红蓝对抗

编写进度

  • 红蓝对抗
    组织 多支攻击队伍各行业重点点位目标系统 进行集中攻击,检验防守方的防护能力,通过预判的规则,以积分形式确定双方的排名。
  • 攻击者(经授权的国家科研机构、安全公司/团队)

  • 防守方(系统运营单位、其他协同防护主体)

  • 裁判组(组织方、第三方权威机构)

  • 得分场景

    1. 积极配合应急组工作,根据线索能快速准确定位受害系统,能提供充分的日志记录,配合执法机关固定证据完成勘验发现木马攻击
    2. 发现漏洞攻击,记录完整的攻击路径,并需触发响应的应急处置流程
    3. 处置Webshell木马或主机木马程序,并需触发响应的应急处置流程
    4. 处置主机异常新增账户,处置被爆破账户密码,并需触发响应的应急处置流程
    5. 处置Web系统、FTP等异常新增账户,处置被爆破账户密码消除其他威胁
    6. 发现钓鱼攻击,快速定位钓鱼样本,并提交样本分析报告
    7. 发现社会工程攻击,上报攻击者有效个人信息(职位、姓名、电话、公司)等
    8. 发现并成功溯源攻击者,上报攻击者有效信息(IP、设备信息、个人信息)
    9. 发现并成功反制攻击者,控制攻击者主机及网络环境
  • 失分场景

    1. 被获取域控服务器权限
    2. 被获取路由器、交换机、防火墙等网络设备权限
    3. 被获取Web应用系统服务器、邮件服务器、数据库服务器等权限
    4. 被获取业务内网邮箱、FTP应用、Web应用系统、数据库远程访问、互联网VPN接入系统的账户密码
    5. 被获取Webshell权限
    6. 被获取终端计算机权限
    7. 被获取其他设备权限

** 攻击队
基本攻击思路

  1. 主要资产正面突破
    此路径系统漏洞相对较少,防护设备与安全措施相对更严密,攻击难度大且易被察觉,但由于资产重要程度较高,有所突破能有较大收益
  2. 边缘资产迂回突破
    此处防御相对薄弱,监控缺失,攻击难度较小,但若要进一步入侵核心层,往往还需要多次横向和纵向的扩展
  3. 第三方侧面入侵
    利用上下游公司、外包开发商等与企业的网络具有关联性的机构,攻击者可通过首先入侵第三方,再扩展到企业,从而达到侧面入侵的目的
  4. 以人为突破口
    瞄准安全意识薄弱的员工进行钓鱼等社工,可以广撒网,也可以精准打击运维等具有管理权限的员工
  5. 利用联网的硬件入侵
    通过联网的设备,利用网络互联、隔离不够等防护脆弱点,实现目标的迂回攻击

*** 初始信息收集
攻击者搜集关于目标组织的人员信息、组织架构、网络资产、技术框架及安全措施信息,后期这些信息将为攻击决策提供支撑。
收集信息的种类报告但不限于分支机构、关联公司、外包公司、投资公司、人员、网络、主机、域名、账户、邮箱等信息。
可进行收集信息的公开渠道:

| 天眼查 | 企查查 | 搜索引擎 | 社交网络 | ICP备案库 | 社工库 |
| Fofa | Shodan | 官网 | 主/子域名 | BGP归属 | Zoomeye |

自动化工具常用来实现对攻击目标资产的持续跟踪,并对临时增加的资产,进行蜜罐识别探测
识别资产指纹,记录攻击目标资产的更详细类型,如CMS、第三方系统、组件、中间件等,以便对应到可进行利用的漏洞
收集攻击目标所涉及核心人员的全面信息,包括线上、社工,钓鱼等

通过自动化工具结合人工操作,持续进行信息搜集和扫描查点工作,长用手段:
| 高频探测 | 口令爆破、重放攻击、爬虫扫描、信息抓取 |
|————–+—————————————-|
| 敏感文件探测 | SVN泄露、Git泄露、备份文件泄露 |
| 敏感端口探测 | 22、3306、7001、6379、8080等 |
| 敏感路径探测 | 网站后台、未授权页面 |
| 信息劫持攻击 | 中间人劫持、DNS劫持 |

*** 选择攻击方案
对基础信息进行分析后,确认出关键任务,关键系统,边缘系统,物理地址等信息,攻击成员分工领取攻击任务,
方案包括:物理入侵、钓鱼邮件、Wi-Fi入侵、边缘资产渗透、互联网边界突破

*** 初始入侵
利用搜集到的信息,自动化攻击工具、漏洞储备资源、计算资源能力,通过利用安全意识漏洞、Nday和0day进行攻击,突破到内网区域
一般会先采用自动化工具进行第一波突破,若无果,再采用遍历攻击面的方式,逐个系统人工深入挖掘漏洞。

WAF对抗/IPS对抗 –> EDR绕过/补丁绕过 –> 漏洞利用/Webshell

  • 扫描器产出漏洞深入利用
  • 利用员工账户爆破VPN系统
  • 上传Webshell进一步获取控制权
  • OA系统/邮箱/VPN人工尝试登陆
  • 尝试绕过WAF利用漏洞
  • 人工注册业务系统账号挖掘漏洞

*** 站稳脚跟
通过特定的工具,利用初始入侵得到的突破口,建立好进入内网的通道,同时做好隐蔽防止被发现,能稳定在内网立足

通过虚拟机攻击云管理平台,利用管理平台控制所有机器
通过直接从虚拟机进行逃逸,从而控制宿主机,然后利用宿主机控制其上所有虚拟机

*** 权限提升
通过内核提权、不安全服务等各类手段,将攻击者的权限进行一定的提升,甚至到最高权限,一边进一步操作

*** 内部信息收集
利用新的立足点,进行内网的信息收集,包括内网的网络结构,脆弱服务,用户账户密码等,为下一步行动做准备

*** 横向移动
结合之前搜集的信息,在通过特定漏洞和工具进行横向移动,扩展到新的位置。
定向攻击核心目标,通过内网横向渗透,获取到更多的服务器控制权,更多的管理员信息,更多人的密码。
如DevOps发布系统,Jenkins/Git/SVN代码仓库、堡垒机、跳板机、开发运维、开发环境权限

*** 权限维持
扩展到新位置后,利用工具稳定攻击者权限,使能够立足在内网新位置

*** 完成目标
通过不断的权限提升-内部信息收集-横向移动-维持权限这个循环,逐步靠近目标,最终完成目标

** 防守队

P2DR模型:是机遇策略的模型

  • Policy: 策略是模型的核心,所有的防护、检测和响应都是依据安全策略实施的

  • Protection: 防护是根据系统可能出现的安全问题而采取的预防措施。采用的防护技术包括数据加密、身份认证、访问控制、授权和VPN技术、防火墙、安全扫描和数据备份等

  • Detection: 当攻击者穿越防护系统时,检测功能就发挥作用,与防护系统形成互补,检测是动态响应的依据

  • Response: 系统一旦检测到入侵,响应系统就开始工作,进行事件处理。

  • 重点: 预防
    尽可能全面理清攻击面、清理外网泄露的敏感信息,同时对资产进行相关的测试及加固

  • 基础:检测与监测
    明晰内外部资产状态,通过各类检测、监测的安全设备实时发现攻击痕迹,快速定位,为后续响应及溯源提供信息和证据

  • 狙击手段:响应
    建立完善的应急响应流程,
    快速判断及处理未成功攻击,极致运用自动化体系减少防守人员的精力消耗
    准备常见应急方案,快速联动处理突发情况,做到快速发现、定位分析、响应处置

  • 得分手段:溯源
    利用技术手段还原攻击者攻击首发,定位身份
    通过攻击中暴漏的IP/域名或其他信息,结合威胁情报及相关渠道还原其画像,追溯到真人
    通过部署内外网蜜罐等手段,主动诱捕在进行信息搜集/打算入侵的攻击者

*** 常态化资产安全管理

  1. 互联网资产测绘与检测
    对互联网资产暴露面、互联网敏感信息泄露、互联网暴露的高危漏洞、端口和弱口令进行全面检测,并提供应急响应漏洞通告,帮助企业全面梳理互联网资产暴露风险

  2. 借助资产管理功能的安全产品
    资产安全管理平台、主机安全管理平台

  3. 人工盘点、跟踪、核查与确认
    梳理防火墙配置、回收老旧资产、登记新上资产
    对主要供应链进行梳理如VPN品牌、OA/邮件供应商、系统框架组件

  4. 效果:
    发现异常IP告警:5mins内,定位到该IP对应的资产在网络位置及物理位置,并可在技术上完成资产封堵
    新爆发0day: 5mins内排查影响,定位受影响的资产并实施封堵

重大保障期间:加强对互联网暴露资产进行周期性安全巡检:
;| 检查项 | 内容 |
|————————+————————————————————————————|
| 互联网暴露面资产巡检 | 建立完整的互联网暴露面资产地图,包括外网全量自域名、外网全量端口指纹、外网Web指纹 |
| 互联网敏感信息监控 | 定期扫描企业在Github、码云、百度文库等高风险暴露渠道的信息泄露风险 |
| 高危端口弱口令周期扫描 | 基于企业特点定制化弱口令集,对高危端口(SSH、MySQL、RDP、MSSQL等)进行周期弱口令探测 |
| 常见高危漏洞周期扫描 | 对常见高危漏洞进行周期扫描 |
| 应急漏洞响应通告 | 结合企业暴露面资产指纹,获取互联网新增高危应急漏洞、云上捕获等情报 |

  • 防守工作最佳实战指南

** 全面检测
*** 网络架构分析
主要针对企业网络拓扑结构、安全域划分、网络访问控制规则、网络攻击路径进行调研和分析存在的网络安全问题,明确网络安全现状、为后期测试、防护加固提供方向

| 任务 | 工作内容 |
|——————+——————————————————————————————————————|
| 网络拓扑结构 | 通过访谈调研与工具探测,分析服务器、安全设备、网络设备、IP地址之前的关系,绘制网络拓扑 |
| 安全域划分 | 根据企业拓扑结构及人员访谈,明确安全域的名称及作用、访问控制策略、安全管理措施 |
| 网络访问控制规则 | 明确域间及域内访问控制关系,梳理防火墙ACL列表及NAT列表| |
| 网络攻击路径分析 | 基于实战经验梳理常见网络攻击路径,梳理内、外网易受攻击资产,互联网纵向攻击、内部网络横向攻击、集权类系统风险评估 |
| 入侵防护分析 | 根据网络拓扑及攻击面,梳理入侵防护现状、安全措施、安全设备覆盖度 |

*** 资产梳理
开展资产梳理工作最好从

  • 调研[fn::人工进行访谈、调研、不间断判断、跟踪、核查与确认,确保防火墙配置、回收老旧资产、登记新资产等信息]
  • 工具检索[fn:: 使用网络扫描等手段进行资产测绘]

| 任务 | 工作内容 |
|——+————————————————————————————————————————–|
| 区域 | 互联网区、办公区、生产区、开发测试区、大数据区、外联区 |
| 范围 | 业务系统、应用系统、办公系统、数据库、中间件、服务器、存储设备、网络设备、安全设备、网络拓扑结构 |
| 纬度 | IP、域名、开放端口、服务、编号、用途、版本、型号、数据、操作系统、使用状态、账户、弱口令、通信方式、资产负责人、联系方式 |

未知资产: 企业内未确认归属、违规对互联网开放的资产,包括:

  • 公网IP地址
  • 端口服务
  • Web应用
  • 管理后台等

*** 安全意识培训

| 层面 | 内容 |
|————+————————————————————–|
| 政策背景 | 攻防演练活动国家、行业政策、验证体系介绍、攻防演练活动发展史 |
| 行业事件 | 行业内发生的安全事件解读、安全事件总结与防范措施建议 |
| 演练必要性 | 安全威胁演变趋势及影响,攻防演练行动解决的问题及收益 |

*** 基线评估

  • 内网基线评估 :内网基线配置检查、漏洞扫描以内网基线扫描和应用及系统升级为主
  • 外网基线评估 :外网基线配置检查、漏洞扫描以Web安全基线,和Web漏洞为主

*** 渗透测试

  1. 内网渗透测试 : 针对靶标系统、业务系统、域控、集中管控平台进行渗透测试
  2. 外网渗透测试 : 针对所有暴露于互联网的应用和主机进行渗透测试
  • Web服务安全检测:
    对支持Web业务稳定运行的服务进行安全检测,包括常见系统服务、常见容器组件、业务框架、业务相关支撑系统,
    如SSH、RDP、FTP、数据库等服务,Weblogic、Tomcat、Jboss、Websphere容器、Structs2、Spring、ThinkPHP框架,
    常见的检测项如弱口令检测、安全性配置测试、系统/服务版本检测、后门检测与排查

  • Web应用安全检测:
    对被测业务功能进行安全检测,包括SQL注入、代码注入、XSS、CSRF、SSRF、XXE、越权、逻辑漏洞、文件包含、文件上传、任意文件读取、验证码安全等

*** 客户端检测
通过逆向分析对APP和PC端自身安全性进行测试,包括对客户端本地存储安全、加密算法安全、加密协议安全、接口安全性等

** 专项评估
*** 弱口令专项评估
| 评估方法 | 评估范围 | 评估内容 | 解决问题 |
|——————–+————————————————————————-+————————————+——————————————————|
| 手动猜测、工具扫描 | 互联网区、办公区、DMZ区、针对员工OA邮箱等系统、运维人员管理口令及服务器 | 是否存在弱口令、多设备使用同一口令 | 弱口令检测以低成本方式结局最易产生严重危害的安全问题 |

*** 敏感信息专项评估
| 评估方法 | 评估内容 | 解决问题 |
|————————————————+——————————————————————————————————-+————————————–|
| 搜索引擎、网盘、代码托管平台、企业信息查询平台 | 未知资产(公网IP、端口服务、Web应用、管理后台等)、上传源码、内部文档资料、高层及开发人员个人信息IP地址 | 减少企业信息泄露,缩减企业资产暴露面 |

*** 邮件专项评估

  1. 钓鱼邮件评估 : 模拟真实钓鱼邮件对人员安全意识进行测试
  2. 邮箱安全评估 :对影响邮件安全的威胁因素进行专项检测
    • 基线检测 是否过滤垃圾邮件、开启SPF、安全审计、安全网关、配置二次认证、是否存在弱口令
    • 漏洞检测 根据邮件版本匹配Nday漏洞

*** 办公OA专项评估
| 任务 | 内容 |
|————–+———————————————-|
| 应用漏洞 | 检测OA系统是否存在Nday漏洞 |
| 服务器 | 调研OA系统部署服务器所在安全区域 |
| 身份认证 | 认证方式、复杂度、登陆区域限制 |
| 权限管控 | 权限管控是否按照最小必须原则、账户是否一对一 |
| 数据泄露风险 | 办公OA系统涉及的人员数据、流程涉及敏感信息 |

*** VPN专项评估
| 任务 | 工作内容 |
|————–+————————————————————————|
| 弱口令 | 根据定制化密码本检测企业VPN弱口令 |
| 身份认证 | 验证是否采用双因素认证、或同一身份认真系统 |
| 账户权限管控 | 检查账户分配是否合理、是否按照最小必须原则、是否一人存多号、一号对多人 |
| 移动终端限制 | 检测是否存在移动终端拨入、建议攻防期间禁用 |
| 0Day检测 | “军火商”VPN 0Day检测 |
| 接入跳转 | 调研接入后可跳转区域,掌握VPN被攻破后受影响范围 |

*** 无线Wi-Fi专项评估[fn::禁止私建热点、攻防期间停用Wi-Fi]
| 任务 | 工作内容 |
|———————-+—————————————————————————————–|
| Wi-Fi登陆控制 | 在未连接上Wi-Fi时,尝试通过弱口令检测连接Wi-Fi |
| 未更新的固件 | 连上Wi-Fi, 查看路由器固件版本,使用Nday进行攻击 |
| 路由器管理口台弱口令 | 在连接Wi-Fi时,尝试弱口令登陆路由器后台 |
| Wi-Fi劫持 | 查看路由器固件版本,使用Nday进行攻击,拿到root权限,监控流量,抓取和修改非HTTPS的数据包 |
| Wi-Fi钓鱼 | 创建免费热点,设置认证,使用户收集自动连接Wi-Fi |
| WPS攻击 | 路由器开启了WPS功能后,尝试通过物理接触,不需要密码即可连上 |
| 无线协议识别 | 通过查看Wi-Fi类型,判断是否为WEP,WPA2,WPA2-PSK加密类型的Wi-Fi |

*** 集中管控平台专项评估
| 评估方法 | 评估对象 |
|————————————————————————————+———————————————————————-|
| 针对预控增加配置检查,检车安全设备应用层漏洞、检测安全设备本体安全机制是否存在缺陷 | 云托管平台、终端管理平台、堡垒机、域控、集中开发平台、虚拟化管控平台 |

*** 安全设备专项评估
| 层面 | 内容 |
|————–+——————————|
| 应用层漏洞 | 提权等常见漏洞 |
| 本身机制 | HIDS管理页面绕过登陆查看界面 |
| 自有防御 | 登陆认证、权限管控 |
| 安全防护机制 | 策略有效性 |

*** 近源专项评估
| 评估方法 | 评估对象 |
|———————————————————————-+———-|
| Wi-Fi钓鱼(模拟内部AP,欺骗员工连入Wi-Fi进行办公,对钓鱼结果进行统计) | Wi-Fi |
| BadUSB(重写USB内部固件,伪装成USB键盘,通过虚拟键盘,输入恶意指令) | HID |
| 门禁前端伪造(NFC技术复制工牌) | 门禁系统 |
| 门禁前端数据伪造(入侵门禁系统修改数据) | 门禁系统 |

*** 社工专项评估
| 类型 | 内容 |
|———-+——————————————————————————————————–|
| 身份伪装 | 模拟高管、需要帮助的职员、正在处理网络问题的技术支持人员、诱导企业员工提供所需信息,对诱导结果进行统计 |
| 通信欺骗 | 通过聊天工具搜索目标的群聊,通过伪装员工进入Q群获取信息,进一步开展诈骗,钓鱼等攻击 |
| 组合社工 | 伪装猎头,和特定员工进行交流,在骗取信任后通过微信等聊天工具发送包含恶意木马的文件进一步获取信息 |

*** 重要(靶标)系统专项评估

  1. 自身安全性评估
    | 纬度 | 详情 |
    |——————+————————————————————————–|
    | 系统架构 | 服务器、中间件等 |
    | 网络架构 | 安全域划分、隔离、防护措施 |
    | 数据传输 | 输出是否加密、加密是否有效 |
    | 运维管理 | 何种运维方式、管理平台登陆认证、权限管理是否有效、是否有漏洞 |
    | 安全设备覆盖情况 | 系统所在域及与系统存在访问的区域是否覆盖了安全检测设备,是否实施阻断攻击 |

  2. 访问途径评估

    • 基本访问原则(靶标系统与其他系统的访问规则)、访问控制关系
    • 攻击者可利用攻击路径: 如互联网站点->DMZ区->内网->靶标
    • 检测攻击路径涉及区域的安全监测、防护设备是否有效
  3. 运维终端主机专项评估

    • 应用漏洞盘查(漏扫+手工验证)
    • 访问途径评估 (ACL规则)
    • 已有后门排查(杀毒软件、漏扫、HIDS检测)

*** 策略布防与优化
布防原则:

  • 梳理业务流量,保证所有请求流量都在防御体系监控范围内
  • 核心资产具备纵深防御能力
  • 设备防御能力合理搭配,防御能力覆盖全面(应用、网络、主机)
  • 安全策略调优,给策略决策平台提供可信可控的基础数据
  • 设备特点互相补充,必要时可进行旁路冗余部署
  • 应急响应流程明确

布防与加固内容:

  • 安全产品部署调整
  • 策略调优和安全加固
  • 应急响应流程化

*** 策略覆盖度验证评估
策略有效性验证:

  • 常规: 测试策略是否生效,如and 1=1

  • 非常规: 基于waf绕过

  • 机制本体绕过: 防护机制绕过,不按照规则进行绕过

    覆盖度验证指标
    | 验证纬度 | 功能 |
    |———-+—————————————-|
    | 覆盖度 | 设备覆盖范围是否齐全、流量是否全部接入 |
    | 抗绕过 | 是否还有防护被绕过的情况 |
    | 抗淹没 | 是否还有误报情况 |

** 模拟验证
*** 红蓝对抗模拟

*** 反制模拟
收集攻击信息->反向渗透->攻击取证

*** 自动化封禁脚本
通过搭建SIEM平台或SOC平台,对WAF、全流量设备的日志进行处理,自动转发同步到防火墙上进行IP封禁。

*** 沙盘演练

** 实战对抗

*** 检测与应急(现场值守)

| 任务 | 工作内容 |
|——+——————————————————————–|
| 检测 | 分析告警信息(时间、攻击类型、攻击IP、受害IP、攻击次数、检测人员等) |
| 分析 | 攻击是否成功,溯源情况描述、处置意见、分析责任人、是否上报等 |
| 处置 | 处置措施、封禁IP详情、数量、策略增加详情、处置责任人 |
#+TBLFM:

*** TODO 攻击反制(现场值守)

*** 情报共享(二线支持)
威胁情报包括:

  1. 行业内情报:厂商间互相共享的一些可疑IP,攻击IP,通用漏洞信息等
  2. 前场攻防情报: 演练现场传回一些可疑IP,攻击IP,攻击手法、溯源信息等
  3. 开源威胁情报: 借助互联网上一些开源情报平台,收集、分析可靠情报

转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。可以在下面评论区评论,也可以邮件至 askding@qq.com

💰

×

Help us with donation