CubeSec产品团队
吴昊
袁帅
CubeSec Product Develop Team
Written By Hao Wu 、Shuai Yuan
以攻为守的情报分析
Attack As Defense
魔方安全团队介绍
CUBESEC团队由前绿盟科技NSTRT成员121创立,团队成员在代码审计,代码安全开发生
命周期(SDL)、APT渗透、无线安全、家庭智能终端逆向分析、手机系统逆向分析、手机应用
安全测试等方面有很强的技术实力。
01
02
03
04
何为情报分析
以攻为守的安全情报分析
Matrix系统架构
目录
02
互联网+时代下的安全风险
05 应用场景
01 何为情报分析PART ONE
情报分析的概念
美国《国防部军事与相关术语字典》认为:情报分析是通过对全源数据进
行综合、评估、分析和解读,将处理过的信息转化为情报以满足已知或预期用户
需求的过程。
情报
数据
数据
数据
提炼与分析
各种各样的情报:
战争相关:敌情收集、报文窃听等
商业相关:竞争对手分析、市场分析等
生活相关:天气预报、生活资讯等
信息安全相关的情报
资料引用:
02 互联网+时代下的安全风险PART TWO
互联网+时代下企业特点
在互联网+的时代下,除了互联网企业外,越来越多的传统行业的线上业务也在
逐步增加。
5
66 67
70
36
77
5
38 36
41
24
39
5
21
17
21
12
0
0
10
20
30
40
50
60
70
80
90
2009 2010 2011 2012 2013 2014
域名总数
web站点
开发站点
某传统行业客户的互联网资产统计图
互联网安全应该怎么做??
互联网+时代下的安全问题(一)--边缘资产之殇
随着互联网资产数量的增加,边缘资产往往成为黑客的首要目标。
互联网公司
电子商务
互联网+时代下的安全问题(二)--非常规入侵手法
互联网上的信息增多,敏感信息泄露成为了辅助渗透的重要手段。
一个员工的密码提交到github,导
致全公司Wiki,Jira和代码泄漏。
互联网+时代下的安全问题(三)--重大漏洞的挑战
随着互联网资产的增多,重大漏洞成为安全运维的重大挑战。
重大安全漏洞爆发
如2014年的心脏滴血、
Shellsock,2013年的
Structs2的S2-016等
安全漏洞检测
运维人员和安全人员对内
部系统进行检测
安全漏洞修补
针对重要的系统进行优先
修补
查漏补缺
继续对部分边缘系统进行
排查与修补
利用漏洞修补前的时间进行入侵
03 以攻为守的安全情报分析PART THREE
以攻为守的安全情报分析原型
以攻为守的安全情报分析来源于渗透测试,在进行入侵时往往先锁定目标,然后
进行大规模的信息收集,再发现一个脆弱点时进行利用,并持续扩大,最后成功入
侵。
确定目标 信息收集 漏洞发现 成功入侵
以攻为守的安全情报分析技术架构
以外网资产作为持续监控对象,模拟APT攻击过程中的资产发现、信息收
集、漏洞挖掘,定位企业外网脆弱点,先于恶意攻击者发现问题所在。
TEXT
外部信息收集
资产信息
收集
人工情报分
析
自动资产发
现
情报
分析 自动化数
据挖掘
以攻为守的安全情报分析技术—自动资产发现
主域名
网段
真实IP
子域名
子域名对应IP
域名所在网段
如
定位资产是情报分析中的关键环节,在互联网+的企业中,外网资产变更速度较快,难
以规范整理,必须是“自主挖掘”。
自动资产发现—子域名发现
子域名的收集是资产发现的重要模块分为:
搜索引擎抓取 通过搜索引擎挖掘
子域名
全球DNS A记录
查询
通过全球DNS数据
库查找
常见子域名爆破 前缀数据库暴力猜测
外网域名资
产库
发现未知的外网
子域名
发现外网资产变
更,如临时部署
在外网的测试服
务器
发现已遗弃的未
知域名
以攻为守的安全情报分析技术—资产信息收集
通过确定的资产信息,对资产进行大范围的信息收集,包括Web指纹、IP信息识别、
搜索引擎信息、社工信息。
资产信息收集
IP信息识
别
Web指纹
识别
搜索引擎
信息收集
社工信
息收集
网站关键字、开发语言、中间件、网站
描述、CMS类型、开源框架类型等
操作系统、开放端口、
服务版本等
暴露在搜索引擎中的敏感文
件、登录页面、敏感信息等
暴露在开源社区中的敏感信息
资产信息收集—外网资产信息库
通过IP信息识别与Web指纹识别,结合资产发现功能,形成一个庞大的资产数据
库,纵观外网。
IP地址 操作系统/服务 端口 版本 Banner
Linux NA NA
SSH 9000 Welcome
IP信息库
Web指纹信息库
域名 服务器类型 端口 版本 开发语言 标题
Apache 80 PHP XXX门户
Apache
Tomcat
8080 JSP 后台管理
资产信息收集—外网资产信息库
网段内敏感端口监控
资产中隐藏后台的发现
资产信息收集—搜索引擎信息收集
搜索引擎信息收集是应对非常规入侵的一种新的手段,通过Google、Bing、Baidu等各
大搜索引擎,结合搜索引擎语法对敏感信息进行收集,包括登录入口、泄露邮箱、敏感
文件等。
登录入口
泄露邮箱
以攻为守的安全情报分析技术—外部信息收集
外部信息收集主要用于收集互联网上的情报,包括重大的安全漏洞所影响的范围、最
新的POC、社工库信息等。
外部信息收集
引擎
安全资讯
信息收集
CVE漏洞库
信息收集
社工库收集
POC库收集
抓取CVE上最新的安全漏
洞以及影响版本
收集各大安全媒体的重要
资讯,包括Freebuf、安
全牛等
关注已经流出的社工库,并进
行收集
监控各类型漏洞收集平台,关注国内软
件安全漏洞的最新状况
POC库收集—POC扫描
将渗透中常用的入侵手法转化成测试脚本,重点关注可入侵型的安全漏洞以
及运维失当问题。
以攻为守的安全情报分析技术—情报分析
情报分析是根据海量信息进行筛选,通过可视化的方式展示,同时也可以根据企业自
身需要提供所需要的情报。
脆弱性情报
高危端口泄露
弱口令端口
系统安全漏洞
开源组件信息
漏洞挖掘情报
漏洞预警情报
资产状况情报
资产变更
可用性探测
敏感信息情报
敏感文件泄露
可撞库登录URL
开源社区监控
外泄邮箱监控
社工库情报
安全资讯情报
最新CVE漏洞资讯
最新EXP漏洞资讯
恶意病毒资讯
04 Matrix系统架构PART FOUR
Matrix系统架构—功能架构
目前Matrix系统分为七大模块:
Matrix
外部资产挖掘
搜索引擎挖掘
分布式调度引擎
Web UI
POC/弱口令测试引擎
数据挖掘引擎
服务指纹识别
Matrix系统架构—系统工作流程
分布式调度引擎
Web UI
资产发现
IP网段挖掘
域名挖掘
搜索引擎挖掘
服务指纹识别
POC/弱口令测
试
数据挖掘引擎
输入 数据展示
Matrix系统架构—自动资产识别
提高外网资产发现的准确率,建立资产权重算法:
Asset权值计算 IP权值计算 web指纹计算
计算网段权值 单IP权值
算法向量包括:
1、Web指纹,如
title、keyword
2 、域名解析与IP
反查
3、IP信息,如
Banner、
Matrix系统架构—Web UI
内容总结
主动监控
被动防
御
无力抵
抗
化被动转换为主动,将主动权放在自
己手上
