点击云纷科技关注我们
定义与手法
01
对手可以嗅探网络流量,以捕获相关环境信息,包括通过网络传递的身份验证材料。网络嗅探是指使用系统上的网络接口来监视或捕获通过有线或无线连接发送的信息。对手可以将网络接口置于混杂模式,以被动地访问通过网络传输的数据,或使用跨端口捕获更多数据。
通过这种技术捕获的数据可能包括用户凭证,特别是那些通过不安全的、未加密的协议发送的。名称解析服务的技术,如LLMNR/NBT-NS Poisoning和SMB Relay,还可以通过将流量重定向到对手来捕获到网站、代理和内部系统的凭证。
网络嗅探还可以显示配置细节,如运行服务、版本号和其他网络特征(如IP地址、主机名、VLAN id),这些都是后续横向移动和/或防御规避活动所必需的。
程序示例
02
完整列表请戳“阅读原文”
缓解措施
03
|
名称 |
描述 |
|
敏感信 息加密 |
确保所有有线、无线通讯都适当加密。使用Kerberos等身份验证协议的最佳实践,并确保可能包含凭证的web流量受到SSL/TLS的保护 |
|
多因素 身份验证 |
尽可能使用多因素身份验证 |
检测方法
04
检测导致嗅探网络流量的事件可能是最好的方法。从主机层面来看,对手可能需要对有线网络上的其他设备执行中间对手攻击,以捕获不是来自当前被破坏系统的流量。监视ARP欺骗和免费ARP广播。检测被破坏的网络设备可能有点困难,需要审计管理员登录、配置更改和设备映像来检测恶意更改。
**参考来源:ATT&CK,胖头鱼编译,欢迎转载,转载请注明出处,非常感谢~~
关于我们
云纷科技自成立以来,将“安全运营中心(SOC)”分层分解,以更灵活的模块化方式交付“下一代安全运营服务”;高效整合人、技术和流程,基于云原生的分析平台InsightX,为不同的企业客户提供符合现状和中远期发展的安全运营能力。同时,以十年安全管理经验为依托,我们的安全托管服务(MSS)可以为企业提供7×24小时全天候安全保障,全面提高企业安全抵御能力,为抵抗威胁建立可靠屏障。
云纷希望在为客户建立运营体系的同时,结合自身对于安全的理解和知识,协同利用开发能力、开发并调用各类自动以及半自动化工具,为客户提供最切合实际的安全运营服务,最终帮助用户清晰定位威胁、降低风险,提高整体安全水平。
往期推荐
|
|||
|
|||
|
云纷(上海)信息科技有限公司
专注于安全运营与管理
长按二维码关注我们
点击右下角,让我知道你在看哟~
Share this content:
Comments are closed