本發(fā)明涉及安全有效性驗(yàn)證，具體涉及一種端點(diǎn)設(shè)備的安全防護(hù)有效性驗(yàn)證系統(tǒng)及方法。

背景技術(shù)：

1、在當(dāng)今網(wǎng)絡(luò)安全的攻防演練場景中，cobaltstrike、metasploit、sliver作為廣泛應(yīng)用于遠(yuǎn)程命令控制的工具，占據(jù)著重要地位。從大的技術(shù)背景來看，隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，各類網(wǎng)絡(luò)攻擊手段日益復(fù)雜多樣，攻擊與防御的對抗愈發(fā)激烈。在這樣的環(huán)境下，端點(diǎn)安全設(shè)備（端點(diǎn)安全設(shè)備包括筆記本電腦、臺式機(jī)、智能手機(jī)、平板電腦等）對于防范各類惡意軟件和攻擊行為的作用愈發(fā)關(guān)鍵，而對如這類主流攻擊工具的檢測與防御則成為了保障網(wǎng)絡(luò)安全的關(guān)鍵環(huán)節(jié)之一。

2、cobaltstrike、metasploit、sliver?憑借其支持生成多種攻擊載荷類型的特性，成為眾多攻擊隊(duì)在攻防演練中的首選工具之一。攻擊者常常運(yùn)用各種先進(jìn)技術(shù)，如繞過靜態(tài)查殺以及行為繞過技術(shù)，使得其所使用的木馬能夠躲避常規(guī)的安全檢測機(jī)制，這無疑增加了防御的難度和復(fù)雜性。在實(shí)際的攻防演練過程中，為了有效驗(yàn)證端點(diǎn)安全設(shè)備是否能夠在木馬落盤、執(zhí)行到上線的各個(gè)關(guān)鍵環(huán)節(jié)中發(fā)揮有效的防御作用，安全研究人員需要盡可能真實(shí)地模擬木馬的執(zhí)行過程，以此來精準(zhǔn)定位端點(diǎn)安全設(shè)備的防御動(dòng)作節(jié)點(diǎn)，進(jìn)而優(yōu)化和提升整體的防御策略。

3、端點(diǎn)安全視角，防御木馬攻擊通常要依據(jù)靜態(tài)查殺與動(dòng)態(tài)檢測防御，而靜態(tài)查殺一般在木馬程序落盤階段，對文件特征進(jìn)行掃描、特征識別，而動(dòng)態(tài)檢測防御是在木馬程序執(zhí)行起來之后，檢測進(jìn)程的內(nèi)存信息。

4、若要驗(yàn)證端點(diǎn)安全靜態(tài)與動(dòng)態(tài)防御的有效性，需要完成木馬落盤、木馬上線的整個(gè)過程，然而這類遠(yuǎn)程命令控制工具本身的技術(shù)架構(gòu)和操作模式卻給驗(yàn)證工作帶來了極大的挑戰(zhàn)。例如cobaltstrike是基于跨平臺的java?語言編寫的圖形化攻擊平臺，這意味著在進(jìn)行驗(yàn)證操作時(shí)，需要首先啟動(dòng)服務(wù)端，并與客戶端建立連接后，才能夠通過圖形界面來完成一系列的驗(yàn)證動(dòng)作。這種操作方式高度依賴人工手動(dòng)操作，不僅流程繁瑣復(fù)雜，而且實(shí)現(xiàn)自動(dòng)化的難度極大、成本極高，嚴(yán)重限制了驗(yàn)證工作的效率和準(zhǔn)確性，無法滿足當(dāng)今端點(diǎn)安全攻防對抗中對于高效、精準(zhǔn)驗(yàn)證的迫切需求。

5、綜上所述，在當(dāng)前的技術(shù)背景下，需要一種高效、低成本全新的模擬技術(shù)，能夠突破現(xiàn)有技術(shù)的局限，實(shí)現(xiàn)對木馬生成、落盤驗(yàn)證、執(zhí)行驗(yàn)證以及上線驗(yàn)證等關(guān)鍵環(huán)節(jié)的自動(dòng)化操作，從而提升端點(diǎn)安全設(shè)備驗(yàn)證工作的效率和效果，為網(wǎng)絡(luò)安全防御提供更為有力的支持和保障。

6、由于cobaltstrike、sliver、metasploit等c2攻擊平臺無法直接進(jìn)行自動(dòng)化完成服務(wù)端監(jiān)聽、木馬生成、投遞等操作，需按照命令輸入手動(dòng)完成，甚至還要打開圖形界面操作，人工比對端點(diǎn)設(shè)備的檢測和攔截情況，操作繁瑣、驗(yàn)證效率低下。

7、為了便于理解本技術(shù)的技術(shù)方案，將相關(guān)技術(shù)術(shù)語解釋如下：

8、1、cobaltstrike，cobalt?strike?一款以metasploit為基礎(chǔ)的gui框架式滲透測試工具，集成了端口轉(zhuǎn)發(fā)、服務(wù)掃描，自動(dòng)化溢出，多模式端口監(jiān)聽，exe、powershell木馬生成等。cobalt?strike?分為客戶端和服務(wù)端，可分布式操作、協(xié)同作戰(zhàn)。釣魚攻擊包括：站點(diǎn)克隆，目標(biāo)信息獲取，java執(zhí)行，瀏覽器自動(dòng)攻擊等。

9、cobalt?strike?主要用于團(tuán)隊(duì)作戰(zhàn)，可謂是團(tuán)隊(duì)滲透神器，能讓多個(gè)攻擊者同時(shí)連接到團(tuán)體服務(wù)器上，共享攻擊資源與目標(biāo)信息和sessions。

10、cobalt?strike?作為一款協(xié)同apt工具（advanced?persistent?threat，apt，高級持續(xù)性威脅，是一種復(fù)雜的、持續(xù)的網(wǎng)絡(luò)攻擊），針對內(nèi)網(wǎng)的滲透測試和作為apt的控制終端功能，使其變成眾多apt組織的首選。

11、2、metasploit，metasploit是一款開源的安全漏洞檢測工具，同時(shí)metasploit是免費(fèi)的工具，因此安全工作人員常用metasplot工具來檢測系統(tǒng)的安全性。metasploiframework?msf)在2003年以開放源碼方式發(fā)布，是可以自由獲取的開發(fā)框架。它是一個(gè)強(qiáng)大的開源平臺，供開發(fā)，測試和使用惡意代碼，這個(gè)環(huán)境為滲透測試、shelcode編寫和漏洞研究提供了一個(gè)可靠平臺。

12、這種可以擴(kuò)展的模型將負(fù)載控制(payload)、編碼器(encode)、無操作生成器(nops)和漏洞整合在一起，使metasploit?framework成為一種研究高危漏洞的途徑。它集成了各平臺上常見的溢出漏洞和流行的shellcode,并且不斷更新。目前的版本收集了數(shù)百個(gè)實(shí)用的溢出攻擊程序及一些輔助工具，讓人們使用簡單的方法完成安全漏洞檢則。

13、3、sliver，在過去的幾年里，cobalt?strike被各類攻擊者濫用（包括勒索軟件操作），攻擊者利用它在被攻擊的網(wǎng)絡(luò)上投放?"信標(biāo)"，橫向移動(dòng)到高價(jià)值系統(tǒng)。但防守方已經(jīng)掌握檢測和阻止cobalt?strike攻擊的方法，攻擊者轉(zhuǎn)向嘗試其他可以逃避端點(diǎn)檢測和響應(yīng)（edr）和防病毒解決方案的工具。

14、4、在攻擊者使用的眾多策略中，最陰險(xiǎn)的策略之一是命令和控制服務(wù)器（c2）。這些服務(wù)器充當(dāng)計(jì)算機(jī)黑客行動(dòng)的大腦，協(xié)調(diào)受感染設(shè)備的操作并允許攻擊者隨意操縱它們。在網(wǎng)絡(luò)安全領(lǐng)域，充分了解?c2?的工作原理對于有效防御日益普遍和復(fù)雜的數(shù)字威脅至關(guān)重要。

15、命令和控制?(c2)?服務(wù)器是黑客和網(wǎng)絡(luò)犯罪活動(dòng)的基本支柱。這些服務(wù)器構(gòu)成了龐大的受感染設(shè)備網(wǎng)絡(luò)的神經(jīng)中樞，使攻擊者能夠在不引起懷疑的情況下對這些系統(tǒng)進(jìn)行遠(yuǎn)程控制。c2?服務(wù)器概念基于命令和控制模型，攻擊者扮演指揮官的角色，而受感染的設(shè)備則充當(dāng)實(shí)現(xiàn)攻擊者惡意目標(biāo)的棋子。c2?服務(wù)器充當(dāng)攻擊者和受感染設(shè)備之間的橋梁，促進(jìn)相關(guān)各方之間的雙向通信以及指令和數(shù)據(jù)的傳輸。這些服務(wù)器被設(shè)計(jì)為謹(jǐn)慎并隱藏在網(wǎng)絡(luò)中，通常偽裝成常規(guī)服務(wù)器或合法設(shè)備以逃避網(wǎng)絡(luò)安全系統(tǒng)的檢測。對?c2?服務(wù)器的訪問為攻擊者提供了廣泛的能力，使他們能夠相對輕松地進(jìn)行惡意軟件傳播甚至ddos攻擊。

16、命令和控制服務(wù)器架構(gòu)經(jīng)過精心設(shè)計(jì)，可確保攻擊者與受感染設(shè)備之間的順暢、安全通信。這些服務(wù)器通常以分層方式構(gòu)建，對惡意操作者具有不同級別的訪問和控制。層次結(jié)構(gòu)的頂部是主服務(wù)器，它充當(dāng)管理和協(xié)調(diào)黑客操作的中心樞紐。該服務(wù)器負(fù)責(zé)接收和處理攻擊者發(fā)送的指令并向受感染的設(shè)備發(fā)送命令。

17、在主服務(wù)器下方，可能有許多衛(wèi)星服務(wù)器或命令節(jié)點(diǎn)，分布在不同的地理位置，以提高系統(tǒng)的彈性和可用性。這些輔助節(jié)點(diǎn)充當(dāng)受感染設(shè)備的本地接觸點(diǎn)，減少延遲并提高通信效率。每個(gè)命令節(jié)點(diǎn)可以專門從事某些功能或操作，允許攻擊者劃分工作負(fù)載并保持控制網(wǎng)絡(luò)的靈活性。

18、c2?服務(wù)器的運(yùn)行基于安全和加密的通信協(xié)議，保證了攻擊者和受感染設(shè)備之間交換信息的機(jī)密性和完整性。攻擊者經(jīng)常使用隱形和偽裝技術(shù)來偽裝?c2?服務(wù)器活動(dòng)并逃避網(wǎng)絡(luò)安全系統(tǒng)的檢測。這可能包括使用加密連接、動(dòng)態(tài)更改?ip?地址和輪換域，使調(diào)查人員更難以跟蹤攻擊者的活動(dòng)并識別其攻擊源。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明的目的在于克服上述技術(shù)不足，提供一種端點(diǎn)設(shè)備的安全防護(hù)有效性驗(yàn)證系統(tǒng)及方法，以解決相關(guān)技術(shù)中由于cobaltstrike、sliver、metasploit等c2攻擊平臺無法直接進(jìn)行自動(dòng)化完成服務(wù)端監(jiān)聽、木馬生成、投遞等操作，需按照命令輸入手動(dòng)完成，甚至還要打開圖形界面操作，人工比對端點(diǎn)設(shè)備的檢測和攔截情況，操作繁瑣、驗(yàn)證效率低下的問題。

2、為達(dá)到上述技術(shù)目的，本發(fā)明采取了以下技術(shù)方案：

3、根據(jù)本發(fā)明的第一方面，提供了一種端點(diǎn)設(shè)備的安全防護(hù)有效性驗(yàn)證系統(tǒng)，包括：命令和控制服務(wù)器，及至少一臺端點(diǎn)設(shè)備，其中，

4、所述命令和控制服務(wù)器用于通過預(yù)置的腳本文件，控制內(nèi)置的遠(yuǎn)程命令控制工具生成木馬樣本，并投放到目標(biāo)端點(diǎn)設(shè)備上；還用于在判定木馬樣本投遞成功后，向目標(biāo)端點(diǎn)設(shè)備發(fā)送木馬樣本執(zhí)行指令；

5、所述目標(biāo)端點(diǎn)設(shè)備用于根據(jù)所述木馬樣本執(zhí)行指令執(zhí)行投遞到本機(jī)上的木馬樣本，并在木馬樣本運(yùn)行后，回連所述命令和控制服務(wù)器，向所述命令和控制服務(wù)器發(fā)送自身的設(shè)備信息，完成木馬樣本上線；

6、所述命令和控制服務(wù)器還用于根據(jù)木馬樣本投遞和木馬樣本上線情況，驗(yàn)證目標(biāo)端點(diǎn)設(shè)備的安全防護(hù)有效性。

7、優(yōu)選地，所述命令和控制服務(wù)器，通過用戶預(yù)先配置的ip地址和端口與目標(biāo)端點(diǎn)設(shè)備建立通信連接，并監(jiān)聽目標(biāo)端點(diǎn)設(shè)備回傳的設(shè)備信息。

8、優(yōu)選地，所述遠(yuǎn)程命令控制工具至少包括：

9、cobaltstrike、metasploit、sliver中的一種或多種的組合。

10、根據(jù)本發(fā)明的第二方面，提供了一種端點(diǎn)設(shè)備的安全防護(hù)有效性驗(yàn)證方法，包括：

11、命令和控制服務(wù)器通過預(yù)置的腳本文件，控制內(nèi)置的遠(yuǎn)程命令控制工具生成木馬樣本，并投放到目標(biāo)端點(diǎn)設(shè)備上；并在判定木馬樣本投遞成功后，向目標(biāo)端點(diǎn)設(shè)備發(fā)送木馬樣本執(zhí)行指令；

12、目標(biāo)端點(diǎn)設(shè)備根據(jù)所述木馬樣本執(zhí)行指令執(zhí)行投遞到本機(jī)上的木馬樣本，并在木馬樣本運(yùn)行后，回連所述命令和控制服務(wù)器，向所述命令和控制服務(wù)器發(fā)送自身的設(shè)備信息，完成木馬樣本上線；

13、命令和控制服務(wù)器根據(jù)木馬樣本投遞和木馬樣本上線情況，驗(yàn)證目標(biāo)端點(diǎn)設(shè)備的安全防護(hù)有效性。

14、優(yōu)選地，所述命令和控制服務(wù)器通過預(yù)置的腳本文件，控制內(nèi)置的遠(yuǎn)程命令控制工具生成木馬樣本，并投放到目標(biāo)端點(diǎn)設(shè)備上，包括：

15、腳本文件接收用戶輸入的驗(yàn)證參數(shù)和配置信息；

16、腳本文件根據(jù)所述驗(yàn)證參數(shù)和配置信息，控制內(nèi)置的遠(yuǎn)程命令控制工具生成相應(yīng)的木馬樣本，并將木馬樣本寫入目標(biāo)端點(diǎn)設(shè)備的系統(tǒng)磁盤目錄中，完成木馬樣本的投遞；

17、其中，所述驗(yàn)證參數(shù)至少包括：用戶權(quán)限；

18、所述配置信息至少包括：目標(biāo)端點(diǎn)設(shè)備的ip地址、投遞木馬的目錄路徑、準(zhǔn)備投遞的木馬類型。

19、優(yōu)選地，所述方法，還包括：

20、木馬樣本投遞后，腳本文件判斷木馬樣本是否投遞成功；

21、若是，比較木馬樣本投遞前后的散列值，并根據(jù)比較結(jié)果，判斷是否需要向目標(biāo)端點(diǎn)設(shè)備發(fā)送木馬樣本執(zhí)行指令；

22、若否，判定木馬樣本被目標(biāo)端點(diǎn)設(shè)備所查殺，木馬樣本投遞失敗，結(jié)束驗(yàn)證。

23、優(yōu)選地，所述腳本文件判斷木馬樣本是否投遞成功，具體為：

24、每隔預(yù)設(shè)時(shí)長輪詢檢測木馬樣本文件是否還存在目標(biāo)端點(diǎn)設(shè)備的系統(tǒng)磁盤目錄中，若是，判定木馬樣本投遞成功，若否，木馬樣本投遞失敗。

25、優(yōu)選地，所述根據(jù)比較結(jié)果，判斷是否需要向目標(biāo)端點(diǎn)設(shè)備發(fā)送木馬樣本執(zhí)行指令，包括：

26、若木馬樣本投遞前后的散列值相等，確定可以啟動(dòng)監(jiān)聽程序，向目標(biāo)端點(diǎn)設(shè)備發(fā)送木馬樣本執(zhí)行指令；

27、若木馬樣本投遞前后的散列值不相等，判定木馬樣本被攔截，結(jié)束驗(yàn)證。

28、優(yōu)選地，所述向目標(biāo)端點(diǎn)設(shè)備發(fā)送木馬樣本執(zhí)行指令后，還包括：

29、腳本文件通過用戶預(yù)先配置的ip地址和端口，持續(xù)接收目標(biāo)端點(diǎn)設(shè)備發(fā)送的回連信息；

30、若能持續(xù)接收到目標(biāo)端點(diǎn)設(shè)備發(fā)送的回連信息，對所述回連信息進(jìn)行解密；若解密成功，判定木馬上線成功，向目標(biāo)端點(diǎn)設(shè)備發(fā)送木馬退出指令，關(guān)閉遠(yuǎn)程命令控制工具，結(jié)束驗(yàn)證；若解密失敗，判定木馬上線失敗，關(guān)閉遠(yuǎn)程命令控制工具，結(jié)束驗(yàn)證；

31、若超過預(yù)設(shè)時(shí)長未接收到目標(biāo)端點(diǎn)設(shè)備發(fā)送的回連信息，判定木馬上線失敗，關(guān)閉遠(yuǎn)程命令控制工具，結(jié)束驗(yàn)證。

32、優(yōu)選地，所述對所述回連信息進(jìn)行解密，具體為：

33、利用rsa算法對回連信息進(jìn)行解密，獲取被攻擊的端點(diǎn)設(shè)備的設(shè)備信息，所述設(shè)備信息至少包括：設(shè)備主機(jī)名、ip地址、用戶名；

34、所述向目標(biāo)端點(diǎn)設(shè)備發(fā)送木馬樣本執(zhí)行指令，具體為：

35、利用aes加密算法加密木馬樣本執(zhí)行指令后，向目標(biāo)端點(diǎn)設(shè)備發(fā)送木馬樣本執(zhí)行指令；

36、所述向目標(biāo)端點(diǎn)設(shè)備發(fā)送木馬退出指令，具體為：

37、利用aes加密算法加密木馬退出指令后，向目標(biāo)端點(diǎn)設(shè)備發(fā)送木馬退出指令。

38、本發(fā)明的實(shí)施例提供的技術(shù)方案可以包括以下有益效果：

39、命令和控制服務(wù)器通過預(yù)置的腳本文件，自動(dòng)向目標(biāo)端點(diǎn)設(shè)備投遞木馬樣本，發(fā)送木馬樣本執(zhí)行指令，完成木馬樣本上線驗(yàn)證，構(gòu)建了一個(gè)自動(dòng)化驗(yàn)證邏輯與實(shí)現(xiàn)，改變了現(xiàn)有技術(shù)人工驗(yàn)證操作繁瑣且效率低下的局面。

40、由于實(shí)現(xiàn)了全自動(dòng)化操作，無需人工全程參與各個(gè)環(huán)節(jié)，減少了人力投入。在長期的網(wǎng)絡(luò)安全驗(yàn)證工作中，不再需要專業(yè)人員花費(fèi)大量時(shí)間進(jìn)行重復(fù)性的手動(dòng)操作，降低了人力成本。同時(shí)，自動(dòng)化系統(tǒng)的運(yùn)行相對穩(wěn)定，減少了因人為操作失誤導(dǎo)致的額外成本支出，如誤判端點(diǎn)設(shè)備防護(hù)效果而進(jìn)行的不必要的設(shè)備調(diào)整或優(yōu)化。相較于現(xiàn)有技術(shù)中人工操作繁瑣、成本高昂的狀況，有效解決了安全防護(hù)驗(yàn)證工作操作成本高的問題，為企業(yè)和機(jī)構(gòu)節(jié)省了大量的資源和資金。