首席信息安全官)领导，负责企业整体的信息安全策略、规划和管 理。安全门需要向 CI0、CT0、CF0(首席财务官)和 CR0(首席风险官)报告，确保 信息安全与企业战略、财务和风险管理保持一致。 

企业管理技术

 信息安全管理成熟度模型（ISM3：Information Security Management  Maturity Model):描述了企业安全运行和管理流程的成熟度等级，为企业提供 了改进信息安全管理的指导。
​安全职能：包含战略、战术和运营安全所有方面。由 C1S0 负责管理运营， 确保企业信息安全策略的有效实施和持续改进。
​安全团队成员：应了解企业文化、组织和关键人员，以及推动业务成功的 关键流程。这有助于安全团队在企业内部树立积极形象，提高信息安全意识和 管理水平。  

典型企业网络分区

  企业网络通常划分为不同的安全区域，以控制区域之间的访问权限。划分 安全区可以防御外部和内部攻击。
​DMZ(非军事区)：隔离内部与外部系统，提供安全的访问通道。
​蜜罐：引诱和分析入侵者，收集攻击信息和行为模式。
​代理：对外提供有限的服务，保护内部网络免受外部攻击。（挂了 3 层到 4 层代理，就很难溯源了）
​VPN:员工与合作商通过 VPN 连接内网，确保远程访问的安全性和保密性。
​核心网络：通常物理分离、冗余设计，确保网络的稳定性和可靠性。
​内部网络：包括有线、无线和 VN 接入方式，提供全面的网络覆盖和接入服 备。
​安管区：管理日志、告警和事件，提供实时的安全监控和响应能力。

模糊的边界

   随着云计算和 SaaS 服务的普及，传统网络结构逐渐减少，越来越多地在云 中部署基础架构或使用 SaaS 服务。
​用户从企业工作站登录到云或 SaaS 服务，需要企业提供身份凭据同步机制 甚至 SS0(单点登录)解决方案。
​云服务可能涉及在本地运行的硬件，例如 Azure AD Connect 系统等。
​数据通过内部和外部服务进行管理，例如 Oracle 数据集成器等
​工作负载可以通过 Oracle 服务总线或戴尔云平台等跨混合环境共享，实现 资源的灵活配置和优化利用。 

外部攻击面

   收集开源情报后，绘制网络范围内全部节点，关闭无用节点，减少攻击 面。
​使用 nmap 等工具进行网络扫描，例如 nmap -Sn〈subnet>/24 来发现网络 中的活跃主机。

Nmap 的-sn 参数用于进行 Ping 扫描，-sn 参数主要用于主机发现， 通过发送 ICMP 请求来检测目标主机是否在线。它不会对目标主机的端口进行扫 描，因此不会暴露扫描者的意图，也不会在目标主机的日志中留下过多的痕迹

重点关注开启了 SSH 服务的未加固设备，及时进行加固和修复。
​
使用 nmap 等工具进行服务探测和版本识别，例如 nmap -PS -sV ipaddress 来发现目标主机上开放的服务和版本信息。

-ps 参数用于发送 TCP SYN 报文进行扫描。这是一种半开放式的扫描 方式，扫描速度较快且隐蔽性较好，常用于快速检测目标主机的端口开放情况 ；-sv 参数用于探测目标主机的服务版本信息。具体来说，-sv 参数是-sV 参数 的简写形式，其功能是发送一系列探测报文来识别目标主机上开放端口的服务 版本信息。

    测试漏洞入口，大型网络主机和应用程序很容易缺少补丁或配置存在漏 洞。使用漏扫软件（如 Nessus 等)验证漏洞存在性，并及时进行修复。

使用 searchsploit 等工具搜索相关漏洞利用脚本，例如 searchsploit 〈service name> 来查找针对特定服务和版本的漏洞利用脚本。这 有助于安全团队及时了解和应对潜在的威胁和漏洞。

身份管理

    身份管理是确保企业信息安全的关键环节，它涉及到对系统中所有用户、 设备和服务身份的识别、验证和管理。

以下是一些关于身份管理的关键点和工具：

识别 Windows 典型应用

  在 Windows 环境中，常见的应用和服务包括 Microsoft Exchange（邮件服务器)、SharePoint（文档协作平台)和 Active Directory（目录服务)。要识 别这些应用和服务可以使用网络扫描工具，如 nmap -PS -sV somesystem.com, 来探测目标系统上开放的服务和端口。

识别 Linux 典型应用

  在 Linux3 环境中，OpenSSH（安全壳协议)用于远程登录和管理，Samba 则用于 文件和打印共享。同样，可以使用网络扫描工具来识别这些服务。

识别 WEB 服务

  企业应用或边界设备上的 WEB 服务也是身份管理的重要部分。可以使用 whatweb、http://someweb.org 等工具来识别 WEB 服务的类型、版本和配置信 息。

识别客户端设备

   在内网环境中，客户端设备的身份管理同样重要。由于管理员的疏忽或配 置不当，终端设备可能会暴露在网络中。因此，需要定期扫描和识别内网中的 客户端设备，以确保它们符合企业的安全策略。

身份和访问管理

  身份以及特权和访问权管理是企业安全的核心。基本工作站和服务器通常 维护自己的身份存储，包括用户账号和服务账号。为了确保系统的安全性，普 通用户不能执行系统级配置管理命令，而需要使用 sudo 权限或以管理员身份运 行。

目录服务

  LDAP(轻量级目录访问协议)是一种用于访问目录信息的协议，它广泛应用 于 AD(Active Directory)和 OpenLDAPS 等目录服务中。通过域集中管理，可以 实现资源的焦中存储和集中管理，包括组策略的应用和更新。

企业数据存储

  随着数据分析的兴起和监管要求的加强，企业需要集中存储和管理大量数 据。常见的存储方案包括 SAN(存储区域网络)和 NAS(网络附加存储)。
​SAN 由高速网络连挤多个存储设备组成，提供高性能的数据存储和访问能 力；而 NS 则是单个设备拥有大量存储，通过本地网络供服务器和工作站访问。
​此外，企业还可以使用串行局域网（SoL)协议，使串行数据基于 HTTPS 传 输，以提高数据传输的安全性和可靠性。  

企业虚拟化平台

  虚拟化平台是企业数据存储和管理的重要工具之一。常见的虚拟化平台包 括 VMware 的 vSphere 和 vCenter、Proxmox 等。这些平台可以实现资源的动态 分配和优化利用，提高系统的灵活性和可扩展性。  

数据湖

  数据湖是一个保存大量不同形式数据的大型存储库，结合数据分析可以为 企业带来额外介值。Hadoop 是企业中常见的数据湖解决方案之一，而另一种本 地解决方案是 ataBricks。
​此外，还有基于云的大数据解决方案，如 Cloudera、Google BigQuery、 Oracle BigData、Amazon EMR、Azure Data Lake Storage 和 Azure HDInsight （基于云的 Hadoop)等。
​围绕数据湖有一个完整的技术生态，提供数据摄取管道和数据分析服务。 然而，数据湖也面临着安全风险，如 Hadoop 的 YARN 服务配置错误可能导致恶 意 HTTP 请求攻击并获得系统命令行 shell。因此，需要加强对数据湖的安全管 理和监控。

企业数据库

  企业数据库是存储和管理业务数据的重要工具。常见的 SQL 数据库包括 0racleSQL、Microsoft SQL Serveri 和 My SQL 等；而嵌入式 SQL 数据库则包 括 Mar iaDB、PostgreSQL 和 SQLite 等。
​此外，还有非 SQL 数据库如 MongoDB、Redis、Azure CosmosDB 和 AWS DynamoDB,它们提供了不同的数据存储和查询方式以满足企业的多样化需求。

传统存储形式

 传统存储形式中，共享驱动器是一种常见的资源共享方式，它允许用户通 过网络协议(如 SMB/CIFS)访问远程服务器上的文件和文件夹。使用 smbclient 命令行工具，可以列出远服务器上的共享资源，以及从共享资源中下载文件。 例如，使用 smbclient -L server -U user 命令可以列出指定服务器上的共享 资源，而 smbclient\\\\someserver\\test-U user 则可以连接到名为 test 的 共享资源，并使用 get 命令下载文件。
​在 Windows 系统中，还存在一些默认的共享资源，如 C(所有驱动器的默认 共享)、ADMIN(管理共享)和 IPC$（管道，用于与其他计算机互操作的特殊连接 器)。这些默认共享通常用于系统管理和维护任务。 

S0C 管理流程

  S0C(Security Operations Center,安全运营中心)是企业信息安全计划的重要组成部。它负责监控、分析和响应网络中的安全事件。为了将 S0C 纳入企 业的整体信息安全管理系，需要了解 S0C 如何适应 ISMS(Information Security Management System,信息安全理体系)。
​IS027001 标准和 NIST 网络安全框架是指导企业建立运营安全程序的两个 重要标准。IS027001 标准提供了一种基于控制方法的审计和认证框架，而 NIST 网络安全框架测更注重预防和应对网络攻击，包括识别、保护、检测、响应和 恢复五个阶段。然而，这些标准并没有具体提出建立 S0C 的要求，因此每个企 业安全运营的组织方法都不尽相同。
​信息安全生命周期通常包括四个阶段：安全策略、能力设计、实施和运 营。戴明环是信息安全生命周期的早期表现，它包括计划、做、检查和行动四 个步骤。而 SABSA 框则对信息安全生命周期进行了改进，将其划分为战略规 划、设计、实施和管理测量四个阶段。
​从渗透测试的角度来看，掌握 S0C 的日常操作活动是为了避免被检测出 来；而从防御者的度来看，掌握 S0C 完整的生命周期视图可以确保其有效性。 S0C 的目标是通过监控和事件响应为基础设施和操作提供安全保障。

S0C 通常分为不同的层级，每个层级负责不同的任务。例如：

L1:提供监视告警、分类和解决小问题。

L2:提供对日常事件的分析、遏制和解决。

L3:负责损失控制、深入调查和取证分析等 IR(Incident Response,事件响 应)事件。

L4:安全管理，负责日常、非事件相关的程序，如开设账户、访问授权审 查、定期安全报告和其他主动安全程序。

网络杀伤链

网络杀伤链模型描述了网络攻击的七个阶段，这些阶段共同构成了攻击者 从信息收集到实现攻击目的的完整过程。以下是网络杀伤链的详细阶段：

侦察(Reconnaissance):攻击者对目标进行信息收集和探测，了解目标的网 络架构、系统配置、潜在漏洞以及用户活动等相关情况。这一阶段旨在为 后续攻击做准备。

武器化(Weaponization)：根据侦察所获取的信息，攻击者将恶意软件或攻 击工具进行定制和包装，使其能够利用目标系统的特定漏洞。这一阶段将普通的恶意软件或工具转化有攻击性性的“武器。

投送(Delivery):将经过武器化处理的恶意软件或攻击工具投送到目标系统 或网络中。常见的投送方式包括通过电子邮件附件、恶意链接、受感染的 移动存储设备等。

利用(Exploitatior)：一旦投送成功，恶意软件会利用目标系统存在的漏 洞来触发并执行恶意代码，从而获取对目标系统的初步访问权限或控制 权。

安装(Installation):在成功利用漏洞进入目标系统后，攻击者会进一步在 目标系统内安装额外的恶意软件组件，如后门程序、远程控制工具等。这 些组件允许攻击者长期、稳定地控制目标系统。

指挥与控制(Command&Control):安装在目标系统内的恶意软件会与攻击者 所控制的外部服务器建立连接。这一连接允许攻击者远程对目标系统下达 指令、获取数据以及进行进一步的操控。

行动(Action):这是网络攻击的最后阶段。攻击者通过已经建立的指挥与空 制通道，有目标系统上执行其预期的恶意活动，如窃取敏感信息、篡改数 据、发起拒绝服务攻击等，这些活动旨在达成攻击者的目的。