蔡浩宇-终端安全对抗及防护.pdf

《蔡浩宇-终端安全对抗及防护.pdf》由会员分享，可在线阅读，更多相关《蔡浩宇-终端安全对抗及防护.pdf（23页珍藏版）》请在三个皮匠报告上搜索。

1、安世加安世加安世加安世加安世加安世加 攻击面管理实践分享者：蔡浩宇终端安全对抗及防护分享人：蔡浩宇安世加安世加安世加安世加安世加安世加目录01终端安全技术对抗现状02案例解析及一线对抗技术分享03安全防护升级之路安世加安世加安世加安世加安世加安世加 攻击面管理实践分享者：蔡浩宇01 终端安全技术对抗现状安世加安世加安世加安世加安世加安世加1.不杀不拦只告警2.日志缺失，运营排查止血难3.安全一刀切，员工负反馈较多4.策略更新，维护强依靠厂商 攻击面管理实践分享者：蔡浩宇安世加安世加安世加安世加安世加安世加 攻击面管理实践分享者：蔡浩宇传统产品无法解决企业终端面临的新威胁与新挑战挑战03多分支的

2、终端成为攻击者的关键入侵点分支机构的业务人员较多，整体安全和IT基础知识薄弱总部、各分支都有多款安全产品，运维管理工作量极大，没有办法全球统管各分支安全策略难以按照集团的统一标准执行，尤其偏远分支安全管理水平不足传统签名技术无法抵御新型威胁与攻击，企业终端安全在新型攻击面前基本失效利用正常的权限和账户进行入侵和攻击的场景新型的无文件攻击的形式（无可执行文件落地）未知的恶意软件、未知特征恶意文件攻击01传统产品无法解决企业终端面临的新威胁与新挑战专业安全技术人员匮乏，安全运营人员少，经验浅，数据体量大传统硬件部署方式，产品迭代更新慢，病毒、威胁情报无法紧跟时事安全策略难运维，内置策略基本为零，后

3、期维护更新成本高02安全能力更新慢，安全策略运维难安世加安世加安世加安世加安世加安世加攻击队手法总结 攻击面管理实践分享者：蔡浩宇 钓鱼投递手法更加精细化，业务伪装度非常高 邮件钓鱼更倾向于钓个人邮箱，以绕过企业的安全防护体系 除了IM、邮件钓鱼，集权系统失陷今年继续存在，还出现了多起针对客服系统的钓鱼 静态伪装更深度，从loader到shellcode都有做对抗，避免被杀软查杀和逆向分析 动态对抗是一线对抗最大的亮点，以绕过EDR为目的，从栈混淆、Syscall、dll加载中的栈伪装等，出现频率不高，但是体现了攻击队在当前终端对抗上的最高水平 白加黑依然是主流的手法，白模块从常见应用切换到了

4、操作系统正常的模块，伪装性更高 凭据窃取依然是攻击者最常用的模块，浏览器凭据窃取最为常见，少量出现数据窃取 厂商支持的云函数锐减，C2通信以域前置为主，流量侧的检测和防护难度高 随着cobaltstrike的持续迭代，依然成为攻击者最主要使用的框架 随着Web3技术与加密货币的爆发发展，越来越多的职业黑客或特殊背景选手，盯上了个人钱包以及大型交易公司安世加安世加安世加安世加安世加安世加 攻击者改变 -有组织的大规模攻击 -目的明确 攻击策略演进 -针对性的目标 -层层递进的攻击路径 攻击技术愈发先进 -新的逃避检测技术 -更隐蔽的攻击手法 -迭代更新更快防守难度直线上升 终端环境复杂暴露面更大

5、 攻击来源更广，多维度防范 传统的防护体系容易失效无力疲软的日志告警眼神涣散的安全运营人员无法止血的基础设施新的攻击目的，攻击，盗币，洗币一条龙更广泛的攻击群体，从行业到公司到个人安世加安世加安世加安世加安世加安世加 攻击面管理实践分享者：蔡浩宇02 案例解析及一线技术分享安世加安世加安世加安世加安世加安世加攻击面管理实践分享者：蔡浩宇投毒简历1.投毒简历前身为近期招聘者的实际简历2.6月份已经本人经过面试并且到达二轮面试，但是7月份又再次投递到邮箱，经排查和确认，简历被攻击队获取并植入恶意payload再次投递3.攻击者利用该简历制作投毒简历后，同时进行多家单位的投递，8月份流出相关样本分析

6、4.收集招聘者优秀简历植入后门制作投毒简历批量投递投毒简历开源c2安世加安世加安世加安世加安世加安世加攻击面管理实践分享者：蔡浩宇样本分析1.快捷方式调用白加黑+域前置2.Lnk快捷方式调用Cmd.exe 拼接Cmd.exe，Powershell 在当前目录下找出大小为0 x0009AA06字节的.lnk快捷方式文件，并获取它的文件名，16进制转换后也就是10进制的633350字节文件，也就是这份lnk文件，读取这个.lnk文件的内容，将其保存为字节数组，逐字节进行异或运算 定义一个新的路径，并将上述异或运算后的字节数组写入到这个路径的文件中，跳过数组前