功能背景
通过模仿黑客的思考和工作方式,基于 MITRE ATT&CK 框架自动化模拟战技、战术 ,从攻击视角看待各种云上安全威胁,用户可以识别可能被攻击的不同路径和最具影响力的安全威胁,发现安全防护产品的不足及对应安全策略是否配置得当,合理利用安全资源最大程度降低云上风险。
应用场景
高效的渗透化测试
通过自动化执行模拟攻击任务,广泛测试大量已知攻击,操作简便实用,减轻运维人员工作量。系统默认提供以 MITRE ATT&CK 框架作为基准的渗透测试剧本,剧本包含信息收集、漏洞探测、漏洞利用、权限维持、横向渗透等攻击战术,模仿恶意黑客的行为方式及现实世界的对手。
准确对比安全防护产品可靠性
在目标系统上模拟攻击后,前往已拥有的安全防护产品上查看对应告警信息,对比多款安全防护产品的检出率,检验安全防护产品的可靠性。
安装模拟攻击工具包
步骤一:查询资产对应工具包安装状态
1. 登录 云安全中心控制台,在左侧导览中,单击资产中心。
2. 在资产中心页面,选择主机资产,查看该资产的模拟工具包安装状态。
步骤二:安装模拟攻击工具包
针对未安装模拟攻击工具包的资产,可参照以下三个安装方式进行安装:
方式1:手动执行命令
登录目标服务器后执行对应命令下载、运行模拟攻击工具包。
方式2:通过腾讯云自动化助手执行命令下载并运行模拟攻击工具包
仅支持已安装腾讯云自动化助手客户端的资产,通过自动化助手执行命令后,将在服务器上下载并运行模拟攻击工具包 。
方式3:通过主机安全 Agent 执行命令下载并运行模拟攻击工具包
仅支持已安装主机安全 Agent 的资产,通过主机安全 Agent 执行命令后,将在服务器上下载并运行模拟攻击工具包。
在资产中心页面,选择目标主机资产,单击操作列的更多 > 安装工具包。
注意:
当前暂仅支持腾讯云内操作系统为 Linux 系统的服务器。
步骤三:如何高效的渗透化测试
查看渗透测试剧本
在 模拟工具页面,查看渗透测试剧本,系统默认提供多个包含信息收集、漏洞探测、漏洞利用、权限维持、横向渗透等攻击战术的渗透测试剧本,以模仿恶意黑客的行为方式及现实世界的对手。
在 模拟工具页面,单击右上角 ATT&CK 模拟攻击矩阵了解单个剧本关联的战术、战技,或了解某个战术、战技所关联的剧本。
选择剧本及模拟攻击资产范围
1. 在 模拟工具页面,选择一个或多个剧本后,单击开始模拟攻击。
2. 在执行模拟攻击剧本弹窗中,选定此次模拟攻击的资产范围,勾选承诺许可后,单击确定。
说明:
仅可对已安装工具包的资产执行模拟攻击剧本。
查看剧本模拟攻击记录
步骤四:如何准确对比安全防护产品可靠性
剧本模拟攻击成功后,可前往已有的安全防护产品查看模拟攻击对应的执行结果,例如 T-Sec 主机安全(CWP),通过查看安全防护产品已检出的告警内容,发现安全防护产品的不足及对应安全策略是否配置得当。通过多个安全防护产品已检出的告警数量及告警内容的准确性,对比多个安全防护产品的可靠性。
常见问题
为何安装模拟攻击工具包失败?
防火墙拦截:建议防火墙策略放过云安全中心后台服务器访问地址,公网域名 bas.tencentcs.com、csc-1300616671.cos.ap-guangzhou.myqcloud.com,公网端口8001、443。
网络问题:建议检查网络连接是否正常,尝试使用其他网络。模拟攻击工具包需要从互联网下载文件,如果网络不稳定或者下载速度过慢,可能会导致安装失败。
权限问题:建议使用管理员账户登录系统,或者使用“以管理员身份运行”选项下载/运行模拟攻击工具包。下载/运行模拟攻击工具包需要管理员权限,如果当前用户没有足够的权限,可能会导致安装失败。
系统兼容性问题:查看模拟攻击工具包的系统要求,确保当前操作系统和其他软件版本符合要求。模拟攻击工具包可能不兼容当前操作系统或其他软件,导致运行失败。
系统默认剧本依据来源是?
系统默认剧本基于ATT&CK中的战术阶段,可参考 MITRE ATT&CK 进行学习了解。MITRE ATT&CK是一个全球可访问的基于现实世界观察的对手战术和技术知识库。ATT&CK 知识库被用作私营部门、政府以及网络安全产品和服务社区开发特定威胁模型和方法的基础。
系统默认剧本(持续更新)
剧本名称 | 剧本内容 |
Python base64命令攻击 | 模拟黑客使用 Python 解码经过 base64 编码的文本字符串,用来执行恶意代码或窃取敏感信息。 |
密码复杂性策略检查 | 模拟黑客检查 Linux 系统上控制台的密码复杂性策略,以便了解密码的要求和限制,可能会被用来破解密码或者获取系统的访问权限。 |
Shiro 反序列化攻击 | 模拟黑客利用 Shiro 反序列化漏洞获取目标系统的远程命令执行权限,通过执行恶意命令来获取系统的访问权限或者窃取敏感信息。 |
DNS 日志信息收集 | 模拟黑客通过 DNS 日志获取访问者的 IP 地址,用来检测目标用户的活动或者进行其他恶意行为。 |
端口转发攻击 | 模拟黑客通过收集目标系统的信息了解目标系统的弱点和漏洞,在目标系统上安装恶意软件或利用漏洞维持对目标系统的访问权限,利用 Netcat 工具使用端口转发技术来绕过防火墙和其他安全防护产品以便在目标系统上执行命令或传输文件。 |
内网横向移动攻击 | 模拟黑客收集主机 SSH 信息以了解目标系统的 SSH 配置和安全性,使用 Exploit Writing Toolkit(EW)工具通过利用已经攻破的一台目标系统,进一步攻击其他系统,以便在内网中获取更多的敏感信息或控制更多的系统。 |
用户权限维持攻击 | 模拟黑客将目标系统中的敏感数据传输到模拟者控制的服务器或其他地方,以获取非法利益或造成损失,当读取敏感信息后将恶意代码写入以维持对目标系统的访问权限,清除目标系统中的各种历史记录,以隐藏攻击痕迹或误导调查人员。 |
恶意文件执行攻击 | 模拟黑客将恶意代码写入文件中并执行该文件来实现攻击,通过收集目标系统上 SUID 信息并在目标系统上执行 Python 反弹 shell 脚本,当模拟者收到目标系统的连接后进行 Prox 横向移动获取更多的系统权限,随后篡改文件的时间戳来隐藏攻击痕迹或误导调查人员。 |
NC 反弹 shell 攻击 | 模拟黑客通过收集目标系统上主机安全进程信息以尝试杀掉主机安全相关进程,利用 NetCat 工具在目标系统上执行反弹 shell 命令,将目标系统的 shell 连接到模拟者的机器上,模拟者收到目标系统的连接后可以执行命令或获取系统权限。 |
Python 反弹 shell 攻击 | 模拟黑客通过收集目标系统的信息了解目标系统的弱点和漏洞,在目标系统上通过执行 Python 反弹 shell 脚本,将目标系统的 shell 连接到模拟者的机器上,模拟者收到目标系统的连接后可以执行命令或获取系统权限。 |
恶意横向移动 | 模拟黑客通过收集目标系统的信息了解目标系统的弱点和漏洞,模拟者利用iox恶意工具进行端口流量转发后控制目标系统,然后利用该目标系统的权限和功能,进一步攻击其他系统,并最终获取更多的敏感信息或控制更多的系统。 |