freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

技战法模板之运营人员视角下的ORB的网络"风险"
2024-07-21 16:54:15

0X00 前言

笔者在HVV前期,苦逼的准备"技战法"的时候,突然国外某大厂的安全运营中心的一篇博客进入了我的视野,“ORB 网络”(操作中继盒网络)成为在进行APT活动的新宠儿,这篇文章成功的引起了我的注意和兴趣(大家可以参考一下,利用我这篇文章形成一篇不错的技战法)。

那什么是ORB网络呢?

答:ORB网络类似于僵尸网络,由虚拟专用服务器 (VPS) 以及受感染的物联网 (IoT) 设备、智能设备和路由器组成,这些设备通常已停产或不受制造商支持。

为啥会选择ORB网络进行攻击呢?

答:APT组织通过构建受感染设备的ORB网络,可以有效的遮蔽自己的行踪,与此同时能够很轻松的构建出大规模的"僵尸网络",以此来很好的隐藏APT组织的恶意行为。 通过使用这些网状网络(物联网、智能化设备、肉鸡......)开展APT活动,APT组织可以非常有效的掩盖命令和控制 (C2) 基础设施与目标环境(例如:通过零日漏洞利用的易受攻击的边缘设备...)之间的外部流量。

0X01 ORB网络的攻击

早在ORB网络流行的前期,互联网上的安全攻防也在一直持续进行;早期由于处于互联网发展的发展阶段,用户数量和网站飞速发展,必将导致安全问题被隐藏。这段时期的网络安全建设处于起步阶段,就导致了大部分黑客可以利用0day甚至于Nday漏洞,批量获取网站的权限,并以此为跳板针对其他高价值目标进行攻击,从而达到隐藏自己真实信息的目的。

但是,随着人们的安全意识越来越强,国家也陆续发布了《网络安全法》与《个人信息保护法》,等保建设也开始步入正轨。攻击者口中的"肉鸡"也逐渐变少,这个时候万物互联的IOT,就被攻击者利用,当作跳板机对其感兴趣的高价值目标进行攻击。正如当年一样。IOT设备凭借着巨大的数量,和相较于传统WEB网站更容易入侵(例如:弱口令、未授权访问......)这两个优势形成的ORB网络,给网络安全的防御机制带来了不小的麻烦。ORB网络的构建是将匿名的VPS节点与IOT设备当中的恶意软件结合,有效的增加了受感染网络内中继流量的设备数量。

通过上述方法,攻击者利用ORB网络有效的降低了攻击成本,并以此逃避威胁情报的检测。ORB网络创建网络接口,管理受感染节点网络,并将这些网络的访问权限交由攻击者使用,攻击者会使用ORB网络进行对攻击目标进行探测和扫描。具体的ORB网络的通用结构如下所示:

对手控制操作服务器:攻击者通过控制改服务器,用于管理ORB网络内的节点。

中继节点:节点允许ORB网络用户进行身份验证,并通

# 攻防演练 # 安全运营 # 网络空间测绘 # 网络空间安全 # 攻击面管理
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录