前言

在上一篇文章，提及「攻擊面」與「攻擊面管理」的重要性，也盤點常見的攻擊目標，包含 IP、端口、服務、域名、應用程式接口(API)、資料、Wi-Fi、物理環境、人員和第三方廠商。

攻擊面管理的精隨：最小化權限原則─只有在需要的情況下才啟用功能，如果可以希望可以進行施存取控制策略和應用程式隔離。

針對外部的 IP、端口、服務、域名，有一個專有名詞是外部攻擊面的管理 external attack surface management (EASM)。

HackerOne 一間資安公司，有漏洞賞金 Bug Bounty 的平台，HackerOne 有一系列介紹外部攻擊面的文章。

在攻擊面當中

紅隊可以模擬真實駭客進行攻擊，並且積極找到最多的攻擊面與攻擊方法，而藍隊可以選擇偵測、回應與防止這些攻擊方式。

也可以在被攻擊的過程當中，一步一步確認是否有沒有識別到這些攻擊。

在提及攻擊面與識別攻擊的演練之前，先了解藍隊定義與其對應的常用工具。

藍隊的定義

代表防禦方的角色，希望可以偵測、回應與防止攻擊，目的阻止攻擊以及對企業最小化的損傷。

使用防禦相關的設備，如入侵偵測系統 (IDS)、防火牆、
安全資訊和事件管理 (SIEM)，並持續進行監控。

包含持續監控指標和報告系統，用於追蹤和分析安全事件。

也包含資安事件相關的處理與進行。

資安事件的處理

常見的步驟如下

1. 威脅建模: 攻擊面管理、委外請人處理架構與防護措施
   • 威脅分析，識別可能的攻擊向量
2. 事前檢測: 希望未雨綢繆，以工具與策略識別和修復漏洞
   • 漏洞掃描與風險評估
   • 防火牆、入侵防護系統（IPS）、入侵偵測系統 (IDS)的建立
3. 事中監控: 事中監控能即時偵測異常，及早應對可能的威脅
   • 利用 SIEM 日常監控
4. 事後應處: 事中監控能即時偵測異常，及早應對可能的威脅
   • 發生事件之後，根據 SOP 進行通報
5. 持續改善: 更新和優化資訊安全策略
   • 定期審核發生的資安事件與政策

常見的資安風險

資安風險可以嘗試分個面向，第一種是常見資安事件，例如資安漏洞事件、勒索軟體導致的外洩事件等，第二種則是攻擊者，例如駭客、離職員工、競爭公司等，還有第三種則是攻擊向量（Attack Vector），這是指發動資安攻擊的途徑或管道，可以是成為跳板的對象、遭利用的設備或是攻擊手法，例如行動應用、社交工程、第三方業者。

掃描工具介紹與實作

演練目的

• 最小化了解每一個步驟的方向與內容
• 基於 Mitre ATT&CK 的流程中，選擇每個目標階段可能會使用的手法與工具。

基礎知識

掃描過程，其中駭客使用特定工具來確認系統或網路中存在的漏洞和開放的 IP、服務、端口。

使用情境

1. 一般人：
   • 目的：網管人員可以確認網路和系統安全
     • 定期或在設定新系統時使用
     • 個人或企業的網路環境中使用
     • 識別並修復漏洞可以提高安全性
2. 駭客：
   • 找到可以利用的系統漏洞來進行非法活動
     • 在收集初步的資訊和識別目標時
     • 在任何具有潛在漏洞的目標系統或網路上
     • 可能會導致資料洩漏和系統損壞

常用的掃描工具

• nmap
• RustScan

安裝方法 - nmap

1. Linux 系統中安裝 nmap：

   sudo apt update
   sudo apt install nmap
   

2. Windows 可從nmap官方網站下載和安裝。

紅軍角度

• 使用 nmap 進行主動情蒐
  • 以許多外部攻擊面會利用 nmap 這個攻擊來進行目標系統或網段有哪一些機器以及服務。
  • nmap 也可用來進行漏洞的掃描，需要使用 NSE

使用步驟 - nmap

1. 透過指令界面開啟 nmap
2. 使用參數來執行掃描，例如：

   nmap -sP 192.168.1.0/24
   

3. 分析 nmap 產生的報告，來了解目標機器開起端口和可能的漏洞。

• 關於 nmap 的攻擊方法可參考我曾經於鐵人賽寫過的內容
  • 查詢服務是否存在，其中 ping 又分成許多細節
    • 
  • 特定的掃描類型
    • 
  • 指定掃描選項如 port
    • 
  • 服務版本掃描
    • 
  • 其他文章
    • https://ithelp.ithome.com.tw/m/articles/10270754
    • https://ithelp.ithome.com.tw/m/articles/10272143

藍軍角度

這次使用 scanlogd 針對 port 掃描進行偵測

scanlogd

1. 一個用來偵測 Port 掃描的工具
2. 主要作為應急方案，因為工具沒有其他內容完整

設定方法 scanlogd 與 rsyslog

1. 在 Linux 系統中安裝 scanlogd 與 rsyslog

sudo apt update
sudo apt install scanlogd
sudo apt install rsyslog

2. 啟動 scanlogd 服務：

sudo systemctl start scanlogd

3. 確認是否開啟

sudo systemctl status scanlogd

實作

1. 先確認攻擊機器 Kali 與 目標機器 Ubuntu

   • 安裝這些機器都可以參考我之前的文章
   • 安裝 Kali/Parrot OS
   • 安裝 Ubuntu

2. Kali 已經有內建 nmap 而 Ubuntu 需要安裝
   sudo apt install scanlogd
sudo apt install rsyslog

3. 進行 nmap 掃描與查看日誌
   cat /var/log/syslog
   

驗證安全機制

• 確認日誌內容
  • /var/log/syslog
  • 或 /var/log/messages
  • 來確認它是否正確識別和記錄掃描

蒐集 log

• TCP 封包試圖連線的內容
• 非法封包或非法請求
• 其他的異常網路活動

判別特徵

• 連續發送封包的時間太近
• 相同來源的 IP 且大量的請求
• 顯示不正常或可疑的 TCP 流量

小結

本次利用 nmap 與 scanlogd 的掃描與識別掃描的工具進行實務操作與分析，讓讀者可以了解兩個工具在攻擊與防護中應該怎麼識別。

下一篇文章將帶領大家了解藍隊常用的工具。

參考資料

• HackerOne EASM
• Day9 主動情蒐-nmap(1)
• Day10 主動情蒐-nmap(2)