蓝队,一般是指网络实战攻防演习中的攻击一方。
蓝队一般会采用针对目标单位的从业人员,以及目标系统所在网络内的软件、硬件设备同时执行多角度、全方位、对抗性的混合式模拟攻击手段;通过技术手段实现系统提权、控制业务、获取数据等渗透目标,来发现系统、技术、人员、管理和基础架构等方面存在的网络安全隐患或薄弱环节。
蓝队人员并不是一般意义上的电脑黑客。因为黑客往往以攻破系统,获取利益为目标;而蓝队则是以发现系统薄弱环节,提升系统安全性为目标。此外,对于一般的黑客来说,只要发现某一种攻击方法可以有效地达成目标,通常就没有必要再去尝试其他的攻击方法和途径;但蓝队的目标则是要尽可能地找出系统中存在的所有安全问题,因此往往会穷尽已知的“所有”方法来完成攻击。换句话说,蓝队人员需要的是全面的攻防能力,而不仅仅是一两招很牛的黑客技术。
蓝队的工作也与业界熟知的渗透测试有所区别。渗透测试通常是按照规范技术流程对目标系统进行的安全性测试;而蓝队攻击一般只限定攻击范围和攻击时段,对具体的攻击方法则没有太多限制。渗透测试过程一般只要验证漏洞的存在即可,而蓝队攻击则要求实际获取系统权限或系统数据。此外,渗透测试一般都会明确要求禁止使用社工手段(通过对人的诱导、欺骗等方法完成攻击),而蓝队则可以在一定范围内使用社工手段。
在演习实践中,蓝队通常会以3人为一个战斗小组,1人为组长。组长通常是蓝队中综合能力最强的人,需要较强的组织意识、应变能力和丰富的实战经验。而2名组员则往往需要各有所长,具备边界突破、横向移动(利用一台受控设备攻击其他相邻设备)、情报收集或武器研制等某一方面或几个方面的专长。
蓝队工作对其成员的能力要求往往是综合性的、全面性的。蓝队成员不仅要会熟练使用各种黑客工具、分析工具,还要熟知目标系统及其安全配置,并具备一定的代码开发能力,以便应对特殊问题。
第二章蓝队演变趋势
“魔高一尺道高一丈”!防守能力提升的同时,攻击能力也在与时俱进。目前,蓝队的工作已经变得非常体系化、职业化和工具化,主要变现如下。
1)体系化
从漏洞准备、工具准备,到情报收集、内网渗透等,每个人都有明确的分工,有组织地形成团队作战能力,已经很少有一个人干全套的情况了。
2)职业化
蓝队人员都来自各组织专职实战演习团队,有明确分工和职责,具备协同配合的职业操守,平时开展专业化训练。
3)工具化
工具化程序持续提升,除了使用常用渗透工具,基于开源代码的定制化工具应用增多,自动化攻击被大规模应用,如采用多IP出口的自动化攻击平台进行作业。
从实战对抗的手法来看,现如今的蓝队还呈现出社工化、强对抗和迂回攻击的特点。
1)社工化
利用“人”的弱点实施社会工程学攻击,是黑产团伙和高级威胁组织的常用手段,如今也被大量引入实战攻防演习当中。
除了钓鱼、水坑等传统社工攻击手段外,如今的蓝队还会经常通过在线客服、私信好友等多种交互平台进行社工攻击,以便更加高效地获取业务信息。社工手段的多变性往往会让防守方防不胜防。
2)强对抗
利用0Day漏洞、NDay漏洞、免杀技术等方式与防守方进行高强度的技术对抗,也是近1-2年来蓝队在实战攻防演习中表现出的明显特点。特别的,蓝队人员大多出自安全机构,经过专业训练,因此往往会比民间黑客更加了解安全软件的防护机制和安全系统的运行原理,其使用的对抗技术也往往更具针对性。
3)迂回攻击
对于防护严密,有效监控的目标系统来说,正面攻击往往难以奏效。这就迫使蓝队越来越多的采用“曲线救国”的攻击方式,将战线拉长:从目标系统的同级单位和下级单位入手,从供应链及业务合作方下手,在防护相对薄弱的关联机构中寻找突破点,通过迂回攻击的方式攻破目标系统。
第三章蓝队四板斧——攻击的四个阶段
蓝队的攻击并非是天马行空的撞大运,而是一个有章可循、科学合理的作战过程。一般来说,蓝队的工作可分为四个阶段:站前准备、情报收集、建立据点和横向移动。我们也常将这个四个阶段称为蓝队工作的“四板斧”。
一、第一阶段:准备收集
在一场实战攻防演习作战开始前,蓝队人员主要会从以下几个方面进行准备。
1)漏洞挖掘
漏洞一直是第一攻击力。前期的漏洞挖掘对于打开突破口显得非常重要,在实战中,漏洞挖掘工作一般会聚焦于互联网边界应用、网络设备、办公应用、运维系统、移动办公、集权管控等方面。此外,只是找到漏洞还不够,好的漏洞利用方式也是十分重要的。想要在不通环境下达到稳定、深度的漏洞利用,这对漏洞挖掘人员来说是一个不小的挑战。
2)工具储备
工具的目的是为了提升工作效率,好的工具往往能事半功倍,在实战中,蓝队通常需要准备信息收集、钓鱼、远控、WebShell管理、隧道、扫描器、漏洞利用等多种工具。
3)战法策略
团队作战考虑的是配合,因此,攻击队成员的分工角色就显得尤为重要,小的战役靠个人,大的战役一定是靠机制、流程以及团队合作。好的战法策略,对于一场大的战役来讲至关重要。
4)以赛代练
日常的任务中,需要挑选出一些具有代表性的任务来对蓝队进行有针对性的训练,有利于蓝队队员提高自身的技能。参加各类安全大赛将非常有助于蓝队队员的技术能力提升。
二、第二阶段:情报收集
当蓝队专家接到目标任务后,并不会像渗透测试那样在简单收集数据后直接去尝试各种常见漏洞,而是先去做情报侦察和信息收集工作。收集的内容包括目标系统的组织架构、IT资产、敏感信息泄露、供应商信息等各个方面。
三、第三阶段:建立据点
在找到薄弱环节后,蓝队专家会尝试利用漏洞或社工等方法去获取外网系统控制权限,一般称之为“打点”或撕口子。在这个过程中,蓝队专家会尝试绕过WAF、IPS、杀毒软件等防护设备或软件,用最少的流量、最小的动作去实现漏洞利用。
通过撕开的口子,寻找和内网联通的通道,再进一步进行深入渗透,这个由外到内的过程一般称之为纵向渗透。如果没有找到内外联通的DMZ区(DemilitarizedZone,隔离区),蓝队专家会继续撕口子,直到找到接入内网的点为止。
当蓝队专家找到合适的口子后,便可以把这个点作为从外网进入内网的根据地。通过frp、ewsocks、reGeorg等工具在这个点上建立隧道,形成从外网到内网的跳板,将它作为实施内网渗透的坚实据点。
若权限不足以建立跳板,蓝队专家通常会利用系统、程序或服务漏洞进行提权操作,以获得更高权限;若据点是非稳定的PC机,则会进行持久化操作,保证PC机重启后,据点依然可以在线。
四、第四阶段:横向移动
第四章蓝队也套路——常用的攻击战术
下面介绍九种蓝队最常用的攻击战术。
一、利用弱口令获得权限
很多通用系统在安装后会设置默认管理密码,然而有些管理员从来没有修改过密码,如admin/admin、test/123456、admin/admin888等密码广泛存在于内外网系统后台,一旦进入后台系统,便有很大可能性获得服务器控制权限;同样,有很多管理员为了管理方便,用同一套密码管理不同服务器。当一台服务器被攻陷并窃取到密码后,进而可以扩展至多台服务器甚至造成域控制器沦陷的风险。
二、利用互联网边界渗透内网
大部分企业都会有开放于互联网边界的设备或系统,如:VPN系统、虚拟化桌面系统、邮件服务系统、官方网站等。正是由于这些设备或系统可以从互联网一侧直接访问,因此也往往会成为蓝队首先尝试的,突破边界的切入点。
三、利用通用产品组件漏洞
四、利用安全产品0Day漏洞
安全产品的0Day漏洞常常是蓝队最好的攻击利器。
五、利用人心弱点社工钓鱼
利用人的安全意识不足或安全能力不足,实施社会工程学攻击,通过钓鱼邮件或社交平台进行诱骗,是蓝队专家经常使用的社工手段。在很多情况下,“搞人”要比“搞系统”容易得多。
冒充客户进行虚假投诉,也是一种常用的社工手法,攻击方会通过单人或多人配合的方式,通过在线客服平台、社交软件平台等,向客户人员进行虚假的问题反馈或投诉,设局诱使或迫使客服人员接受经过精心设计的带毒文件或带毒压缩包。一旦客户人员的心理防线被突破,打开了带毒文件或压缩包,客服人员的电脑就会成为攻击队打入内网的一个“立足点”。
除了客服人员外,很多非技术类岗位的工作人员也很容易成为社工攻击的“外围目标”。例如,如给法务人员发律师函,给人力资源人员发简历,给销售人员发送采购需求等,都是比较常用的社工方法。而且往往“百试百灵”。
六、利用供应链隐蔽攻击
供应链攻击是迂回攻击的典型方式。攻击方会从IT(设备及软件)服务商、安全服务商、办公及生产服务商等供应链入手,寻找软件、设备及系统漏洞,发现人员及管理薄弱点并实施攻击。常见的系统突破口包括:邮件系统、OA系统、安全设备、社交软件等;常见的突破方式包括软件漏洞,管理员弱口令等。
利用供应链攻击,可以实现第三方软件系统的恶意更新,第三方服务后台的秘密操控,以及物理边界的防御突破(如,受控的供应商驻场人员设备被接入内网)等多种复杂的攻击目标。
七、利用下属单位迂回攻击
在有红队防守的实战攻防演习中,有时总部的系统防守会较为严密,蓝队很难正面突破,很难直接撬开进入内网的大门。此时,尝试绕过正面防御,通过攻击防守相对薄弱的下属单位,再迂回攻入总部的目标系统,就是一种很“明智”的策略。
蓝队大量实战中发现:绝大部分企业机构,其下属单位之间的内部网络,下属单位与集团总部之间的内部网络,均未进行有效隔离。很多部委单位、大型央企均习惯于使用单独架设一条专用网络,来打通各地区之间的内网连接,但同时又普遍忽视了不通区域网络之间必要的隔离管控措施,缺乏足够有效的网络访问控制。
这就导致蓝队一旦突破了子公司或分公司的防线,便可以通过内网横向渗透,直接攻击到集团总部,或是漫游整个企业内网,进而攻击任意系统。
例如A子公司位于深圳,B子公司位于广州,而总部位于北京。当A子公司或B子公司被突破后,就可以毫无阻拦地进入到总部网络中来。事实上,A子公司与B子公司可能仅需要访问北京总部的部分业务系统;同时,A与B则可能完全不需要有任何业务上的往来。那么,从安全角度看,就应该严格限制A与B之间的网络访问。但实际情况常常是:一条专线内网通往全国各地,一处沦陷,处处沦陷。
八、秘密渗透
因此,信息收集和情报刺探是蓝队工作的基础。在数据积累的基础上,针对性地根据特定系统、特定平台、特定应用、特定版本,去寻找与之对应的漏洞,编写可以绕过防护设备的EXP来实施攻击操作,可以达到隐蔽攻一击即中的目的。
如果目标系统的防御纵深不够,或使用安全设备的能力不足,当面对这种有针对性攻击时,往往就很难及时发现和阻止攻击行为。在攻防演习的实战中,常常使用蓝队获取到目标资料或数据后,被攻击单位尚未感知到入侵行为。
九、多点潜伏
蓝队专家在工作中,通常不会仅仅站在一个据点上去去开展渗透工作,而是会采取不同的Webshell,使用不同的后门程序,利用不同的协议来建立不同特征的据点。
事实上,大部分应急响应过程并没有溯源攻击源头,也未必能分析完整攻击路径。在防护设备告警时,很多防守方队员会仅仅只处理告警设备中对应告警IP的服务器,而忽略了对攻击链的梳理,从而导致尽管处理了告警,但仍未能将蓝队排除在内网之外。而蓝队则可以通过多个潜伏据点,实现快速“死灰复燃”。
如果某些防守方成员专业程度不高,安全意识不足,还有可能在蓝队的“伏击”之下暴露更多敏感信息。例如,在针对Windows服务器应急运维的过程中,有防守方队员会直接将自己的磁盘通过远程桌面共享挂载到被告警的服务器上。这样反而可以给秘密潜伏的蓝队进一步攻击防守方成员的机会。
第五章蓝队三十六计——经典攻击实例
一、正面突破——跨网段控制工控设备
某企业为国内某大型制造业企业,内部生产网大量使用双网卡技术实现网络隔离。在本次实战攻防演习活动中,攻击队的目标是:获取该企业工控设备控制权限。
经过前期的情报收集与分析,攻击队制定了首先突破办公网,再通过办公网渗透进入工控网的战略部署。
1)突破办公网
攻击队首先选择该企业的门户网站作为突破口,并利用一个0Day漏洞获取了该门户网站应用与操作系统的管理员权限,从而获取到该企业办公内网的接入权限。
至此,攻击队突破办公网的第一阶段目标顺利完成,并取得了巨大的战果。接下来的目标就是找到工控网络的突破口。
2)定位运维人员
3)突破工控网
进一步分析发现,主机A使用了双网卡,两个网卡分别对应不同网段,但是两个网卡之间没有采取任何隔离措施。同时,主机B也是一台双网卡主机,其上部署了隔离卡软件进行双网卡切换。
最终,攻击队发现了B主机上隔离卡软件的一个重大设计缺陷,并利用该缺陷成功绕过双网卡的隔离机制,成功拿到了工控设备的操作权限,可以随意停止、启动、复位相应的工控设备,某些操作可对设备的生产过程造成直接严重的伤害。
同时,攻击队的另一组人马继续摸排受控主机的用途和存储文件。功夫不负有心人,攻击队最终又发现一台“生产住操作室”的主机设备,其上存储有生产专用的文件,内容包括一些涉密文件,一旦被窃取,后果难以想象。
二、百折不饶——社工钓鱼突破边界
某企业为某大型特种设备制造商,同时具有比较成熟的互联网服务经验。在本次实战攻防演习活动中,攻击队的目标是:获取该企业一个核心业务管控平台的控制权限。
攻击队在前期的情报收集工作中发现,该企业内部的网络防御体系比较健全,正面突破比较困难。经过头脑风暴,大家达成共识——要通过社工方法进行迂回入侵。
1)寻找社工突破口
攻击队首先想到的社工方法也是最常见的邮件钓鱼。但考虑到该企业相对完善的网络防御体系,猜测其内网中很可能已经部署了邮件检测类的防御手段,简单的使用邮件钓鱼,很可能会被发现。
2)冒充客服反馈问题
3)社工升级攻破心理防线
不过,攻击队并没有放弃,而是进一步采用多人协作的方式,对当班客服人员进行了轮番轰炸,要求客服人员报上工号,并威胁将要对其客服质量进行投诉。经过1个小时的拉锯战,客服人员的心理防线最终被攻破,最终接受了带毒压缩包,并打开了木马文件。该客服人员的终端设备最终被控制。
以受控终端为据点,攻击队成功打入该企业的内网,后又利用一个未能及时修复的系统漏洞获取到关键设备控制权限,再结合内网的信息收集,最终成功获取到管控平台的权限。
三、迂回曲折——供应链定点攻击
某超大型企业为一个国家级关键信息基础设施运营管理方,一旦发生安全事故,将直接危害国家安全及人民生命财产安全。在本次实战攻防演习活动中,攻击队的目标是:获取该企业内部系统的安全管控权限。
根据攻击队前期的情报收集摸排,该企业的办公网络及核心工业控制系统得到了非常严密的安全防护,对互联网暴露的业务系统较少,而且业务系统做了安全加固及多层防护,同时也拥有较强的日常网络安全运维保障能力。想要正面突破,非常困难。
前期情报分析还显示,该企业虽然规模大、人员多,但并不具备独立的IT系统研发和运维能力,其核心IT系统的建设和运维,实际上大多来自外部采购或外包服务。于是,攻击队根据这一特点,制定了从供应链入手的整体攻击策略。
1)寻找目标供应商
攻击队首先通过检索“喜报”、“中标”、“签约”、“合作”、“验收”等关键字,在全网范围内,对该企业的供应商及商业合作伙伴进行地毯式摸排,最终选定将该企业的专用即时通信软件系统开发商A公司作为主要的攻击目标。
情报显示,A公司为该企业开发的专用即时通信系统刚刚完成开发,推测该项目目前尚处于测试阶段,A公司应该有交付和运维人员长期驻场为该企业提供运维全服务。如果能拿下驻场人员的终端设备,则可以成功进入该公司内网系统。
2)盗取管理员账号
分析发现,A公司开发的即时通信软件也在其公司内部进行使用。而该软件的网络服务管理后台,存在一个已知的系统安全漏洞。攻击队利用该漏洞获取了服务器的控制权,并通过访问服务器的数据库系统,获取了后台管理员的账号和密码。
3)定位驻场人员
4)定向恶意升级包
攻击队最初的设想是,通过被控的即时通信软件服务器,向三名驻场人员定向发送恶意升级包。但这种攻击方法需要修改服务器系统配置,稍有不慎,就可能扩大攻击面,给演习工作造成不必要的损失,同时也有可能暴露自身攻击活动。
为实现对三名驻场人员更加隐蔽的定向攻击,攻击队对A公司的即使通信软件进行了更加深入的安全分析,发现其客户端软件对服务器的身份安全验证、对升级包的合法性校验机制都存在设计缺陷。
于是,攻击队利用上述缺陷,通过中间人攻击,对服务器推送给三名驻场人员的客户端软件升级包进行了劫持和篡改。最终三名驻场人员都在完全没有任何感知情况下,在各自的PC机上安装了攻击队伪装设计的恶意升级包。
5)横向移动
攻击队以驻场人员的运维机作为跳板机进入内网后,开始进行横向移动。
攻击队首先找到了该企业的一台域控服务器,并利用一个近期最新爆出的域控系统安全漏洞,获取了该主域的域账号密码哈希信息。但防守对很快地发现了此次攻击,并将该域控服务器进行了隔离。
四、浑水摸鱼——社工钓鱼突破系统
社会工程学(简称社工)在蓝队工作中占据着半壁江山,而钓鱼攻击则是社工中的最常使用的套路。钓鱼攻击通常具备一定的隐蔽性和欺骗性,不具备网络技术能力的人通常无法分辨内容的真伪;而针对特定目标及群体精心构造的鱼叉钓鱼攻击则可令具备一定网络技术能力的人防不胜防,可谓之渗透利器。
小D团队便接到这样一个工作目标:某企业的财务系统。通过前期踩点和信息收集发现,目标企业外网开放系统非常少,也没啥可利用的漏洞,很难通过打点的方式进入到内网。
标题:关于员工关掉445端口以及3389端口的操作过程
附件:操作流程.zip
小D决定浑水摸鱼,在此邮件的基础上进行改造伪装,构造钓鱼邮件如下。其中,zip文件为带有木马的压缩文件。
标题:关于员工关掉445端口以及3389端口的操作补充
附件:操作流程补充.zip
尊敬的各位领导和同事,发现钓鱼邮件事件,内部定义为19626事件,请大家注意邮件附件后缀后.exe、.bat等……
小D同样采用浑水摸鱼的策略,利用以上邮件为母本,以假乱真构造以下邮件继续钓鱼:
尊敬的各位领导和同事,近期发现大量钓鱼邮件,以下为检测程序……
附件:检测程序.zip
五、声东击西——混淆流量躲避侦察
在有红队(防守方)参与的实战攻防工作中,尤其是有红队排名或通报机制的工作中,蓝队与红队通常会产生对抗。IP封堵与绕过、WAF拦截与绕过、Webshell查杀与免杀,红蓝之间通常会开展一场没有硝烟的战争。
小Y和所带领的团队就遭遇了这么一次:刚刚创建的跳板几个小时内就被阻断了;刚刚上传的Webshell过不了几个小时就被查杀了。蓝队打到哪儿,红队就根据流量威胁审计跟到哪,不厌其烦,团队始终在目标的外围打转。
没有一个可以维持的据点,就没办法进一步开展内网突破。小Y和团队开展了一次头脑风暴,归纳分析了流量威胁审计的天然弱点,以及红队有可能出现的人员数量及技术能力不足等情况,制定了一套声东击西的攻击方案。
具体方法就是:同时寻找多个具有直接获取权限漏洞的系统,正面大流量进攻某个系统,吸引火力,侧面尽量减少流量直接拿权限并快速突破内网。
为此,小Y团队先通过信息搜集发现目标企业的某个外网WEB应用,并通过代码审计开展漏洞挖掘工作,成功发现多个严重的漏洞。另外发现该企业的一个营销网站,通过开展黑盒测试,发现存在文件上传漏洞。
小Y将团队兵分两路,除自己外的所有其他成员主攻营销网站,准备了许多分属不同A段的跳板,不在乎是否被发现,也不在乎是否封堵,甚至连漏洞扫描器都上了,力求对流量威胁分析系统开启一场规模浩大的“分布式拒绝服务”,让红队的防守人员忙于分析和应对;而自己则悄无声息地用不同的IP和浏览器指纹特征对WEB应用网站开展渗透,力求用最少的流量拿下服务器,让威胁数据淹没在营销网站的攻击洪水当中。
通过这样的攻击方案,小Y团队同时拿下营销网站和WEB应用网站,但在营销网站的动作更多,包括关闭杀软、提权、安置后门程序、批量进行内网扫描等众多敏感操作;同时在WEB应用网站利用营销网站上获得的内网信息,直接建立据点,开展内网渗透操作。
很快营销网站就被蓝方下线了,红队开始根据流量开展分析、溯源和加固工作;而此时小Y已经在WEB应用网站上搭建了frpsocks代理,内网横向渗透拿下多台服务器,使用了多种协议木马,备份多个通道稳固权限,以防被防守方发现或直接踢出局。接续的几天服务器权限再未丢失,继续后渗透拿下域管理员、域控制器,最终拿下目标权限,工控设备权限等核心目标系统。
在渗透收尾的后期,小Y团队通过目标企业安全信息中心的员工邮件看到,红队此时依旧在对营销网站产生的数据报警做分析和上报防守战果等工作,然而此时该企业的目标系统其实早已经被蓝队拿下了。
六、李代桃僵——旁路攻击搞定目标
其实在蓝队工作过程当中,也碰到过很多奇葩的事情:譬如有红队将整个网站的首页替换成了一张截图;有的将所有数据传输接口全部关闭了,然后采用excel表格的方式实现数据导入;有的将内网目标系统的IP做了限定,仅允许某个管理员IP访问等。
小H带领的蓝队就遇到类似的一次:目标企业把外网系统能关的都关了,甚至连邮件系统都做了策略,基本上没有办法实现打点和进入内网。
为此,小H团队通过充分信息收集后,决定采取“李代桃僵”的策略:既然母公司不让搞,那么就去搞子公司。然而工作过程中发现,子公司也做好了防护,而且基本上也关个遍。一不做,二不休,子公司不让搞,那么就搞子公司的子公司,搞它的孙公司。
于是,小H团队从孙公司下手,利用sql注入+命令执行漏洞成功进入(孙公司A)DMZ区。继续后渗透、内网横向移动控制了孙公司域控、DMZ服务器。在(孙公司A)稳固权限后,尝试搜集最终目标内网信息、子公司信息,未发现目标系统信息。但发现(孙公司A)可以连通(子公司B)。
小H决定利用(孙公司A)内网对(子公司B)展开攻击。利用tomcat弱口令+上传漏洞进入(子公司B)内网域,利用该服务器导出的密码在内网中横向渗透,继而拿下(子公司B)多台域服务器,并在杀毒服务器获取到域管理员账号密码,最终获取(子公司B)域控制器权限。
七、顺手牵羊——巧妙种马实施控制
蓝队永远不会像渗透测试那样,根据一个工作流程或者漏洞测试手册,按照规范去做就能完成任务。蓝队的工作永远是具有随机性、挑战性、对抗性的。在工作过程中,总会有各种出其不意的情况出现,只有能够随机应变,充分利用出现的各种机遇,才能最终突破目标完成任务,小P这次做的目标就是如此。
小P团队通过挖掘目标企业OA系统的0Day漏洞,继而获得了Webshell权限。然而脚跟还没站稳,红队的管理员便发现了OA系统存在异常,对OA系统应用及数据库进行了服务器迁移,同时修复了漏洞。
本来是个很悲伤的事情,然而小P测试发现:红队虽然对OA系统进行了迁移并修复了漏洞,但是居然没有删除全部Webshell后门脚本。部分后门脚本仍然混杂在OA程序中,并被重新部署在新的服务器。攻击队依然可以连接之前植入的Webshell,顺利提权,拿到了服务器权限。
拿到服务器权限后,小P团队发现红队的管理员居然连接到OA服务器进行管理操作,并将终端PC主机的磁盘全部挂载到OA服务器中。“既来之,则安之”,小P发现这是一个顺手牵羊的好机会。
小P团队小心翼翼地对管理员身份及远程终端磁盘文件进行确认,并向该管理员的终端磁盘写入了自启动后门程序。经过了一天的等待,红队管理员果然重启了终端主机,后门程序上线。在获取到管理员的终端权限后,小P很快发现,该管理员为单位运维人员,主要负责内部网络部署、服务器运维管理等工作。该管理员使用MyBase工具对重要服务器信息进行加密存储,攻击队通过键盘记录器,获取了MyBase主密钥,继而对MyBase数据文件进行了解密,最终获取了包括VPN、堡垒机、虚拟化管理平台等关键系统的账号及口令。
八、暗渡陈仓——迂回渗透取得突破
在有明确重点目标的实战攻防演习中,通常红队都会严防死守、严阵以待,时时刻刻盯着从外网进来的所有流量,不管你攻还是不攻,他们始终坚守在那里。发现有可疑IP立即成段地封堵,一点机会都不留。此时,从正面硬刚显然不划算,蓝队一般会采取暗度陈仓的方式,绕过红队的防守线,从其他没有防守的地方去开展迂回攻击,小M这回遇到的就是这样一个硬骨头。
通过天眼查网站,小M了解到整个公司的子公司及附属业务分布情况,目标业务覆盖了香港、台湾、韩国、法国等地,其中香港包涵业务相对较多,极大可能有互相传送数据及办公协同的内网,故决定选择从香港作为切入点。
至此,整个渗透工作结束。
第六章蓝队眼中的防守弱点
奇安信通过对政府、央企、银行、证券、民生、运营商、互联网等行业的蓝队实战工作,发现各行业安全防护具备如下特点。
一、资产混乱、隔离策略不严格
除了大型银行之外,很多行业对自身资产情况比较混乱,没有严格的访问控制(ACL)策略,且办公网和互联网之间大部分相通,可以直接使远程控制程序上线。
除了大型银行与互联网行业外,其他很多行业在DMZ区和办公网之间不做或很少做隔离,网络区域划分也不严格,给了蓝队很多可乘之机。
此外,几乎所有行业的下级单位和上级单位的业务网都可以互通。而除了大型银行之外,其他很多行业的办公网也大部分完全相通,缺少必要的分区隔离。所以,蓝队往往可以轻易地实现实施从子公司入侵母公司,从一个部门入侵其他部门的策略。
二、通用中间件未修复漏洞较多
通过中间件来看,Weblogic、Websphere、Tomcat、Apache、Nginx、IIS都有使用。Weblogic应用比较广泛,因存在反序列化漏洞,所以常常会被作为打点和内网渗透的突破点。所有行业基本上都有对外开放的邮件系统,可以针对邮件系统漏洞,譬如跨站漏洞、XXE漏洞等来针对性开展攻击,也可以通过钓鱼邮件和鱼叉邮件攻击来开展社工工作,均是比较好的突破点。
三、边界设备成为进入内网的缺口
从边界设备来看,大部分行业都会搭建VPN设备,可以利用VPN设备的一些SQL注入、加账号、远程命令执行等漏洞开展攻击,亦可以采取钓鱼、爆破、弱口令等方式来取得账号权限,最终绕过外网打点环节,直接接入内网实施横向渗透。
四、内网管理设备成扩大战果突破点
从内网系统和防护设备来看,大部分行业都有堡垒机、自动化运维、虚拟化、邮件系统和域环境,虽然这些是安全防护的集中管理设备,但往往由于缺乏定期的维护升级,反而都可以作为开展权限扩大的突破点。
五、安全设备自身安全成为新的风险点
“锁”出问题了给防守工作带来极大挑战。每年攻防演习都会爆出某某安全设备自身存在某某漏洞利用、被控制,反映出安全设备厂商自身安全开发和检测能力没有做到位,而作为用户又缺乏必要的安全检测流程及工作的开展,给蓝队人员留下了“后门”,最终形成新的风险点。
第一章什么是红队
红队,在本书中是指网络实战攻防演习中的防守一方。
红队一般是以参演单位现有的网络安全防护体系为基础,在实战攻防演习期间组建的防守队伍。红队的主要工作包括演习前安全检查、整改与加固,演习期间进行网络安全监测、预警、分析、验证、处置,后期复盘总结现有防护工作中的不足之处,为后续常态化的网络安全防护措施提供优化依据等。
实战攻防演习时,红队通常会在日常安全运维工作的基础上,以实战思维进一步加强安全防护措施,包括提升管理组织规格、扩大威胁监控范围、完善监测与防护手段、增加安全分析频率、提高应急响应速度、增强溯源反制能力、建立情报收集利用机制等,提升整体防守能力。
需要特别说明的是:红队并不仅仅由实战演习中目标系统运营单位一家独立承担,而是由目标系统运营单位、攻防专家、安全厂商、软件开发商、网络运维队伍、云提供商等多方组成的防守队伍。组成红队的各个团队在演习中的角色与分工情况如下。
目标系统运营单位:负责红队整体的指挥、组织和协调。
安全运营团队:负责整体防护和攻击监控工作。
安全厂商:负责对自身产品的可用性、可靠性和防护监控策略是否合理进行调整。
软件开发商:负责对自身系统安全加固、监控和配合攻防专家对发现的安全问题进行整改。
网络运维队伍:负责配合安全专家对网络架构安全、出口整体优化、网络监控、溯源等工作。
云提供商(如有):负责对自身云系统安全加固,以及对云上系统的安全性进行监控,同时协助攻防专家对发现的问题进行整改。
其他:某些情况下还会有其他组成人员,需要根据实际情况具体分配工作。
特别强调,作为红队,了解对手(蓝队)的情况非常重要,正所谓知彼才能知己,从攻击者角度出发,了解攻击者的思路与打法,了解攻击者思维,并结合本单位实际网络环境、运营管理情况,制定相应的技术防御和响应机制,才能在防守过程中争取到更多的主动权。
第二章红队演变趋势
2016年和2017年,由于监管单位的推动,部分单位开始逐步参与监管单位组织的实战攻防演习,这个阶段各单位主要是作为防守方参加演习。到了2018年和2019年,实战攻防演习不论是从单场演习的参演单位数量、攻击队伍数量,还是攻守双方的技术能力等方面都迅速增强。实战攻防演习已经成为公认的检验各单位网络安全建设水平和安全防护能力的重要手段,各单位也从以往单纯的参与监管单位组织的演习,逐渐演变成自行组织内部演习或联合组织行业演习。
进入2020年,随着实战攻防演习中真刀实枪的不断对抗和磨砺,攻守双方在相互较量中都取得了快速发展和进步,迫于攻击队技战法迅速发展带来的压力,防守方也发生了很大的变化。
1)防守重心扩大
2)持续加强监测防护手段
随着近几年攻防技术的快速发展,实战攻防演习中各种攻击手段层出不穷、花样百出,各单位在演习中切实感受到了攻击队带来的严重威胁以及防守的巨大压力,防守队的监测和防护体系面临巨大挑战。防守队对于在攻防对抗中确实能够发挥重大作用的安全产品趋之若鹜,投入大量资金来采购和部署。
2018-2019年,除了传统产品外,全流量威胁监测类产品在攻防对抗中证明了自己,获得了各单位的青睐,到了2020年,主机威胁检测、蜜罐以及威胁情报等产品服务迅速成熟并在演习中证明了对主流攻击的监测和防护能力,防守队开始大规模的部署使用。除此之外,钓鱼攻击、供应链攻击等还没有有效的防护产品,不过随着在实战中快速打磨,相应产品也会迅速成熟和广泛使用。
3)被动防守到正面对抗
要说变化,2020年防守队最大的变化应该是从被动挨打迅速转变为正面对抗、择机反制。之前,演习中的大部分防守队发现攻击后基本就是封锁IP、下线系统、修复漏洞,之后接着等待下一轮攻击。敌在暗、我在明,只能被动挨打。2020年开始,大量的防守队加强了溯源和反制能力,跟攻击队展开了正面对抗,也取得了很多战果。
要具备正面对抗能力,需要重点加强以下几个方面。
准确溯源。俗话说知己知彼百战百胜,要想和攻击队正面对抗,首先要找到攻击队的位置,并想办法获取攻击队的足够信息,才能有针对性的制定反制策略开展反击。
精准反制。反制其实就是防守队发起的攻击。防守队在准确溯源的基础上,需要攻击经验丰富的人员才能够有效精确的实施反制。当然,也有些单位会利用蜜罐等产品埋好陷阱,等着攻击队跳进来之后,利用陷阱中的木马等快速攻陷攻击队系统。
第三章红队四步走——防守的四个阶段
在实战环境下的防护工作,无论是面对常态化的一般网络攻击,还是面对有组织、有规模的高级攻击,对于防护单位而言,都是对其网络安全防御体系的直接挑战。在实战环境中,红队需要按照备战、临战、实战和战后三个阶段来开展安全防护工作。
在实战攻防工作开始之前,首先应当充分地了解自身安全防护状况与存在的不足,从管理组织架构、技术防护措施、安全运维处置等各方面能进行安全评估,确定自身的安全防护能力和工作协作默契程度,为后续工作提供能力支撑。这就是备战阶段的主要工作。
在实战攻防环境中,我们往往会面临技术、管理和运营等多方面限制。技术方面:基础能力薄弱、安全策略不当和安全措施不完善、产品部署位置不当、防护产品自身安全有问题、监控手段不熟悉、监控手段单一等问题普遍存在;管理方面:制度缺失,职责不明,应急响应机制不完善等问题也很常见;运营方面:资产梳理不清晰、业务架构不了解、漏洞整改不彻底、安全监测分析与处置能力不足等问题随处可见。这些不足往往会导致整体防护能力存在短板,对安全事件的监测、预警、分析和处置效率低下。
针对上述情况,红队在演习之前,需要从以下几个方面进行准备与改进。
1)技术方面
为了及时发现安全隐患和薄弱环节,需要有针对性地开展自查工作,并进行安全整改加固,内容包括系统资产梳理、应用组件梳理、交互协议梳理、安全基线检查、网络安全策略检查、Web安全检测、关键网络安全风险检查、安全措施梳理和完善、公开情报收集、应急预案完善与演练等。
为了检验监控措施的有效性,还需对安全产品自身的安全性、部署位置、覆盖面进行评估;为了更快的发现问题,尽量部署全流量威胁监测、网络分析系统、蜜罐、主机监测等安全防护设备,提高监控工作的有效性、时效性、准确性;监测人员还需对安全产品熟练掌握、优化安全产品规则。
2)管理方面
二是建立有效的工作沟通机制,通过安全可信的即时通讯工具建立实战工作指挥群,及时发布工作通知,共享信息数据,了解工作情况,实现快速、有效的工作沟通和信息传递。
3)运营方面
成立防护工作组并明确工作职责,责任到人,开展并落实技术检查、整改和安全监测、预警、分析、验证和处置等运营工作,加强安全技术防护能力。完善安全监测、预警和分析措施,增强监测手段多元化,建立完善的安全事件应急处置机构和可落地的流程机制,提高事件的处置效率。
做好临战阶段的工作建议从三个方面开展。
1)召开战前动员会
战前动员会主要进行三部分的工作:一是实战演习开始前,通过召开现场战前动员会的形式,进行战前动员,统一思想,统一战术、提高斗志,达成共识。二是强调防护工作中注意的事项,攻击手段多种多样,为防止防守人员被攻击利用,要严格遵守记录红线、做到令行禁止。三是提高大家的攻防意识,对攻击过程进行剖析,对常见的攻击手段部署针对性的防守要点,做到有的放矢。
2)贯彻工作流程
贯彻工作流程的目的一是对参与防守工作的人员进行任务分工,说明工作职责、各司其职。二是固化每日工作流程、各岗位协同配合,做好攻击事件前期的监测、中期的研判和后期的处置工作。三是贯彻制定的工作排班计划、交接班要求等。通过工作流程做到防守工作有序有效,提升防守的效果。
3)组织战术培训
攻守双方在实战阶段正式展开全面对抗。防护方须依据备战明确的组织和职责,集中精力和兵力,做到监测及时、分析准确、处置高效,力求系统不破,数据不失。
在实战阶段,从技术角度总结应重点做好以下四点。
1)全面开展安全监测预警
2)全局性分析研判工作
在实战防护中,分析研判应作为核心环节,分析研判人员要具备攻防技术能力,熟悉网络和业务。分析研判人员作为整个防护工作的大脑,应充分发挥专家和指挥棒的作用。向前,对监测人员发现的攻击预警、威胁情报进行分析确认,向后,指导协助事件处置人员对确认的攻击进行处置。
3)提高事件处置效率效果
4)追踪溯源,全面反制
在发现攻击事件后,防守队伍可根据安全防护设备、安全监测设备产生的告警信息、样本信息等,结合各种情报系统追踪溯源。条件允许时,可通过部署诱捕系统反制攻击队攻击终端,做到追踪溯源、防守反制。
演习的结束也是防护工作改进的开始。在实战工作完成后应进行充分、全面复盘分析,总结经验、教训。有两方面工作需要开展。
一是通过复盘会找出攻防演习备战阶段、临战阶段、实战阶段中的工作方案、组织管理、工作启动会、系统资产梳理、安全自查及优化、基础安全监测与防护设备的部署、安全意识、应急预案及演练、注意事项、队伍协同、情报共享和使用等过程还存在哪些纰漏和不足,输出技术和管理两方面问题整改措施计划。同时,各单位还需立即总结攻防演习防守策略,如情报技术、反制战术、防守作战指挥策略等,为演习队伍在下一次保障提供防守技术指导。
二是网络攻防演练活动不是一次性保障活动,其最终目的是单位通过演习发现网络安全建设存在的不足,改进和提升整体安全防御能力,通过相对独立的安全运营思路,以数据为中心建立整体网络安全防护体系,进而发挥出最有效的安全能力。因此单位通过网络攻防演练积累的经验,沿用演习期间形成的安全运营机制、安全监测技术和应急响应策略等,在日常安全工作中提供持续安全运营能力,使网络安全防护措施持续发挥成效,进而真实有效地提升安全防护的能力。同时,单位还需加快整改演习发现的网络安全体系建设的不足,以替代演习后保障队伍力量缩减,而导致的整体安全防御降低的能力。
最后,单位参与和自我组织网络攻防演练活动,充分积累演练活动经验,锻炼安全保障队伍,不断完善整体网络安全体系和持续提高安全运营能力。
第四章红队应对攻击的常用策略
知己知彼,百战不殆。政企安全部门只有在多次经历实战攻防的洗礼,通过实战对攻击队的攻击手法不断深入了解,才能不断发现自身安全防护能力的缺失,防护手段应随着攻击手段的变化升级而进行相应的改变和提升,将是未来的主流防护思想。
攻击者一般会在前期搜集情报,寻找突破口、建立突破据点;中期横向移动打内网,尽可能多地控制服务器或直接打击目标系统;后期会删日志、清工具、写后门、建立持久控制权限。针对攻击队的常用套路,红队应对攻击的常用策略可总结为收缩战线、纵深防御、守护核心、协同作战、主动防御、应急处突和溯源反制等。
攻击队首先会通过各种渠道收集目标单位的各种信息,收集的情报越详细,攻击则会越隐蔽,越快速。此外,攻击队往往不会正面攻击防护较好的系统,而是找一些可能连防守者自己都不知道的薄弱环节下手。这就要求防守者一定要充分了解自己暴露在互联网的系统、端口、后台管理系统、与外单位互联的网络路径等信息。哪方面考虑不到位、哪方面往往就是被攻陷的点。互联网暴露面越多,越容易被攻击队“声东击西”,最终导致防守者顾此失彼,眼看着被攻击却无能为力。结合多年的防守经验,可从如下几方面收敛暴露面。
1)敏感信息收集
2)攻击路径梳理
知晓攻击队有可能从哪些地方攻击进来,对防守力量如何部署起关键作用。由于政企机构的网络不断变化、系统不断增加,往往会增加新的系统和产生新的网络边界。防守队一定要定期梳理没每个业务系统的网络访问路径,包括对互联网开放的系统、内部访问系统(含测试系统),尤其是内部系统全国联网的单位更要注重此项梳理工作。
3)互联网攻击面收敛
一些系统维护者为了方便,往往会把维护的后台、测试系统和高危端口私自开放在互联网上,方便维护的同时也方便了攻击队。攻击队最喜欢攻击的Web服务就是网站后台,以及安全状况比较差的测试系统。红队可通过开展互联网资产发现服务,对本单位开放在互联网上的管理后台、测试系统、无人维护的僵尸系统(含域名)、拟下线未下线的系统、高危服务端口、疏漏的未纳入防护范围的互联网开放系统以及其他重要资产信息(中间件、数据库等)进行发现和梳理,提前进行整改处理,不断降低互联网侧攻击入手的暴露。
4)外部接入网络梳理
如果正面攻击不成,攻击队往往会选择攻击供应商、下级单位、业务合作单位等与目标单位有业务连接的其他单位,通过这些单位直接绕到目标系统内网。防守队应对这些外部的接入网络进行梳理,尤其是未经过安全防护设备就直接连进来的单位,应先连接防护设备,再接入内网。防守队还应建立起本单位内部网络与其他单位进行对接的联络沟通机制,发现从其他单位过来的网络行为异常时,能及时反馈到其他单位,协同排查,尽快查明原因,以便后续协同处置。
5)隐蔽入口梳理
由于API接口、VPN、WiFi这些入口往往会被安全人员忽略,这往往是攻击队最喜欢突破口,一旦搞定则畅通无阻。安全人员一定要梳理Web服务的API隐藏接口、不用的VPN、WiFi账号等,便于重点防守。
1)资产动态梳理
清晰地信息资产是防守工作的基石,对整个防守工作是否顺利开展起决定作用。防守队应该通过开展资产梳理工作,形成信息资产列表,至少包括单位环境中所有的业务系统、框架结构、IP地址(公网、内网)、数据库、应用组件、网路设备、安全设备、归属信息、业务系统接口调用信息等,结合收缩战线工作的成果,最终形成准确清晰地资产列表,并定期动态梳理,不断更新,确保资产信息的准确性,为正式防守工作奠定基础。
2)互联网端防护
互联网作为防护单位最外部的接口,是重点防护区域。互联网端的防护工作可通过接入第三方云防护平台、部署网络安全防护设备和进行攻击检测两方面开展。需部署的网络安全防护设备包括:下一代防火墙、防病毒网关、全流量分析设备、防垃圾邮件网关、WAF、IPS等。攻击检测方面,如果有条件,可以事先对互联网系统进行一次完整的渗透测试,检测互联网系统安全状况,查找存在的漏洞。
3)访问策略梳理
访问控制策略的严格与否,与防守工作至关重要。从实战经验来看,严格的访问控制策略,对攻击队都能产生极大地阻碍。防守队应通过访问控制策略梳理工作,重新厘清不同安全域的访问策略,包括互联网边界、业务系统(含主机)之间、办公环境、运维环境、集权系统的访问以及内部与外部单位对接访问、无线网络策略等访问控制措施。
防守队应按照“最小原则”,只给必须使用的用户开放访问权限。按此原则梳理访问控制策略,禁止私自开放服务或者内部全通情况出现。这样,无论是阻止攻击队撕破边界打点,还是增加进入内部后开展横向渗透的难度,都是非常简单有效的手段。通过严格的访问控制措施尽可能地为攻击队制造障碍。
4)主机加固防护
5)供应链安全
攻击队擅长对各行业中广泛使用的软件、框架或设备进行研究储备,发现其中的安全漏洞,在攻防对抗中进行有的放矢,突破防守队网络边界,甚至拿下目标系统权限。
政企机构在安全运营工作中,应重视与供应链厂商建立安全应对机制,要求供应链厂商建立起自身网络环境(如搭建带有客户业务的测试环境,还对互联网提供开放)、产品的安全保障机制(包括源码、管理工具、技术文档、漏洞补丁等方面的管理),一旦暴露出安全问题,应及时给政企机构提供修复方案或处置措施。
同时,供应链厂商也应建立内部情报渠道,提高产品的安全性,为政企机构提供更可靠,更安全的产品和服务。
正式防守工作中,根据系统的重要性划分出防守工作重点,找到关键点,集中力量进行防守。根据实战攻防经验,核心关键点一般包括:靶标系统、集权类系统、具有重要数据的业务系统等,在防守前应针对这些重点系统再次进行梳理和整改,梳理的越细越好。必要情况下对这些系统进行单独的评估,充分检验重点核心系统的安全性。同时在正式防守工作,对重点系统的流量、日志进行实时监控和分析。
1)靶标系统
2)集权系统
集权系统一般包括单位自建的云管理平台、核心网络设备、堡垒机、SOC平台、VPN等,它们是攻击队最喜欢打的内部系统,一旦被拿下,则集权系统所控制的主机可同样视为已被拿下,杀伤力巨大。
集权系统是内部防护的重中之重。防守队一般可从以下几个方面做好防护:集权系统的主机安全、集权系统已知漏洞加固或打补丁、集权系统的弱口令、集权系统访问控制、集权系统配置安全以及集权系统安全测试等。
3)重要业务系统
重要业务系统如果被攻击队攻破,也会作为攻击重要成果的一部分,因此,在防守过程中,也应该被重点防护。针对此类系统除了常规的安全测试、软件、系统打补丁升级及安全基线加固外,还应针对此类系统加强监测,并对其业务数据进行重点防护,可通过部署数据库审计系统、DLP系统加强对数据的安全保护。
面对大规模有组织地攻击时,攻击手段会不断加速变化升级,防守队在现场人员能力无法应对攻击的情况下,还应该借助后端技术资源,相互配合协同作战,建立体系化支撑,才能有效应对防守工作中面临的各种挑战。
1)产品应急支撑
产品的安全正常运行是防守工作顺利开展的前提。但在实际中不可避免的会出现产品故障、产品漏洞等问题,影响到防守工作。因此防守队需要会同各类产品的原厂商或供应商,建立起产品应急支撑机制,在产品出现故障、安全问题时,能够快速的得到响应和解决。
2)安全事件应急支撑
安全事件的应急处置,一般会涉及蒸汽机构的多个不同部门人员,防守队在组件安全事件应急团队时,应充分考虑哪些人员纳入到应急支撑团队中。在实战中需要对发生的安全事件应急处置时,如果应急团队因技术能力等原因无法完成对安全事件的处置时,可考虑寻求其他技术支撑单位的帮助,来弥补本单位应急处置能力的不足。
3)情报支撑
随着攻防演练向现代化,地区化发现,攻击手段的日益丰富,0Day、NDay漏洞、钓鱼、社工、近源攻击的频繁使用以及攻击队信息搜集能力的大大提高,攻击队已发展成为集团军作战模式。
所以,在实战阶段,仅凭一个单位的防守力量可能无法真正的防护住攻击队伍的狂轰滥炸。在各自的防护能力之外,各个单位防守队伍需建立有效的安全情报网,通过民间、同行业、厂商、国家、国际漏洞库收集情报,形成情报甄别,情报利用机制,高效快速抵御攻击队攻击。攻防演练对抗本质就是信息战,谁掌握的情报越多越准确谁就能立于不败之地。
4)样本数据分析支撑
现场防守人员在监测中发现可疑、异常文件时,可将可疑、异常文件提交至后端样本数据分析团队,根据样本分析结果,判断攻击入侵程度,及时开展应对处置工作。
5)追踪溯源支撑
当现场防守人员发现攻击队的入侵痕迹后,需对攻击队的行为、目的、身份等开展溯源工作时,可寻求追踪溯源团队的帮助,凭借追踪溯源团队的技术力量,分析出攻击队的攻击行为、攻击目的乃至攻击队的身份。必要情况下,还可以一起对攻击队开展反制工作,最大化扩展防守成果。
近两年的红蓝对抗,攻击队的手段越来越隐蔽,越来越单刀直入,通过0Day、NDay直取系统漏洞,直接获得系统控制权限。
红队需拥有完整的系统隔离手段,蓝队成功攻击到内网之后,会对内网进行横向渗透。所以系统与系统之间的隔离,就显得尤为重要!红队必须清楚哪些系统之间有关联、访问控制措施是什么!在发生攻击事件后,应当立即评估受害系统范围和关联的其他系统,并及时做出应对的访问控制策略,防止内部持续的横向渗透。
任何攻击都会留下痕迹。攻击队尽量隐蔽痕迹、防止被发现。而防守者恰好相反,需要尽早发现攻击痕迹,并通过分析攻击痕迹,调整防守策略、溯源攻击路径甚至对可疑攻击源进行反制。建立全方位的安全监控体系是防守者最有力的武器,总结多年实战经验,有效的安全监控体系需在如下几方面开展。
1)自动化的IP封禁
在整个红蓝对抗过程中,如果红队成员7X24小时不间断从安全设备的高警中识别风险,将极大地消耗监测人员、处置人员的精力。通过部署态势感知与安全设备联动,收取全网安全设备的告警信息,当态势感知系统收到安全告警信息后,根据预设规则自动下发边界封禁策略,使封禁设备能够做出及时有效的阻断和拦截,大大降低了人工的参与程度,提高整个红队的防守效率。
2)全流量网络监控
任何攻击都要通过网络,并产生网络流量。攻击数据和正常数据肯定是不同的,通过全网络流量去捕获攻击行为是目前最有效的安全监控方式。红队或防守者通过全流量安全监控设备,结合安全人员的分析,可快速发现攻击行为,并提前做出针对性防守动作。
3)主机监控
任何攻击最终目标是获取主机(服务器或终端)权限。通过部署合理的主机安全软件,审计命令执行过程、监控文件创建进程,及时发现恶意代码或WebShell,并结合网络全流量监控措施,可以更清晰、准确、快速地找到攻击者的真实目标主机。
4)日志监控
对系统和软件的日志监控同样必不可少。日志信息是帮助防守队分析攻击路径的一种有效手段。攻击队攻击成功后,打扫战场的首要任务就是删除日志,或者切断主机日志的外发,以防止防守队追踪。防守队应建立一套独立的日志分析和存储机制,重要目标系统可派专人对目标系统日志和中间件日志进行恶意行为监控分析。
5)蜜罐诱捕
随着红蓝对抗的持续化发展,蜜罐技术是改变红队被动挨打局面的一把利器!其特点是诱导攻击队攻击伪装目标,持续消耗攻击队资源,保护真实资产,监控期间针对所有的攻击行为进行分析,可意外捕获0Day信息。
目前的蜜罐技术可分为3种:自制蜜罐、高交互蜜罐和低交互蜜罐,也可诱导攻击队下载远控程序,定位攻击队自然人身份,提升主动防御能力,让对抗工作由被动变主动。
6)情报工作支撑
现场防守队员在防守中,一是要善于利用情报搜集工作提供的各种情报成果,根据情报内容及时对现有环境进行筛查和处置。二是对已获取的情报,请求后端资源对情报进行分析和辨别,以方便采取应对措施。
通过近几年的红蓝对抗发展来看,红蓝对抗初期,蓝队成员通过普通攻击的方式,不使用0Day或其他攻击方式,就能轻松突破红队的防守阵地。
但是,红队防护体系的发展早已从只有防火墙做访问控制,到现在逐步完善了WAF、IPS、IDS、EDR等多种防护设备,使红队无法突破,从而逼迫红队成员通过使用0Day、NDay、现场社工、钓鱼等多种方式入侵红队目标,呈无法预估的特点。
所以应急处突是近两年红蓝对抗中发展的趋势,同时也是整个红队防守水平的体现之处,不仅考验应急处置人员的技术能力,更检验多部门(单位)协同能力,所以制定应急预案应当从以下几个方面进行。
一是完善各级组织结构,如:监测组、研判组、应急处置组(网络小组、系统运维小组、应用开发小组、数据库小组)、协调组等。
二是明确各方人员,在各个组内担任的角色,如:监测组的监测人员。
三是明确各方人员,在各个组内担任的职责,如:监测组的监测人员,负责某台设备的监测,并且7X24小时不得离岗等。
四是明确各方设备的能力与作用,如防护类设备、流量类设备、主机检测类设备等。
五是制定可能出现的攻击成功场景,如:Web攻击成功场景、反序列化攻击成功场景、WebShell上传成功场景等。
六是明确突发事件的处置流程,将攻击场景规划至不同的处置流程:上机查证类处置流程、非上机查证类处置流程等。
溯源工作一直是安全的重要组成部分,无论在平常的运维工作,还是红蓝对抗的特殊时期,在发生安全事件后,能有效防止被再次入侵的有效手段,就是溯源工作!
反制工作是防守队反渗透能力的体现,普通的防守队员一般也只具备监测、分析、研判的能力,缺少反渗透的实力。这将使防守队一直属于被动的一方,因为防守队没有可反制的固定目标,也很难从成干上百的攻击IP里,确定哪些可能是攻击队的地址,这就要求防守队中要有经验丰富的反渗透的人员。
经验丰富的反渗透人员会通过告警日志,分析攻击IP、攻击手法等内容,对攻击IP进行端口扫描、IP反查域名、威胁情报等信息收集类工作,通过收集到的信息进行反渗透。
防守队还可通过效防攻击队社工手段,诱导攻击队进入诱捕陷阱,从而达到反制的目的,定位攻击队自然人的身份信息。
第五章建立实战化的安全体系
安全的本质是对抗。对抗是攻防双方能力的较量,是一个动态的过程。业务在发展,网络在变化,技术在变化,人员在变化,攻击手段也在不断变化。网络安全没有“一招鲜”的方式,需要在日常工作中,不断积累不断创新,不断适应变化,持续地构建自身的安全能力,才能面对随时可能威胁系统的各种攻击,不能临阵磨枪、仓促应对,必须立足根本、打好基础,加强安全建设、构建专业化的安全团队,优化安全运营过程,并针对各种攻击事件采取重点防护才是根本。
防守队不应以“修修补补,哪里出问题堵哪里”的思维来解决问题,而应未雨绸缪,从管理、技术、运行等方面建立实战化的安全体系,有效应对实战环境下的安全挑战。
实战攻防演习的真实对抗表明,攻防是不对称的。通常情况下,攻击队只需要撕开一个点,就会有所“收获”,甚至可以通过攻击一个点,拿下一座“城池”。
为应对真实网络攻击行为,仅仅建立合规型的的安全体系是远远不够的。随着云计算、大数据、人工
智能等新型技术的广泛应用,信息基础架构层面变得更加复杂,传统的安全思路已越来越难以适应安全保障能力的要求。必须通过新思路、新技术、新方法,从体系化的规划和建设角度,建立纵深防御体系架构,整体提升面向实战的防护能力。
从应对实战角度出发,对现有安全架构进行梳理,以安全能力建设为核心思路,面向主要风险重新设计政企机构整体安全架构,通过多种安全能力的组合和结构性设计形成真正的纵深防御体系,并努力将安全工作前移,确保安全与信息化“三同步”(同步规划、同步建设、同步运行),建立起能够具备实战防护能力、有效应对高级威胁,持续迭代演进提升的安全防御体系。
在实战攻防对抗中,攻击队总是延续信息收集、攻击探测、提权、持久化的一个个循环过程。攻击队总是通过不断的探测发现环境漏洞,并尝试绕过现有的防御体系,成功的入侵到网络环境中。如果防御体系的安全策略长期保持不变,一定会被“意志坚定”的攻击队得手。所以,为了应对攻击队的持续变化的攻击行为,需要防御体系自身具有一定适应性的动态变得检测能力和响应能力。
在攻防对抗实践中,防守对应利用现有安全设备的集成能力和威胁情报能力,通过云端威胁情报的数据,让防御体系中的检测设备和防护设备发现更多的攻击行为,并依据设备的安全策略做出动态的响应处置,把攻击队阻挡在边界之外。同时,在设备响应处置方面,也需要通过攻击队的攻击行为和动机支持多样化的防护能力,例如封堵IP、拦截具有漏洞的URL的组页面访问等策略。
通过动态防御体系,不仅可以有效拦截攻击队的攻击行为,同时还可以迷感攻击队,让攻击队的探测行为失去方向,让更多的攻击队知难而退,从而在对抗过程中占得先机。
构建主动防御的基础是可以采集到内部的大量的、有效的数据,包括安全设备的告警、流量信息、账号信息等。为了对内部网络影响最小,采用流量威胁分析的方式,实现“全网”流量威胁感知,特别是关键的边界流量、内部重要区域的流量。安全运营团队应利用专业的攻防技能,从这些流量威胁告警数据中发现攻击线索,并对已发现的攻击线索进行威胁巡猎、拓展,一步步找到真实的攻击点和受害目标。
主动防御能力主要表现为构建安全运营的闭环,包括以下几个方面。
在漏洞的运营方面,形成持续的评估发现、风险分析、加固处置的闭环,减少内部的受攻击面,提升网络环境的内生安全。
在资产运营方面,逐步建立起配置管理库(CMDB),定期开展暴露资产发现,并定期更新配置管理库,这样才能使安全运营团队快速定义攻击源和具有漏洞的资产,通过对未知资产处置和漏洞加固,减少内外部的受攻击面。
在实战攻防对抗中,封堵IP是很多防守队的主要响应手段。这种手段相对来讲简单、粗暴。同时,采用这种手段,容易造成对业务可用性的影响,主要体现在以下两个方面。
1)如果是检测设备误报,就会导致被封堵的IP并非是真实的攻击IP,这会影响到互联网用户的业务。
2)如果攻击IP自身是一个IDC出口IP,那么封堵该IP,就可能造成IDC后端大量用户的业务不可用。
所以,从常态化安全运行的角度来看,防守队应当逐步建立基于情报数据的精准防御能力。具体来说,主要包括以下几个方面。
首先,防守队需要建设一种精准防御的响应能力,在实战攻防对抗中针对不同的攻击IP、攻击行为可采用更加细粒度、精准的防御手段。
结合实战攻防对抗场景,防守队可以利用威胁情报数据共享机制,实现攻击源的精准检测与告警,促进进精准防御,减少检测设备误报导致业务部分中断的影响。此外,让威胁情报数据共享在多点安全设备上共同作用,可以形成多样化、细粒度化的精准防御。例如,在网络流量检测设备、终端检测与响应系统、主机防护系统等。
其次,为了最小化攻防活动对业务可用性的影响,需要设计多样化的精准防御手段与措施,既要延缓攻击,同时也要实现业务连续性需要。
例如,从受害目标系统维度去考虑设计精准防御能力,围绕不同的目标系统,采取不同的响应策略。如果是针对非实时业务系统的攻击,可以考虑通过防火墙封禁IP的模式;但如果是针对实时业务系统的攻击,就应考虑在WAF设备上拦藏具有漏洞的页面访问请求,从而达到实时业务系统的影响最小化。
最后,为了保证实战攻防对抗过程不会大面失陷,在重要主机侧应加强主机安全防护,阻止主机层面的恶意代码运行与异常进程操作。例如域控服务器、网管服务器、OA服务器、邮件服务器等。
在实战攻防对抗中,攻击是一个点,攻击队可以从一个点就攻破整座“城池”。所以在防守的各个阶段,不应只是安全部门在孤独的战斗,而是需要更多的资源、更多的部门协同工作,才有可能做好全面的防守工作。
在实战攻防对抗中,要求防守队一定要建立起联防联控的机制,分工明确、信息通畅。唯有如此,才能打好实战攻防演习的战斗工作。联防联控的关键点。
1)安全系统协调
通过安全系统的接口实现系统之间的集成,提升安全系统的联动,实现特定安全攻击事件自动化处置,提高安全事件的响应处置效率。
2)内部人员协同
内部的安全部门、网络部门、开发部门、业务部门全力配合实战攻防对抗工作组完成每个阶段的工作,同时在安全值守阶段全力配合工作组做好安全监控与处置的工作。
3)外部人员协同
实战攻防对抗是一个高频的对抗活动,在这期间,需要外部的专业安全厂商配合工作组一起来防守,各个厂商之间应依据产品特点和职能分工落实各自工作,并在期间做到信息通讯顺畅、听从指挥。
4)平台支撑、高效沟通
为了加强内部团队的沟通与协同,在内部通过指挥平台实现各部门、各角色之间的流程化、电子化沟通,提升沟通协同效率,助力联防联控有效运转。
第六章强化行之有效的整体防御能力
2020年的实战攻防演习的最新要求是:与报备目标系统同等重要的系统被攻陷也要参照报备目标系统规则扣分。
这就对大型机构的防守队带来了前所未有的防守压力。原来通行的防守策略是重兵屯在总部(目标系统一般在总部),提升总部的整体防御能力。但是随着实战攻防演习规则的演变,总部和分支机构就变的同等重要。
从攻击路径来看,分支机构的安全能力一般弱于总部,同时分支机构和总部网络层面是相通的,并且早期安全建设的时候往往会默认对方的网络是可信的;在安全防护层面,总部一般也仅仅是对来自分支机构的访问请求设置一些比较粗犷的访问控制措施。这些安全隐患都会给攻击队留出机会,使攻击队可以从薄弱点进入,然后横向移动到总部的目标系统。
因此,防守队只有将总部和分支机构进行统一的安全规划和管理,形成一个整体防御能力,才能有效的开展实战攻防对抗。在整体防御能力上,建议防守队开展如下工作。
1)互联网出口统一管理
条件允许的情况下,应尽量上收分支机构的互联网出入口。统一管理的好处是集中防御、节约成本、降低风险。同时,在整体上开展互联网侧的各类风险排查,包括互联网来知资产、敏感信息泄露、杜工信息的清理等工作。
2)加强分支机构防御能力
如果无法实现分支机构的互联网出入口统一管理,则分支机构需要参考总部的安全体系建设完善其自身的防御能力,避免成为安全中的短板。
3)全面统筹、协同防御
在准备阶段,应配合总部开展风险排查;在实战值守阶段,与防守队一起安全值守,并配置适当的安全监控人员、安全分析处置人员,配合防守队做好整体的防御,配合防守队做好攻击的应急处置等工作。