作者:奇安信安服团队
◆ 1.3 红队
各个团队在演练中的角色与分工情况如下。·目标系统运营单位:负责红队整体的指挥、组织和协调。·安全运营团队:负责整体防护和攻击监控工作。·攻防专家:负责对安全监控中发现的可疑攻击进行分析和研判,指导安全运营团队、软件开发商等相关部门进行漏洞整改等一系列工作。·安全厂商:负责对自身产品的可用性、可靠性和防护监控策略进行调整。·软件开发商:负责对自身系统进行安全加固、监控,配合攻防专家对发现的安全问题进行整改。·网络运维队伍:负责配合攻防专家进行网络架构安全维护、网络出口整体优化、网络监控以及溯源等工作。·云提供商(如有):负责对自身云系统进行安全加固,对云上系统的安全性进行监控,同时协助攻防专家对发现的问题进行整改。·其他:某些情况下还会有其他组成人员,需要根据实际情况分配具体工作。
◆ 1.3.2 红队演变趋势
之前,演练中的大部分防守队发现攻击后基本就是封堵IP、下线系统、修复漏洞,之后接着等待下一波攻击。敌在暗,我在明,只能被动挨打。现在,大量的防守队加强了溯源和反制能力,与攻击队展开了正面对抗,并取得了很多战果。
有些单位会利用蜜罐等产品埋好陷阱,诱导攻击队跳进来,之后再利用陷阱中的木马等快速攻陷攻击队系统。
◆ 1.4 紫队
紫队在实战攻防演练中,以组织方角色开展演练的整体组织、协调工作,负责演练组织、过程监控、技术指导、应急保障、风险控制、演练总结、技术措施与优化策略建议等各类工作。
◆ 1.5 实战攻防演练中暴露的薄弱环节
很多机构没有严格的访问控制(ACL)策略,在DMZ(隔离区)和办公网之间不进行或很少进行网络隔离,办公网和互联网相通,网络区域划分不严格,可以直接使远程控制程序上线,导致攻击方可以轻易实现跨区攻击。
在攻防演练过程中,随着防守方对攻击行为的监测、发现和溯源能力大幅增强,攻击队开始更多地转向供应链攻击等新型作战策略。
从IT(设备及软件)服务商、安全服务商、办公及生产服务商等供应链机构入手,寻找软件、设备及系统漏洞,发现人员及管理薄弱点并实施攻击。常见的系统突破口有邮件系统、OA系统、安全设备、社交软件等,常见的突破方式有利用软件漏洞、管理员弱口令等。
◆ 1.6 建立实战化的安全体系
防守队不应再以"修修补补,哪里出问题堵哪里"的思维来解决问题,而应未雨绸缪,从管理、技术、运行等方面建立系统化、实战化的安全体系,从而有效应对实战环境下的安全挑战。
◆ 第2章 蓝队攻击的4个阶段
准备工作、目标网情搜集、外网纵向突破和内网横向拓展
◆ 2.1.1 工具准备
网络实战攻防演练前,需要准备任务各环节会用到的工具,包括信息搜集、扫描探测、口令爆破、漏洞利用、远程控制、Webshell管理、隧道穿透、网络抓包分析和集成平台等各类工具。
超级弱口令检查工具(弱口令扫描检测)是可在Windows平台运行的弱密码口令检测工具,支持批量多线程检查,可以快速检测弱密码、弱密码账户、密码支持和用户名组合检查,从而大大提高检查成功率,并且支持自定义服务。该工具目前支持SSH、RDP、Telnet、MySQL、SQL Server、Oracle、FTP、MongoDB、Memcached、PostgreSQL、SMTP、SMTP_SSL、POP3、POP3_SSL、IMAP、IMAP_SSL、SVN、VNC、Redis等服务的弱密码检查爆破
Medusa是Kali Linux系统下对登录服务进行暴力破解的工具,基于多线程并行可同时对多个主机、服务器进行用户名或密码强力爆破,以尝试获取远程验证服务访问权限。Medusa支持大部分允许远程登录的服务,包括FTP、HTTP、SSH v2、SQL Server、MySQL、SMB、SMTP、SNMP、SVN、Telnet、VNC、AFP、CVS、IMAP、NCP、NNTP、POP3、PostgreSQL、rlogin、rsh等
Hydra是一个自动化的爆破工具,可暴力破解弱密码,已经集成到Kali Linux系统中。Hydra可对多种协议执行字典攻击,包括RDP、SSH(v1和v2)、Telnet、FTP、HTTP、HTTPS、SMB、POP3、LDAP、SQL Server、MySQL、PostgreSQL、SNMP、SOCKS5、Cisco AAA、Cisco auth、VNC等。它适用于多种平台,包括Linux、Windows、Cygwin、Solaris、FreeBSD、OpenBSD、macOS和QNX/BlackBerry等
Hashcat是一款免费的密码破解工具,号称是基于CPU的最快的密码破解工具,适用于Linux、Windows和macOS平台。Hashcat支持各种散列算法,包括LM Hashes、MD4、MD5、SHA系列、UNIX Crypt格式、MySQL、Cisco PIX。它支持各种攻击形式,包括暴力破解、组合攻击、字典攻击、指纹攻击、混合攻击、掩码攻击、置换攻击、基于规则的攻击、表查找攻击和Toggle-Case攻击
WebLogic全版本漏洞利用工具WebLogic是基于Java EE架构的中间件,被用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。该漏洞利用工具集成WebLogic组件各版本多个漏洞自动化检测和利用功能,可对各版本WebLogic漏洞进行自动化检测和利用,根据检测结果进行执行命令等针对性利用并获取服务器控制权限
Struts2是一个相当强大的Java Web开源框架,在MVC设计模式中,Struts2作为控制器来建立模型与视图的数据交互。Struts2综合漏洞利用工具集成了Struts2漏洞的检测和利用功能,可实现利用Struts2漏洞进行任意代码执行和任意文件上传
出于业务安全需要,目标网络内部应用多无法直接出网。蓝队在攻击过程中需要利用内网穿透工具实现外网到内网的跨边界跳转访问,借助端口转发、隧道技术等手段对内网目标实现转发访问或将目标内网IP映射到外网,并在远控客户端和被攻击目标终端之间建立一个安全通信通道,为进一步从外到内渗透拓展提供便利。
FRP是一个可用于内网穿透的高性能反向代理工具,支持TCP、UDP、HTTP、HTTPS等协议类型,主要利用处于内网或防火墙后的机器,对外网环境提供HTTP或HTTPS服务,支持加密传输和点对点穿透
ngrok是一个开源的反向代理工具。蓝队可利用ngrok将边界服务器(如Web服务器)作为反向代理服务器,在客户端和目标边界服务器之间建立一个安全通道,客户端可通过反向代理服务器间接访问后端不同服务器上的资源
reGeorg是一款利用Web进行代理的工具,可用于在目标服务器在内网或做了端口策略的情况下连接目标服务器内部开放端口,利用Webshell建立一个SOCKS代理进行内网穿透,将内网服务器的端口通过HTTP/HTTPS隧道转发到本机,形成通信回路
Netsh(Network Shell)是Windows系统自带的网络配置命令行脚本工具,可用来通过修改本地或远程网络配置实现端口转发功能,支持配置从IPv4或IPv6端口转发代理,或者IPv4与IPv6的双向端口转发代理。
◆ 2.2.2 网情搜集的主要工作
组织架构包括单位部门划分、人员信息、工作职能、下属单位等;·IT资产包括域名、IP、C段、开放端口、运行服务、Web中间件、Web应用、移动应用、网络架构等;·敏感信息包括代码信息、文档信息、邮箱信息、历史漏洞信息等;·供应商信息包括合同、系统、软件、硬件、代码、服务、人员等的相关信息。
◆ 2.4.3 内网横向拓展的途径
内网漏洞往往具有三个特点:一是内网漏洞以历史漏洞为主,因为内网多受到业务安全限制,无法直接访问互联网,各类应用和设备漏洞补丁很难及时更新;二是漏洞利用容易,内网通联性好,端口服务开放较多,安全策略限制也很少,这些都为内网漏洞利用提供了极大的便利;三是内网漏洞多具有通用性,因为目标网络多有行业特色,内网部署的业务应用、系统平台多基于同一平台或基础架构实现,容易导致同一漏洞通杀各部门或分节点的情况。
内网漏洞利用难度很小,杀伤力极大,因此内网拓展中的漏洞利用成功率非常高,造成的危害往往也非常严重,尤其是内网中的综管平台、堡垒机、OA系统、内网邮件服务器等重要网络节点若是存在漏洞,往往会导致整个网络被一锅端。
使用者为贪图内网办公方便,而往往将内网服务器和应用安全访问策略设置得比较宽松,也为蓝队在内网横向拓展中利用口令认证仿冒渗透提供了很大的便利。
内网安全认证信息包括搜集服务器自身安全配置、远控终端配置、口令字典文件、个人主机认证缓存或系统口令Hash等。
内网安全认证信息获取的重点有以下这些:·重要口令字典文档或配置文件,包括网络拓扑文件、口令文件、各类基础服务安全配置文件;
·Windows凭据管理器或注册表中保存的各类连接账号密码、系统组策略目录中XML里保存的密码Hash;
·邮件客户端工具中保存的各种邮箱账号密码,包括Foxmail、Thunderbird、Outlook等;
·远控客户端保存的安全认证信息,比如VNC、SSH、VPN、SVN、FTP等客户端;
·Hash获取的口令信息,比如域网络用户Hash、个人主机用户Hash、网络用户token等;
·各类数据库账号密码,包括数据库连接文件或数据库客户端工具中保存的各种数据库连接账号密码;
·浏览器中保存的各种Web登录密码和cookie信息,包括IE、Chrome、Firefox、360浏览器、QQ浏览器等
内网钓鱼的途径比较多,可以借助内网邮件、OA与内网移动办公系统等。主要有两种情况:一种是在控制内网邮件、OA、移动办公系统服务器的情况下,利用这些系统管理权限统一下发通知方式定向钓鱼;另一种是在获取内网有限目标的情况下,利用在控目标通过内网邮件、OA、移动办公系统的通联关系,冒充信任关系钓鱼。
水坑攻击,顾名思义,是在受害者必经之路设置一个"水坑"(陷阱)。常见的做法是黑客在突破和控制被攻击目标经常访问的网站后,在此网站植入恶意攻击代码,被攻击目标一旦访问该网站就会"中招"。
◆ 3.1.6 授权验证绕过漏洞
授权验证绕过漏洞是一种在没有授权认证的情况下可以直接访问需要通过授权才能访问的系统资源,或者访问超出了访问权限的安全缺陷。漏洞产生的原因是应用系统在处理认证授权请求时响应不当,用户可通过发送特制格式的请求数据绕过授权验证过程。授权验证绕过漏洞可导致未授权访问或越权访问。未授权访问是指在没有认证授权的情况下能够直接访问需要通过认证才能访问的系统资源,越权访问是指使用权限低的用户访问权限较高的用户或者相同权限的不同用户可以互相访问
◆ 3.3.1 外网钓鱼
在实战攻防演练中常见的诱骗文档格式和形式有可执行文件、反弹脚本、Office宏、Office文档捆绑、CHM文档、LNK文件、HTA文件、文件后缀RTLO和自解压运行压缩包等
对客服人员可以用比较强硬的口气,要求问题马上得到解决,用客户至上的要求给予客服人员压力;·对人事部门人员则以友好沟通的口气,通过沟通需求建立信任,伺机发送诱骗文档;·对财务人员假装进行咨询和评估,用比较专业的口气进行分析与研讨;·对商务人员则诱其以利,若即若离,让其主动上当。
沟通过程比较顺畅,逐渐取得信任的时候;工作日人员容易懈怠的时候,如周一至周四临近下班时间、周五下午等
◆ 3.3.2 内网钓鱼
可根据钓鱼途径灵活选择内网钓鱼素材。通过内网OA、邮件服务器钓鱼则选择钓鱼目标人员比较感兴趣的素材,比如:·针对网络运维管理人员,选择与网络安全动态、网络安全建设有关的素材;·针对重要业务人员和领导,则选择与目标业务内容或业务系统应用相关的话题。另外,所有人员比较关心的薪资、福利问题也是内网不错的钓鱼素材。
◆ 3.3.3 钓鱼应急措施
利用诱骗文档钓鱼时,诱骗文档常常不包含诱骗素材的真正内容,需要在已经触发木马钓鱼成功的情况下,再次发送一份相同素材主题的正常文档进行掩饰,以免引起对方怀疑。
针对钓鱼文档异常(如文档无法正常打开、目标的杀毒软件报警)导致对方提出疑问的情况,或假装不知(如在我的电脑上正常,可能是软件版本、系统环境导致的异常),或用一些专业性的话题蒙混过关(如文档采用了不常用模板,模板格式问题导致异常),同时抛出正常文档进行掩饰,再伺机套出对方的杀毒软件类型、系统环境,然后尽快处理免杀或规避,以备后续改进攻击方式。
针对被对方发现并有可能被对方分析溯源的情况,需要对钓鱼文档或木马做好反溯源处理,具体方法如下:·彻底清除文档或木马编译生成时自动搜集和集成到文档内部的操作系统、文件路径或计算机用户名信息;·对木马可执行文件进行加壳或代码混淆处理,增加逆向分析难度;·编译木马时对其反弹回连所需的域名、IP地址和端口等关键字段信息进行加密处理,防止泄露,防止此类敏感信息被分析到;·木马回连域名、IP地址和端口使用备份机制,每个木马中集成2个以上回连选择,在1个域名IP地址被封的情况下,备用域名IP地址可能会发挥作用。
◆ 3.4.1 网络或平台提供商
渗透进入目标网络提供商的网络,在提供商内通过目标网络IP分配或服务提供的信息定位目标网络接入点(主要是路由网关),利用该路由网关的信任通联关系或对目标网络的边界路由网关开展渗透,通过漏洞利用或网络数据劫持,获取目标网络的边界网关或路由控制权,进一步向目标内网渗透拓展。常见的例子有在APT攻击中,直接对目标国家/地区的网络基础运营商开展攻击控制,再以此为跳板向受害目标网络进行渗透拓展。
渗透进入目标网络云托管平台、服务器资源提供商网络,根据托管服务定位目标托管业务的所在位置,渗透获取托管业务的控制权限,在托管业务中植入恶意代码对目标人员开展水坑攻击,或通过托管业务寻找托管业务与目标本地网络的接口(主要是托管业务管理接口),利用漏洞利用或仿冒接入等手段进一步渗透拓展本地网络,获取目标本地网络的接入控制支点。目前常见的例子有对目标云托管平台提供商进行渗透,通过获取目标业务托管接入认证信息,并进一步利用这些认证信息进行接入控制。
◆ 3.4.2 安全服务提供商
攻击者可以通过攻击第三方安全运维人员,获取运维人员管理目标网络的权限,并借助其管理权限接入目标网络。这种攻击具有很大的隐蔽性,因为目标网络无法准确判断通过第三方运维服务进行接入连接的是运维人员还是攻击者。
◆ 3.5 VPN仿冒接入
攻击获取VPN认证信息的常用方式有以下几个:
·针对目标人员钓鱼,控制目标个人计算机后,伺机窃取VPN接入信息;
·通过供应链攻击针对目标的安全服务提供商,迂回获取VPN入口和接入认证信息;
·通过漏洞利用直接从VPN网关设备上获取VPN网关账户信息;
·除了外网常用的途径外,内网还经常可以通过口令复用或弱口令获取VPN账户口令信息。
控制VPN网关的常见实现方式有:利用漏洞实现远程代码执行,添加管理员账户,控制网关设备,通过任意文件读取漏洞未经身份验证地窃取网关设备管理凭据,或者通过注入漏洞获取后台管理数据库中的账户口令信息。
◆ 3.6 隐蔽隧道外连
在攻击的过程中,常常会碰到攻击动作或流量被察觉、目标内网无法出网的情况,这就需要借助隐蔽隧道外连手段实现攻击动作的隐蔽执行和攻击数据的隐蔽通信,或突破目标网络的边界隔离限制,实现外网到内网的跨边界跳转访问控制。
隐蔽隧道外连主要通过加密通信和端口转发技术组合实现:加密通信就是先将通信数据加密处理后再进行封装传输,主要目的是通过加密数据通信逃避流量内容检测,从而规避安全网关对危险动作或文件格式的过滤;端口转发就是对网络端口流量从一个网络节点到另一个网络节点的转发,主要目的是实现网络通信在网络节点之间的定向跳转,从而实现对一些隔离网络节点的间接访问。
在攻击过程中主要借助第三方内网工具在远程控制客户端和被攻击目标终端之间建立一个安全通信通道,实现外网到内网的通信流量跨边界跳转,从而完成对内网隔离目标的访问控制,为进一步从外到内渗透拓展提供便利。实现的方式主要有两种:正向代理,就是通过可与内网通联的边界服务器,实现内网主机主动出网,连接到攻击者的外网控制端;反向代理,以边界服务器为代理服务器,实现由外到内对内网主机的访问。第三方工具具有支持加密通信,转发端口自由设置、小巧实用等优点,多具有强大的端口转发功能,可实现本地转发、远程转发、动态转发等多项功能。常用的第三方工具有:端口转发类工具,如Windows自带的Netsh命令工具、Linux系统自带的ssh命令工具、Netcat、HTran、Lcx等;SOCKS代理类工具,如frp、ngrok、Proxifier等。
在实战攻防演练中也可以利用目标边界设备的某些后台功能模块实现隐蔽外连渗透的目的,比如:可以利用一些边界网关的端口映射功能实现内网主机的出网操作;利用一些边界防火墙自带的PPTP、L2TP或SSL VPN功能模块实现VPN隐蔽接入目标内网。目标网络一般很少在边界设备上开启此类通信设置,并且此类设置多涉及底层网络通信,具有稳定、隐蔽的特点,经常会成为蓝队在第三方工具利用效果不佳时的另一种选择。
◆ 3.8 近源攻击
目标内部常常存在更多的安全盲点,比如各类无线通信网络、物理接口或智能终端设备等,攻击者可以利用这些安全盲点更加隐蔽地突破目标安全防线进入内网,最终实现对目标网络的深度渗透。
现在Wi-Fi网络在办公区使用比较普遍,可以利用目标办公区附近的Wi-Fi网络,通过无线设备和工具抓取Wi-Fi通信数据包,重点对有Wi-Fi安全认证访问的数据进行解码分析,破解其认证信息,从而获取Wi-Fi网络接入权限;或者通过伪造热点(如用相似名字暗示),利用伪造的热点更强的信号或通过攻击真实Wi-Fi路由使其瘫痪,从而诱骗内部人员连接伪造的热点,窃取目标人员的Wi-Fi凭证。
乔装侵入就是利用目标的安全监管漏洞,假冒目标内部人员进入目标办公区,在目标内部寻找暴露的有线网口、智能终端设备、无人监管主机等可能具有内网连接条件的设备,通过这些网口或设备接入目标内网实施攻击渗透。比如:通过暴露的网口可以直接连接电脑,很有可能可以接入目标内网;智能终端设备多留有USB接口,可以借助此类接口进行恶意代码植入;无人监管主机可以通过授权验证绕过漏洞进行控制,直接进入内网。
◆ 4.1 实战化能力与传统能力的区别
单纯的漏洞挖掘工作,一般只需证明漏洞的存在,提交漏洞报告即可。但在实战化的业务环境中,存在漏洞不等于能够实现有效的攻击。
◆ 4.2 实战化蓝队人才能力图谱
以前述分级与分类原则为基础,本书将实战化蓝队人才能力分为3个级别、14类、85项具体技能。其中,基础能力2类20项,进阶能力4类23项,高阶能力8类42项
◆ 4.2.3 高阶能力
SafeSEH是Windows操作系统的一种安全机制,专门用于防止异常处理函数被篡改。在程序调用异常处理函数之前,SafeSEH会对要调用的异常处理函数进行一系列的有效性校验。如果发现异常处理函数不可靠或存在安全风险,应立即终止异常处理函数的调用。如果SafeSEH机制设计不完善或存在缺欠,就有可能被攻击者利用、欺骗或绕过。当系统遭到攻击时,程序运行就会出现异常,并触发异常处理函数。而要使攻击能够继续进行,攻击者就常常需要伪造或篡改系统异常处理函数,使系统无法感知到异常的发生。
DEP(Data Execution Protection,数据执行保护)的作用是防止数据页内的数据被当作可执行代码执行,引发安全风险。从计算机内存的角度看,对数据和代码的处理并没有明确区分,只不过在系统的调度下,CPU会对于不同内存区域中的不同数据进行不一样的计算而已。这就使得系统在处理某些经过攻击者精心构造的数据时,会误将其中的一部分"特殊数据"当作可执行代码执行,从而触发恶意命令的执行。而DEP机制设计的重要目的就是防止这种问题的发生;如果DEP机制设计不完善或存在缺欠,就有可能被攻击者所利用、欺骗或绕过。
PIE(Position-Independent Executable,地址无关可执行文件)与PIC(Position-Independent Code,地址无关代码)含义基本相同,是Linux或Android系统中动态链接库的一种实现技术。
NX(No-eXecute,不可执行)是DEP技术中的一种,作用是防止溢出攻击中,溢出的数据被当作可执行代码执行。NX的基本原理是将数据所在内存页标识为不可执行,当操作系统读到这段溢出数据时,就会抛出异常,而非执行恶意指令。如果NX机制设计不完善或存在缺欠,就可以被攻击者利用并发动溢出攻击。
ASLR(Address Space Layout Randomization,地址空间随机化)是一种操作系统用来抵御缓冲区溢出攻击的内存保护机制。这种技术使得系统上运行的进程的内存地址无法预测,使与这些进程有关的漏洞变得更加难以利用。
SEHOP是Structured Exception Handler Overwrite Protection的缩写,意为结构化异常处理覆盖保护。其中,结构化异常处理是指按照一定的控制结构或逻辑结构对程序进行异常处理的一种方法。如果结构化异常处理链表上的某一个或多个节点被攻击者精心构造的数据所覆盖,就可能导致程序的执行流程被控制,这就是SEH攻击。而SEHOP就是Windows操作系统中针对这种攻击给出的一种安全防护方案。
GS意为缓冲区安全性检查,是Windows缓冲区的安全监测机制,用于防止缓冲区溢出攻击。缓冲区溢出是指当计算机向缓冲区内填充数据位数时,填充的数据超过了缓冲区本身的容量,溢出的数据就会覆盖合法数据。理想的情况是:程序会检查数据长度,并且不允许输入超过缓冲区长度的字符。但是很多程序会假设数据长度总是与所分配的储存空间相匹配,这就埋下了缓冲区溢出隐患,即缓冲区溢出漏洞。GS的作用就是通过对缓冲区数据进行各种校验,防止缓冲区溢出攻击的发生。
匿名网络泛指信息接收者无法对信息发送者进行身份定位与物理位置溯源,或溯源过程极其困难的通信网络。这种网络通常是在现有的互联网环境下,通过使用由特定的通信软件组成的特殊虚拟网络,实现发起者的身份隐藏。其中以Tor网络(洋葱网络)为代表的各类暗网是比较常用的匿名网络。
盗取他人ID/账号,攻击者既可以获取与ID/账号相关的系统权限,进而实施非法操作,也可以冒充ID/账号所有人的身份进行各种网络操作,从而达到隐藏身份的目的。
使用跳板机是指攻击者并不直接对目标发起攻击,而是利用中间主机作为跳板机,经过预先设定的一系列路径对目标进行攻击的一种攻击方法。使用跳板机的原因主要有两方面:一是受到内网安全规则的限制,目标机器可能直接不可达,必须经过跳板机才能间接访问;二是使用跳板机,攻击者可以在一定程度上隐藏自己的身份,使系统中留下的操作记录多为跳板机所为,从而增加防守方溯源分析的难度。
他人身份冒用是指通过技术手段欺骗身份识别系统或安全分析人员,进而冒用他人身份完成登录系统、执行非法操作及投放恶意程序等攻击行为。
代理服务器是指专门为其他联网设备提供互联网访问代理的服务器设备。在不使用代理服务器的情况下,联网设备会直接与互联网相连,并从运营商那里分配到全网唯一的IP地址;而在使用代理服务器的情况下,联网设备则首先访问代理服务器,再通过代理服务器访问互联网。
在某些情况下,攻击者甚至还会设置多级代理服务器,以实现更深的身份隐藏。
蓝队人员对CPU指令集的掌握程度,将直接决定蓝队进行系统层漏洞挖掘与利用的能力水平。目前,最为常见的CPU指令集有x86、MIPS、ARM和PowerPC。
1)行动总指挥:通常是攻击队中综合能力最强的人,需要有较强的组织意识、应变能力和丰富的实战经验。负责策略制订、任务分发、进度把控等。2)情报搜集人员:负责情报侦察和信息搜集,搜集的内容包括但不限于目标系统的组织架构、IT资产、敏感信息泄露、供应商信息等。3)武器装备制造人员:负责漏洞挖掘及工具编写,是攻击队的核心战斗力量,不仅要能找到并利用漏洞,还要力求在不同环境下达到稳定、深入的漏洞利用。4)打点实施人员:负责获取接入点,进行Web渗透等。找到薄弱环节后,利用漏洞或社工等方法,获取外网系统控制权限;之后寻找和内网连通的通道,建立据点(跳板)。5)社工钓鱼人员:负责社工攻击。利用人的安全意识不足或安全能力不足等弱点,实施社会工程学攻击,通过钓鱼邮件或社交平台等进行诱骗,进而打入内网。6)内网渗透人员:负责进入内网后的横向拓展。利用情报搜集人员的情报结合其他弱点来进行横向拓展,扩大战果。尝试突破核心系统权限,控制核心任务,获取核心数据,最终完成目标突破工作。
◆ 5.4 声东击西:混淆流量,躲避侦察
找到多个具有直接获取权限漏洞的系统,正面用大流量进攻某个系统,吸引火力,侧面尽量减少流量直接获取权限并快速突破内网。
除队长外的所有成员主攻营销网站,准备了许多分属不同IP网段的跳板,不在乎是否被发现,也不在乎是否封堵,甚至连漏洞扫描器都用上了,力求对流量威胁分析系统开启一场规模浩大的"分布式拒绝服务",让红队的防守人员忙于分析和应对;而队长则悄无声息地用不同的IP和浏览器指纹特征对Web应用开展渗透,力求用最少的流量拿下服务器,让威胁数据淹没在营销网站的攻击洪水当中
◆ 5.5 迂回曲折:供应链定点攻击
先通过检索"喜报""中标""签约""合作""验收"等关键词,在全网范围内,对该企业的供应商及商业合作伙伴进行地毯式排查
◆ 5.6 李代桃僵:旁路攻击,搞定目标
将网站首页替换成一张截图;有的将数据传输接口全部关闭,采用Excel表格的方式进行数据导入;有的对内网目标系统的IP做了限定,仅允许某个管理员IP访问。
母公司无法进攻,那么就进攻二级子公司。
二级子公司无法进攻,那么就攻击二级子公司下属的三级子公司。
◆ 5.9 短兵相接:近源渗透,直入内网
在网上购买与该目标同一样式的工牌,制作假身份信息,冒充内部工作人员,在办公时间堂而皇之地进入目标办公区。
◆ 6.1 备战阶段:兵马未动,粮草先行
领导小组。为加强攻防演练的组织领导,确保攻防演练效果,应成立演练领导小组,统一领导和指挥攻防演练工作。领导小组的主要职责如下。·确认演练工作组职责并赋予指挥组执行权力。·参加战时实战阶段启动会,鼓舞士气。·做出重大安全事件决策。·进行危机公关。
演练指挥组。领导小组下设演练指挥组,组织和部署攻防演练的工作任务,具体管理和协调攻防演练工作,向上级单位、战时指挥部汇报工作。演练指挥组的主要职责如下。·防守策略的侧重点决策。·推动落实各小组的工作机制、流程、人员值班安排。·组织防守日例会,统计和分析当天防守成果并向领导小组输出工作日报。·协调和解决防守工作中的其他问题。
监测组。由网络、安全、系统、应用等多个监控点的人员组成,实时监控可疑的攻击行为,并进行初步分析;监测组人员应具备初步渗透的能力。
研判分析组。对疑似入侵行为进行研判分析。
应急处置组。对攻击行为及时封堵、处置,对被攻击资产进行下线、加固。
溯源反制组。进行攻击对象溯源,对攻击者进行反制,协助编制防守报告。
情报组。与情报协同单位、各供应商(设备、应用、服务)搜集攻击线索、漏洞情报,及时上报,做到情报共享。
保障组。为基础环境和设施可用性提供技术保障,为作战现场所需生活物资提供后勤保障。
协调联络组。负责下级单位、外连单位、兄弟及友邻单位的协调联络工作。
(1)资产梳理1)敏感信息梳理。利用敏感信息泄露情报服务,梳理参演单位暴露在互联网上的敏感信息并对其进行清理或隐藏,以降低信息被攻击队利用的风险。2)互联网资产发现。利用互联网资产发现服务,梳理参演单位暴露在互联网上的资产,查找未知资产及未知服务,形成互联网系统资产清单;明确资产属性和资产信息,对无主、不重要、高风险资产进行清理。3)内网资产梳理。通过梳理内网资产、组件版本、责任人、指纹识别等内容,明确内网资产状况,形成资产清单,便于后续的整改加固,在应急处置时可及时通知责任人,还可对暴露的相关组件漏洞及时进行定位修补;而对重要系统的识别(含集权系统)也便于后续对重要系统开展防护及业务流梳理工作。4)第三方供应商梳理。梳理所有第三方供应商,包括设备厂商(网络设备、安全设备等)、应用开发商、服务提供商(云服务、运维服务等),要求它们做好自身安全管理、自身产品安全加固,提供防守监测人员支持。5)业务连接单位梳理。梳理所有业务连接单位以及连接形式、系统、区域、IP入口,了解防护监控状况,与参加业务连接单位联防联控,建立安全事件通报机制。6)云资产梳理。通过梳理私有云的云管平台、云软件、底层操作系统以及公有云资产,明确云资产状况,形成资产清单,便于后续的整改加固,在应急处置时可及时通知责任人,还可对暴露的相关组件漏洞及时进行定位修补。
(2)网络架构梳理1)网络访问路径梳理。明确系统访问源(包括用户、设备或系统)的类型、位置和途经的网络节点,便于后续监测、溯源时使用,确保安全架构梳理完成后南北向监测流量的完整性。2)运维访问路径梳理。识别是否存在安全隐患,便于后续优化及统一整改、加固,确认防护和监测设备是否存在缺失。3)安全架构梳理。通过架构梳理评估安全域划分是否合理,防护和监测设备部署位置是否恰当,是否存在缺失,是否存在安全隐患。4)安全设备部署。建议参演单位尽快补充相关安全设备,以免影响安全防护工作的顺利进行。根据近几年防守项目的经验,评估客户在关键地方缺失的安全防护设备。
(3)安全检查1)常规安全检查。常规安全检查,即传统的安全评估检查工作,主要涉及网络安全、主机安全、应用安全、终端安全、日志审计、备份等方面的安全评估。通过开展安全检查工作,对参演单位环境存在的风险进行摸底,并根据检查输出的结果编写《风险整改报告》。2)专项清查。对攻击队采用的重点攻击手段及目标进行专项清查,主要涉及口令及未授权漏洞、重要系统安全检查等工作,尽可能避免存在高风险、低成本的问题。3)Web安全检测。Web安全检测应将重点放在最大限度地发现安全漏洞隐患,验证之前发现的安全漏洞隐患是否已经整改到位。在条件允许的情况下,针对重要信息系统进行源代码安全检测、安全漏洞扫描与渗透测试等Web安全检测,重点应检测Web入侵的薄弱环节,例如弱口令、任意文件上传、中间件远程命令执行、SQL注入等。(4)攻防演练攻防演练是为了模拟实战,检验风险自查和安全强化阶段的工作效果,检验各工作组的前期工作效果,检验本单位对网络攻击的监测、发现、分析和处置能力,检验安全防护措施和监测技术手段的有效性,检验各工作组协调、配合的默契程度,充分验证技术方案的合理性;总结监测、预警、分析、验证、处置等环节的岗位职责及工作内容执行情况,根据攻防演练实际情况,进一步完善技术方案,为战时工作夯实基础。
◆ 6.2 临战阶段:战前动员,鼓舞士气
集权类系统一般都是攻击者打击的主要目标。拿下集权类系统,可以获得其所管辖范围内的所有主机的控制权。集权类系统包括域控制器服务器(Domain Controller)、DNS服务器、备份服务器、ITSM运维管理系统、Zabbix、Nagios、堡垒机等集成监控维护系统,研发服务器、SVN、Git、研发个人终端、运维个人终端,以及VPN登录及单点登录入口等。
◆ 6.4 总结阶段:全面复盘,总结经验
攻击队经常使用的传统渗透攻击方式(如经常使用的WebLoigc反序列化命令执行攻击、JBoss远程代码执行攻击、Struts2远程命令执行攻击、Redis未授权访问攻击、永恒之蓝漏洞攻击、Windows操作系统漏洞攻击、数据库弱口令和操作系统弱口令攻击、FTP匿名登录攻击、rsync未授权访问攻击、HTTP OPTIONS方法攻击、SSL/TLS存在Bar Mitzvah Attack漏洞攻击、X-Forwarded-For伪造攻击等)
◆ 7.1 信息清理:互联网敏感信息
严禁将带有敏感信息的文件上传至公共信息平台外,还可以通过定期搜集泄露的敏感信息,及时发现已经在互联网上暴露的本单位敏感信息并进行清理,以降低本单位敏感信息暴露的风险,同时增加攻击队搜集敏感信息的时间成本,提高其后续攻击的难度。
◆ 7.4 守护核心:找到关键点
按照"最小原则"开放访问权限;最后,靶标系统应部署在内部网络中,尽可能避免直接对互联网开放。条件允许的情况下,还可以为靶标系统主机部署安全防护软件,对靶标系统主机进行进程白名单限制,在防守中,可实时监测靶标系统的安全状态。
◆ 7.6 主动防御:全方位监控
通过部署态势感知系统与安全设备联动规则,收取全网安全设备的告警信息,在态势感知系统收到安全告警信息后,根据预设规则自动下达边界封禁策略,使封禁设备能够做出及时有效的阻断和拦截,从而大大降低人工的参与度
通过监控全网络流量以捕获攻击行为是目前最有效的安全监控方式
◆ 8.1.1 防文档信息泄露
攻击者一般会通过如下几类网站或工具搜索目标单位信息:·学术网站类,如知网CNKI、Google学术、百度学术;·网盘类,如微盘Vdisk、百度网盘、360云盘等;·代码托管平台类,如GitHub、Bitbucket、GitLab、Gitee等;·招投标网站类,自建招投标网站、第三方招投标网站等;·文库类,如百度文库、豆丁网、道客巴巴等;·社交平台类,如微信群、QQ群、论坛、贴吧等。
最受攻击者欢迎的文档信息包括以下几类。·使用手册:VPN系统、OA系统、邮箱等系统的使用手册,其中的敏感信息可能包含应用访问地址、默认账号信息等。·安装手册:可能包含应用默认口令、硬件设备的内外网地址等。·交付文档:可能包含应用配置信息、网络拓扑、网络的配置信息等。
具体处置建议如下。1)从制度上明确要求敏感文档一律不准上传到网盘或文库,并定期审查。2)对第三方人员同样要求涉及本单位的敏感文档,未经合同单位允许不得共享给项目无关人员,不得上传到网盘、文库、QQ群共享等公共平台。一经发现,严肃处理。3)定期去上面提到的各类网站或工具中搜索自己单位的关键字,如发现敏感文档要求上传者或平台删除。
◆ 8.1.2 防代码托管泄露
针对防代码托管泄露的建议如下:1)在制度上严禁项目源代码公开到代码托管网站;2)禁止开发人员私自将源代码复制到不可控的电脑上;3)定期在GitHub、Bitbucket、GitLab、Gitee等各大代码托管网站上搜索自己单位的关键字,如发现上面有自己单位的源代码,要求上传者或平台删除。
◆ 8.1.3 防历史漏洞泄露
大多数攻击者会在漏洞平台上搜索目标单位系统或与目标单位系统指纹相同系统的漏洞信息,并根据漏洞信息测试漏洞是否存在,如果漏洞未修复,则会直接利用。目前主流的漏洞上报平台如下。·补天平台:https://www.butian.net/。·漏洞盒子:https://www.vulbox.com。·乌云镜像:http://www.anquan.us。·Hackerone:https://www.hackerone.com。
处置建议如下:1)收集各大漏洞平台上关于本单位的漏洞信息,逐一验证修复情况;2)收集和本单位使用相同商业系统或开源系统的漏洞信息,逐一验证本单位系统是否存在漏洞平台披露的漏洞。
◆ 8.1.4 防人员信息泄露
处置建议如下:1)增强人员安全意识,不要轻易打开可疑邮件,不得向未经确认人员泄露敏感信息,禁止将未经确认人员添加到业务群或其他敏感工作群;2)禁止在程序源代码里放管理员邮箱、电话等敏感信息。
◆ 8.1.5 防其他信息泄露
处置建议如下:1)与下属单位的系统互联,上网络层面部署安全防护和检测设备,接入前下属单位系统要出具代码审计和渗透测试报告,保障接入安全;2)不要和其他系统单位或个人共用密码,如有条件可增加动态密码或者密钥认证,防止黑客撞库攻击;3)对于托管在公有云上的系统,要求云提供商单独部署,不得与其他单位系统共用网段、服务器以及存储等组件,防止旁路攻击。
◆ 8.5 防护架构加强
VPN为大家带来便利的同时也是最受攻击者青睐的攻击路径之一,一旦VPN被攻陷,攻击者进入内网后将畅通无阻。同时由于VPN的加密属性,攻击者可以绕过所有安全防护设备,而且还不易被发现。处置建议如下。1)对于存在多套VPN的,尽量进行合并处理。2)对于保留供应商的VPN远程维护通道的,采用随用随开、用完即关的策略。3)采用VPN+准入认证双层认证,即在VPN拨入后增加准入认证和双因素认证。一旦VPN被攻陷,准入认证将是第二道防护屏障。4)VPN账号梳理:对于VPN账号尤其是外部人员的VPN账号能禁用就禁用,不能禁用的,可以按照使用时间段进行控制。5)VPN权限清理:对于拨入VPN后能够访问的资源进行明确授权。6)VPN账号清理:对默认的管理账号进行清理;对于已分配的VPN账号,对从未使用过的进行关停处理,对其他账号采用强密码策略并定期修改密码。
◆ 8.5.3 主机侧防御
目前比较主流的Web中间件有WebLogic、WebSphere、JBoss、Tomcat、Nginx等。防范该类漏洞的方式有以下几种:① 定期打安全补丁;② 将中间件升级到安全的版本;③ 禁用不用的有安全问题的组件;④ 不对外开放后台管理端口或敏感目录;
中间件后台防护手段如下:① 禁止采用默认路径和默认端口;② 禁止中间件后台暴露在互联网上;③ 中间件后台在内网限制地址进行访问;④ 禁止使用中间件默认用户名和密码;⑤ 禁止在生产环境发布测试系统。
Web中间件安全加固建议如下:① 修改默认的用户名和密码;② 禁止列网站目录功能;③ 删除测试页面;④ 正式环境下禁止将报错文件直接返给用户;⑤ 如无特殊需求,HTTP传输方式固定为只允许POST和GET方式;⑥ 开启日志功能;⑦ 上传文件夹关闭运行权限;⑧ 中间件管理员用户名配置强口令;⑨ 根据不同中间件特性制定加固基线。
◆ 9.1 边界防御设备
防火墙作为最基础的安全防护设备,在实战演练中也发挥着重大的作用,主要通过以下方式进行防护。1)ACL配置:在网络内部通过对网络区域进行划分,明确各区域的功能、各区域间实现明确的允许/拒绝ACL,实现严格的访问控制。大量的攻防实战证明,区域间隔离能够在很大程度上限制攻击者横向拓展的范围。2)黑名单配置:部署在网络外层的防火墙,在实战中可以通过将攻击者/可疑攻击者的IP地址加入黑名单中,从网络层阻止可疑的攻击流量,阻止攻击者继续攻击,从而迫使攻击者变更攻击IP地址,延误攻击者的进攻节奏。3)实时联动:可以根据实际的部署环境,与流量感知及威胁感知类产品进行联动处置,对分析出的恶意IP进行封禁。4)自动化封禁:更进一步地,为了更加高效地应对扫描等攻击行为,可以利用编程等方式实现自动化封禁的措施,提高封禁效率,减缓处置人员的工作压力。
◆ 9.1.2 入侵防御系统
IPS依赖高效的一体化引擎,实现对防护网络的流量分析、异常或攻击行为的告警及阻断、2~7层安全防护控制,以及用户行为、网络健康状况的可视化展示。IPS不但能发现攻击,而且能自动化、实时地执行防御策略,有效保障信息系统安全。
◆ 9.1.4 Web应用安全云防护系统
Web应用安全云防护系统是为云端网站提供安全防护的系统,为网站提供SaaS化的安全防护服务。它根据企业网站的实际安全需求及现状,将智能DNS解析能力、DDoS防护能力、Web应用攻击防护能力、CDN加速能力、安全运营能力以及统一的配置管理能力整合到同一安全防护体系中,为企业网站提供云WAF、云抗D、云加速、CC攻击防护、反爬虫、全站镜像(重保只读)、实时监控告警、可视化安全等综合安全能力。可降低网站数据泄露、网页被篡改风险,提升网站链路可靠性,降低被上级主管单位/网络安全执法单位通报或处罚的概率。
◆ 9.1.5 邮件威胁感知系统
邮件威胁检测系统应采用多种病毒检测引擎,结合威胁情报及URL信誉库对邮件中的URL和附件进行恶意判定,并使用动态沙箱技术、邮件行为检测模型、机器学习模型发现高级威胁及定向攻击邮件。通过对海量数据建模、多维场景化对海量的邮件进行关联分析,对未知的高级威胁进行及时侦测
◆ 9.2 安全检测设备
设备应具有的核心功能1)资产及应用发现:通过数据挖掘和调研的方式确定企业资产范围,之后基于IP或域名,采用Web扫描技术、操作系统探测技术、端口探测技术、服务探测技术、Web爬虫技术等各类探测技术,对参演单位信息系统内的主机/服务器、安全设备、网络设备、工控设备、Web应用、中间件、数据库、邮件系统和DNS系统等进行主动发现,并生成资产及应用列表,列表中不仅包括设备类型、域名、IP、端口,更可深入识别运行在资产上的中间件、应用、技术架构的详细情况(类型、版本、服务名称等)。2)信息安全资产画像绘制:在资产及应用发现的基础上,对每个业务梳理分析,依据信息系统实际情况、业务特点、资产重要度等信息,结合信息安全的最佳实践进行归纳,最终形成参演单位专属的资产画像,构建起参演单位专属的信息安全资产画像。资产画像构建完成后可根据域名、IP、端口、中间件、应用、技术架构、变更状态、业务类型(自定义)等条件对资产进行查询和统计。
◆ 9.2.2 自动化渗透测试系统
网站URL探测方式是通过对目标进行指纹识别,收集中间件、通用网站框架、开发语言、操作系统等指纹信息,从插件库中寻找与之相关的漏洞插件,发现存在的漏洞
IP地址探测方式是对目标进行端口扫描,发现对外开放的服务,识别对应的服务类型,寻找与之相关的漏洞插件,从而判断漏洞是否存在
自动化渗透测试系统提供一键漏洞利用功能,能够执行命令、执行SQL、上传文件、反弹Shell、上传Webshell、下载文件等。自动化渗透测试系统提供的Web指纹库可识别超过600种CMS(内容管理系统)
◆ 9.2.3 开源组件检测系统
设备应具有的核心功能开源检测:对应用系统所涉及的开源组件进行精确识别,帮助企业建立开源组件资产台账,输出每个软件系统的开源组件资产清单,并给出对应的开源组件漏洞信息、开源协议信息、开源组件整改建议等内容。同时,服务团队根据漏洞评估模型对输出的安全漏洞进行分析,给出科学合理的漏洞整改优先级及整改建议,并对难以修复的开源组件给出缓解加固建议,也可对无法修复的紧急漏洞提供验证。
◆ 9.2.4 运维安全管理与审计系统(堡垒机)
运维安全管理与审计系统(堡垒机)基于认证、授权、访问、审计的管理流程设计理念,对IT中心的网络设备、数据库、安全设备、主机系统、中间件等资源进行统一运维管理和审计。采用旁路部署模式切断终端对网络和服务器资源的直接访问,使用协议代理的方式,实现运维集中化管控、过程实时监管、访问合规控制、过程图形化审计,为企业构建一套事前预防、事中监控、事后审计的安全管理体系。
◆ 9.3 流量监测设备
流量威胁感知系统基于网络流量和终端EDR日志,运用威胁情报、规则引擎、文件虚拟执行、机器学习等技术,精准发现网络中针对主机与服务器的已知高级网络攻击和未知新型网络攻击的入侵行为,利用本地大数据平台对流量日志和终端日志进行存储与查询,结合威胁情报与攻击链分析对事件进行分析、研判和回溯,同时,结合边界NDR、终端EDR及自动化编排处置可以及时阻断威胁。
◆ 9.3.2 态势感知与安全运营平台
态势感知与安全运营平台以大数据平台为基础,通过收集多元、异构的海量日志,利用关联分析、机器学习、威胁情报等技术,帮助企业持续监测网络安全态势,实现从被动防御向积极防御的进阶,为安全管理者提供风险评估和应急响应的决策支撑,为安全运营人员提供威胁发现、调查分析及响应处置的安全运营工具。
◆ 9.3.3 蜜罐系统
蜜罐技术本质上是一种对攻击方进行欺骗的技术。通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,防守方可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测其攻击意图和动机,清晰地了解自己所面对的安全威胁,从而通过技术和管理手段来增强实际系统的安全防护能力。
1)主动诱捕:通过实时流量牵引,将指向诱饵的流量牵引到集中式诱饵资源。2)多设备仿真:结合云端大数据收集的数百种协议的设备指纹(banner)库,可模仿几千种网络设备或服务。针对攻击者的一些自动化的工具探测(如Nmap的端口扫描),可以进行较好的欺骗。3)资产高仿:一是采用多种手段尽可能与真实资产接近,二是基于流量数据、资产数据尽可能使仿真的资产与真实资产接近。4)溯源取证:基于攻击特点将流量分发到对应的蜜罐,并采用主动跟踪机制对攻击链溯源。通过情报跟踪和攻击者信息汇总跟踪机制,形成完整的攻击画像图谱。5)主动反制:对于步入欺骗诱捕平台的攻击者,对其进行一定程度的反制,包括但不限于通过JSONP来反制、文件下载欺骗反制、MySQL反制、RDP反制等。攻击反制获取的信息,包括但不限于攻击者的浏览器隐私数据、主机账号、主机IP及端口开放情况、个人应用账号及身份ID等。
◆ 9.4 终端防护设备
终端安全响应系统(Endpoint Detection and Response,EDR)是传统终端安全产品在高级威胁检测和响应方面的扩展与补充,它通过威胁情报、攻防对抗、机器学习等方式,从主机、网络、用户、文件等维度来评估企业网络中存在的未知风险,并以行为引擎为核心,利用威胁情报,缩短威胁从发现到处置的时间,有效降低业务损失,增强可见性,提高整体安全能力。
◆ 9.4.2 服务器安全管理系统
服务器安全管理系统是一种服务器安全产品,通过兼容多种虚拟化架构和操作系统,帮助企业高效实现混合数据中心架构下的服务器安全。系统通过服务器端轻量级Agent代理、安全加固服务器系统及应用WAF探针、RASP探针、内核加固探针,实时、有效地检测与抵御已知和未知的恶意代码与黑客攻击;通过融合资产管理、微隔离、攻击溯源、自动化运维、基线检查等功能,高效、安全地运维服务器。
◆ 9.4.3 虚拟化安全管理系统
虚拟化安全管理系统是面向云计算或虚拟化环境的一站式安全产品。产品支持vSphere、XEN、KVM、Hyper-V等虚拟化环境,OpenStack等云计算平台,提供Hypervisor防护、云主机系统加固、恶意软件防护、应用程序管控等功能,并支持异构虚拟化平台统一管理,为参演单位的云数据中心保驾护航。
◆ 9.4.4 终端安全准入系统
终端安全准入系统(Networks Access Control,NAC)主要用于解决设备接入的安全防护、入网安全的合规性检查、用户和设备的实名制认证、核心业务和网络边界的接入安全、接入的追溯和审计等管理问题,避免网络资源受到非法终端接入所引起的安全威胁。
◆ 9.4.5 终端安全管理系统
终端安全管理系统是一体化终端安全解决方案,集防病毒、终端安全管控、终端准入、终端审计、外设管控、EDR等功能于一体,兼容不同操作系统和计算平台,帮助企业实现平台一体化、功能一体化、数据一体化的终端安全立体防护。
◆ 9.5 威胁情报系统
依靠分析威胁情报得出的威胁可见性以及对网络风险和威胁的全面理解,可以快速发现攻击事件,采取迅速、果断的行动应对威胁。威胁情报搜集及分析已经成为网络安全中不可或缺的一环。
◆ 10.1.4 顽强作战,联防联控
组织架构图
◆ 10.3.2 三段作战,破解演练防守困境
在第一阶段的前段会发生相对较多的安全事件,其中扫描类和工具测试类的告警占比很高,此时攻击队在不断摸索进攻路径
在第一阶段的后段会发现扫描类的事件有所下降,但是漏洞类和上传类的事件有所上升,此时攻击队找到了一些可以攻击的路径并不断开始试探性攻击
第二阶段代表蓝队突破边界,进入内网。在第二阶段的前段会出现主机扫描类的事件上升。蓝队在找到路径并尝试攻击后,将会对目标主机展开猛烈攻击,此时被攻击的主机会产生大量的告警
在第二阶段的后段,主机扫描类事件下降,但操作系统和漏洞类安全事件将会上升。防守队需要保证对每一个告警处置的及时性和有效性
在第三阶段的前段会出现扫描类、漏洞类、上传类事件同时攀升。随着攻击和防守进入白热化,更多攻击资源会在最后阶段集中起来
◆ 11.1 实战攻防演练的组织要素
攻击队一般由多家安全厂商独立组建,每支攻击队一般配备3~5人。在获得授权的前提下,以资产探查、工具扫描和人工渗透为主进行渗透攻击,以获取演练目标系统权限和数据。防守队由来自参演单位、安全厂商等的人员组成,主要负责对防守队所管辖的资产进行防护
◆ 11.2 实战攻防演练的组织形式
从实际需要出发,实战攻防演练的组织形式主要有以下两种。1)由国家、行业主管部门、监管机构组织的演练。此类演练一般由各级公安机关、各级网信部门、政府、金融、交通、卫生、教育、电力、运营商等国家、行业主管部门或监管机构组织开展。针对行业关键信息基础设施和重要系统,组织攻击队及行业内各企事业单位进行网络实战攻防演练。2)大型企事业单位自行组织的演练。金融企业、运营商、行政机构、事业单位及其他政企单位,针对业务安全防御体系建设有效性的验证需求,组织攻击队及企事业单位进行实战攻防演练。
◆ 11.4 实战攻防演练的风险规避措施
1)禁止通过收买防守队人员进行攻击;2)禁止通过物理入侵、截断并监听外部光纤等方式进行攻击;3)禁止采用无线电干扰机等直接影响目标系统运行的攻击方式。(5)攻击方木马使用要求木马控制端须使用由演练指挥部统一提供的软件,所使用的木马应不具有自动删除目标系统文件、损坏引导扇区、主动扩散、感染文件、造成服务器宕机等破坏性功能。演练禁止使用具有破坏性和感染性的病毒、蠕虫。(6)非法攻击阻断及通报为加强对各攻击队攻击的监测,通过攻防演练平台开展演练全过程的监督、记录、审计和展现,避免演练影响业务正常运行。演练指挥部应组织技术支撑单位对攻击全流量进行记录、分析,在发现不合规攻击行为时阻断非法攻击行为,并转由人工处置,对攻击队进行通报。
◆ 12.1 组织策划阶段
禁止使用的攻击方式·DDoS攻击;·ARP欺骗攻击、DHCP欺骗;·域名系统(DNS)劫持攻击;·感染与自动复制功能病毒;·多守护进程木马等攻击方式;·破坏性的物理入侵(例如:通过截断和监听外部光纤进行攻击);·通过收买防守队人员进行攻击;·在约定时间范围之外攻击;·在约定IP范围之外攻击。
谨慎使用的攻击方式·物理攻击(如智能门禁、智能电表);·通过内网端口大规模扫描;·获取权限后有侵害的操作;·修改业务数据;·内存溢出;·暴力破解;·大批量查询。
◆ 12.5 演练总结阶段
1)收集报告:收集攻击队提交的总结报告和防守方提交的总结报告并汇总信息。2)清除后门:依据攻击队报告和监控到的攻击流量,将攻击方上传的后门进行清除。3)收回账号及权限:攻击队提交报告后,收回攻击队所有账号及权限,包括攻击队在目标系统上新建的账号。4)回收设备:对攻击队电脑(或虚拟终端)进行格式化处理,清除过程数据。5)收回网络访问权限:收回攻击队的网络访问权限。6)清理演练数据:当主办方完成演练数据导出后,对平台侧的演练数据进行清理。