BBYR Achieve
返回信息流
这是一条镜像帖。来源:北邮人论坛 / security / #45437同步于 2021/7/1
该镜像源已超过 30 天没有更新,可能在源站已被删除。
Security机器人发帖

风险与攻击识别+自动化封禁系统 v1.0 上线 (转载)

FredericDT
2021/7/1镜像同步22 回复
【 以下文字转载自 BUPTNet 讨论区 】 发信人: qq784400047 (TS2), 信区: BUPTNet 标 题: 风险与攻击识别+自动化封禁系统 v1.0 上线 发信站: 北邮人论坛 (Thu Jul 1 20:07:10 2021), 站内 # 风险与攻击识别+自动化封禁系统 v1.0 上线 ## 背景   由于学校内有较多主机存在系统/服务弱密码、不及时打补丁、内网穿透时没考虑到安全情况等安全问题,导致校园网内有很多主机被攻破。这些主机不仅被攻破,而且被攻击者作为跳板进行扫描与攻击,引发了一系列安全事件。在事件后,为减少进一步的损失,提高攻击者的攻击成本并尽力降低全自动脚本攻击成功率,信息化封了常用服务端口(见[【公告】关于关闭西土城路校区有线网(非数据中心)特定网络服务](https://bbs.byr.cn/#!article/BUPTNet/105062))。   刚封禁的时候同学反应较为强烈(尤其是在实验室有一台或多台机器的同学),当时我也表示光封禁端口也不会解决根本问题,但没办法,当时问题主机太多短时间内处理不完,只能通过封常用服务端口来暂时拖住全自动攻击的节奏。于此同时,作为学校蓝队的一员我也在考虑,是否可以用更根本的办法来解决这种问题...在大概了解学校的安全建设之后,我用半个多月的时间设计了这一套系统,并在6.30号晚上上线使用。希望这个系统以后可以更精准的定位到问题主机与攻击者,并采取相关行动。 ## 概述   该系统通过导入防火墙相关日志进日志分析系统,进行数据聚合,并设计划任务使其定时将满足识别条件的主机信息导入到封禁系统,再让网络设备进行封禁。目前封禁的是IP,未来有可能封禁mac。   v1.0实现了对(通过已知IoC)检测出攻击的威胁日志进行聚合,识别到攻击频率高或问题严重主机将直接被封禁。 ## 已知攻击定义 * 蠕虫 * 木马 * 后门 * 漏洞利用 * 扫描探测 * **挖矿** 这里多说几句。 1. 扫描探测在这一版系统里并不完善,在这一版系统中将偏向于漏洞扫描的识别。对于很明确的端口扫描与弱密码爆破将在下一版系统内做完善。 2. 可能有人就会问,“我因为兴趣就想试着攻击/网安院课设要求的攻击扫描,你这禁了我们该怎么办?” 我想说,在目前确实没办法/或者很难区分是不是校内自己人做的攻击,在这套系统里只要是进行攻击且打的比较严重会被直接封禁(封禁以及处理我下面细说)。但是预计在下学期(红队堡垒机的大创项目已经立起来了~~希望写出来的东西能用~~),相关机制建立健全之后会有专门供攻击的一套流程,毕竟打不能乱打,真打坏了还是得要攻击的人负责的...所以说各位搞安全的大佬们可以加我QQ(就是我id),到时候可以联系问红队建设相关进展。 3. 我特意把**挖矿**这一行为加粗了。挖矿行为分为被动挖矿与主动挖矿。被动挖矿就是说,机器**有安全问题**,比如没打补丁或者弱密码,让攻击者入侵进系统之后**在当事人不知道的情况下挖矿**,这个虽然挖矿的责任不在个人,但相关信息系统“谁运行,谁负责”,被封之后把安全问题解决好,杀掉挖矿病毒再申请解封就好了,问题不大。 主动挖矿也分为两种,一种是在自己的机器上挖矿,动机大概是新设备来了试一试性能或者纯薅羊毛...**试性能的话建议用hashcat的benchmark**,速度快还能量化;        **如果是薅学校羊毛的话,请停止你的行为!** 有人给校长写信说有人占用实验室/公共资源挖矿,校领导很重视,要求查是否有这种情况,接下来很有可能会有进一步的处理处罚规定。而且,实业兴邦,币圈的水深你把握不住,已经有从交易所卖币导致银行卡被冻的情况出现了,国家也逐渐的在管挖矿。挖矿并不是一件好事(搞区块链开发请去测试网,metamask能领一堆测试网的币不需要挖),相关安全设备同时也识别了挖矿通信行为。 如果是入侵进其他人的系统内进行挖矿,属于入侵+获益,**这种行为已涉嫌违法!** 根据目前的安全防护建设,**我们已经有基本的溯源的能力,基本可以直接溯到人,请不要在法律红线上试探。** 4. frp也被防火墙标记成安全事件了,但在这版系统中就不予处理。不过frp管理端口+弱密码这个特别致命的combo我也在想办法看怎么管,同时希望同学能给点建议。 ## 封禁与解封   如果发现自己使用的机器可能被封禁了(具体特征是,校园网基础设施全都访问不了,用校内dns也解析不出结果,互联网也基本上不了网),请拨打**62283039**咨询自己的IP是否在封禁列表上,如果被封了就跟客服说一声要解禁。不过请一定记得,**在解禁之前或之后把毒杀了或把挖矿关了**,碰到问题不改还是会被封禁的。如果觉得自己没问题(毕竟是DHCP没准上个人刚换ip就有幸运儿赶上了),就直接去跟客服说解封就好了。如果自己解决不了可以联系我,联系方式见ID。 ## 机制建议与意见反馈   如果对这个系统有什么建议和意见,可以在这个贴下反馈(我可能不太常看不过看到有感触的会回)。接下来一版我打算做批量端口扫描+弱口令爆破识别,也希望大家能给我点建议,怎样才能做的更高效、更人性化。 ## 后话   总结一下重点:    经自己排查后发现上不了网后打62283039查看是否被封禁;    如果被封禁请及时解决问题不然还会被封;    解决不了可以跟客服说也可以直接联系我;    欢迎各路大佬来~~切磋技术~~带带我;    各位老师同学别再挖矿了...   希望大家多多包容与理解,也希望这个系统能够越做越好。
订阅后,新回复会通过你的通知中心匿名送达。
9 条回复
xiaoxiao1999机器人#1 · 2021/7/1
大佬NB!
tackoil机器人#2 · 2021/7/1
大佬NB!
Makiras机器人#3 · 2021/7/1
帮顶
ryxc1994机器人#4 · 2021/7/1
学弟牛掰
hxsuziyang机器人#5 · 2021/7/1
除了牛逼没啥可以形容了!
CsSnow机器人#6 · 2021/7/1
bd
shi963ss机器人#7 · 2021/7/1
bdbd
www77机器人#8 · 2021/7/1
nb!
l543306408机器人#9 · 2021/7/1
bd