IDC基础安全在数据窃取场景的攻防对抗.pdf

1、演讲人：邓先钦时间：2024.08.24选题背景和攻防场景B A C K G R O U N D A N D S C E N A R I O S防守篇DEFENSIVE CHAPTER攻击篇（5章）OFFENSIVE CHAPTER结语END CHAPTERPART ONE01BACKGROUND AND SCENARIOS入侵前入侵中入侵后获利信息收集网络钓鱼漏洞攻击持久控制防御绕过环境探测横向移动数据窃取贩卖获利非必经阶段非必经阶段必经阶段必经阶段必经阶段必经阶段选题背景和攻防场景攻击路径-2攻击路径-1PART ONE02OFFENSIVE CHAPTER参考资料：https:/ ONE

2、02OFFENSIVE CHAPTER渐入佳境Nc工具的利用可选方式：传输方式：TCP、UDP传输端口：常规端口（80、443、22等）、非常规端口接收端命令发送端命令TCP+非常规8080端口渐入佳境https/加密传输可选传输端口：常规443、非常规端口能检测不能检测PART ONE02OFFENSIVE CHAPTER瞒天过海防护设备没覆盖的协议防护设备没覆盖的协议-websocketwebsocketwss隐秘性优势：长连接优势、双向通信，支持加密（WSS）WSS瞒天过海防护设备没覆盖的协议防护设备没覆盖的协议-websocketwebsocket隐秘性优势：长连接优势、双向通信，支持

3、加密（WSS）瞒天过海防护设备没覆盖的方式防护设备没覆盖的方式-http/2-http/2和和http/3http/3隐蔽性优势：两种方式都为加密传输 HTTP/2多路复用增加流量解析难度 HTTP/3基于QUIC，进一步提高解析难度瞒天过海防护设备没覆盖的方式防护设备没覆盖的方式-IPv6IPv6DNS反查全球IPv6占比情况主机IPv6地址瞒天过海防护设备没覆盖的方式防护设备没覆盖的方式-dnsdns查询滥用查询滥用瞒天过海防护设备没覆盖的方式防护设备没覆盖的方式-dnsdns查询滥用查询滥用瞒天过海防护设备没覆盖的方式防护设备没覆盖的方式-dnsdns查询滥用查询滥用RC4算法加密、编码

4、某Openssh后门-使用5级域名dns窃取数据瞒天过海连接硬件设备连接硬件设备瞒天过海连接硬件设备连接硬件设备USB存储线瞒天过海隐写术隐写术-图片隐写图片隐写原始数据二维码规范带原始数据的二维码图片加密（可选）合成过程容量容量：二维码最大符号大小177*177模块，有31329个方格 最大可编码3KB 数字:7089个字符 字母数字:4296个字符瞒天过海隐写术隐写术-图片隐写图片隐写原始数据载体图片吴xx带原始数据的吴xx加密图片隐写容量容量：1024*768分辨率图片，最大隐写容量为2.25MB影响因素影响因素：图片分辨率和色彩浓度、隐写算法等瞒天过海隐写术隐写术-音频隐写音频隐写容量

5、容量：16位立体音频每秒可隐藏约44KB数据 3分钟MP3歌曲理论最大隐写容量约8MB实现技术实现技术：最低有效位（LSB）替换、相位编码、回波隐藏、扩频技术等瞒天过海隐写术隐写术-视频隐写视频隐写容量容量：1分钟1080p，30fps视频理论最大隐写容量约35MB数据使用H.264/AVC编码框架实施隐写实现技术实现技术：变换域隐写、DCT隐写、运动矢量隐写、3D隐写等瞒天过海隐写术隐写术-AI-AI大模型大模型容量容量：理论可隐写数据非常大，取决于模型规模，一个10亿参数的模型可隐写几百MB到几GB数据瞒天过海隐写术隐写术-多种隐写对比多种隐写对比PART ONE02OFFENSIVE C

6、HAPTER混水摸鱼白名单站点白名单站点-代码库代码库混水摸鱼白名单站点白名单站点-云存储云存储混水摸鱼白名单站点白名单站点-云存储云存储AllAll inin oneone 一体化工具？一体化工具？混水摸鱼白名单站点白名单站点-云存储云存储 适配近百种 开箱即用 二次开发混水摸鱼白名单站点白名单站点-互联网的公共服务互联网的公共服务混水摸鱼白名单站点白名单站点-互联网的公共服务互联网的公共服务PART ONE02OFFENSIVE CHAPTER窃取手段3 3种手段种手段窃