奇安信：红队视角下的防御体系突破 (奇安信安服团队) (z-library.sk, 1lib.sk, z-lib.sk)

📄 File Format: PDF

💾 File Size: 527.5 KB

📖 Read Online ⬇️ Download

Registered users can read the full content for free

Register as a Gaohf Library member to read the complete e-book online for free and enjoy a better reading experience.

📄 Page 1

实战攻防演习之 红队视角下的防御体系突破 1

📄 Page 2

实战攻防演习之 红队视角下的防御体系突破 3 前 言 网络实战攻防演习，是新形势下关键信息系统网络 安全保护工作的重要组成部分。演习通常是以实际运 行的信息系统为保护目标，通过有监督的攻防对抗， 最大限度地模拟真实的网络攻击，以此来检验信息系 统的实际安全性和运维保障的实际有效性。 2016年以来，在国家监管机构的有力推动下，网 络实战攻防演习日益得到重视，演习范围越来越广， 演习周期越来越长，演习规模越来越大。国家有关部 门组织的全国性网络实战攻防演习从2016年仅有几家 参演单位，到2019年已扩展到上百家参演单位；同时 各省、各市、各行业的监管机构，也都在积极地筹备 和组织各自管辖范围内的实战演习。一时间，网络实 战攻防演习遍地开花。 在演习规模不断扩大的同时，攻防双方的技术水平 和对抗能力也在博弈中不断升级。 2016年，网络实战攻防演习尚处于起步阶段，攻 防重点大多集中于互联网入口或内网边界。 2017年，实战攻防演习开始与重大活动的网络安 全保障工作紧密结合。就演习成果来看，从互联网侧

📄 Page 3

实战攻防演习之 红队视角下的防御体系突破 4 发起的直接攻击仍然普遍十分有效；而系统的外层防 护一旦被突破，横向移动、跨域攻击，往往都比较容 易实现。 2018年，网络实战攻防演习开始向行业和地方深 入。伴随着演习经验的不断丰富和大数据安全技术的 广泛应用，防守方对攻击行为的监测、发现和溯源能 力大幅增强，与之相应的，攻击队开始更多地转向精 准攻击和供应链攻击等新型作战策略。 2019年以来．网络实战攻防演习工作受到了监 管部门、政企机构和安全企业的空前重视。流量分 析、EDR、蜜罐、白名单等专业监测与防护技术被防 守队广泛采用。攻击难度的加大也迫使攻击队全面升 级，诸如0day漏洞攻击、1day漏洞攻击、身份仿冒、 钓鱼WiFi、鱼叉邮件、水坑攻击等高级攻击手法，在 实战攻防演练中均已不再罕见，攻防演习与网络实战 的水平更加接近。 如何更好地参与网络实战攻防演习？如何更好地借 助实战攻防演习提升自身的安全能力？这已经成为大 型政企机构运营者关心的重要问题。 作为国内领先的网络安全企业，奇安信集团已成为 全国各类网络实战攻防演习的主力军。奇安信集团安

📄 Page 4

实战攻防演习之 红队视角下的防御体系突破 5 服团队结合200余次实战攻防演习经验，总结编撰了这 套实战攻防演习系列丛书，分别从红队视角、蓝队视 角和紫队视角，来解读网络实战攻防演习的要领，以 及如何结合演习提升政企机构的安全能力。 需要说明的是，实战攻防演习中的红方与蓝方对抗 实际上是沿用了军事演习的概念和方法，一般来说， 红方与蓝方分别代表攻击方与防守方。不过，红方和 蓝方的名词定义尚无严格的规定，也有一些实际的攻 防演习，将蓝队设为攻击队、将红队设为防守队。在 本系列丛书中，我们依据绝大多数网络安全工作者的 习惯，统一将攻击队命名为红队，将防守队命名为蓝 队，而紫队则代表组织演练的机构。 《红队视角下的防御体系突破》是本系列丛书的第 一本。本书希望通过归纳总结红队常用的攻击策略和 攻击战术，帮助政企机构理解攻方思维，以便提升演 习水平，构筑更有效的安全防御体系。正所谓“知己知 彼，百战不殆”。

📄 Page 5

实战攻防演习之 红队视角下的防御体系突破 6 目 录 第一章 什么是红队 ..................................... 1 第二章 红队三板斧——攻击的三个阶段............3 一、第一阶段：情报收集.......................................3 二、第二阶段：建立据点.......................................4 三、第三阶段：横向移动.......................................5 第三章 红队也套路——常用的攻击战术......... ...7 一、利用弱口令获得权限.......................................7 二、利用社工来进入内网.......................................8 三、利用旁路攻击实施渗透.................................10 四、秘密渗透与多点潜伏.....................................11 第四章 红队三十六计——经典攻击实例..........14 一、浑水摸鱼——社工钓鱼突破系统..................14

📄 Page 6

实战攻防演习之 红队视角下的防御体系突破 7 二、声东击西——混淆流量躲避侦察..................17 三、李代桃僵——旁路攻击搞定目标..................19 四、顺手牵羊——巧妙种马实施控制..................21 五、暗渡陈仓——迂回渗透取得突破..................23 第五章 红队眼中的防守弱点........................25 一、资产混乱、隔离策略不严格..........................25 二、通用中间件未修复漏洞较多..........................26 三、边界设备成为进入内网的缺口......................26 四、内网管理设备成扩大战果突破点..................26 附录 奇安信红队能力及攻防实践..................27

📄 Page 7

实战攻防演习之 红队视角下的防御体系突破 1 第一章 什么是红队 红队，一般是指网络实战攻防演习中的攻击一方。 红队一般会针对目标系统、人员、软件、硬件和设 备同时执行的多角度、混合、对抗性的模拟攻击；通 过实现系统提权、控制业务、获取数据等目标，来发 现系统、技术、人员和基础架构中存在的网络安全隐 患或薄弱环节。 红队人员并不是一般意义上的电脑黑客。因为黑 客往往以攻破系统，获取利益为目标；而红队则是以 发现系统薄弱环节，提升系统安全性为目标。此外， 对于一般的黑客来说，只要发现某一种攻击方法可以 有效地达成目标，通常就没有必要再去尝试其他的攻 击方法和途径；但红队的目标则是要尽可能地找出系 统中存在的所有安全问题，因此往往会穷尽已知的“所 有”方法来完成攻击。换句话说，红队人员需要的是全 面的攻防能力，而不仅仅是一两招很牛的黑客技术。 红队的工作也与业界熟知的渗透测试有所区别。渗 透测试通常是按照规范技术流程对目标系统进行的安 全性测试；而红队攻击一般只限定攻击范围和攻击时 段，对具体的攻击方法则没有太多限制。渗透测试过 程一般只要验证漏洞的存在即可，而红队攻击则要求

📄 Page 8

实战攻防演习之 红队视角下的防御体系突破 2 实际获取系统权限或系统数据。此外，渗透测试一般 都会明确要求禁止使用社工手段（通过对人的诱导、 欺骗等方法完成攻击），而红队则可以在一定范围内 使用社工手段。 还有一点必须说明:虽然实战攻防演习过程中通常 不会严格限定红队的攻击手法，但所有技术的使用， 目标的达成，也必须严格遵守国家相关的法律和法规。 在演习实践中，红队通常会以3人为一个战斗小 组，1人为组长。组长通常是红队中综合能力最强的 人，需要较强的组织意识、应变能力和丰富的实战经 验。而2名组员则往往需要各有所长，具备边界突破、 横向移动（利用一台受控设备攻击其他相邻设备）、 情报收集或武器制作等某一方面或几个方面的专长。 红队工作对其成员的能力要求往往是综合性的、全 面性的。红队成员不仅要会熟练使用各种黑客工具、 分析工具，还要熟知目标系统及其安全配置，并具备 一定的代码开发能力，以便应对特殊问题。

📄 Page 9

实战攻防演习之 红队视角下的防御体系突破 3 第二章 红队三板斧——攻击的三个阶段 红队的攻击并非是天马行空的撞大运，而是一个 有章可循、科学合理的作战过程。一般来说，红队的 工作可分为三个阶段：情报收集、建立据点和横向移 动。我们也常将这个三个阶段称为红队工作的“三板 斧”。 一、第一阶段：情报收集 当红队专家接到目标任务后，并不会像渗透测试 那样在简单收集数据后直接去尝试各种常见漏洞，而 是先去做情报侦察和信息收集工作。收集的内容包括 组织架构、IT资产、敏感信息泄露、供应商信息等各个 方面。组织架构包括单位部门划分、人员信息、工作 职能、下属单位等；IT资产包括域名、IP地址、C段、 开放端口、运行服务、WEB中间件、WEB应用、移动 应用、网络架构等；敏感信息泄露包括代码泄露、文 档信息泄露、邮箱信息泄露、历史漏洞泄露信息等方 面；供应商信息包括相关合同、系统、软件、硬件、 代码、服务、人员等相关信息。 掌握了目标企业相关人员信息和组织架构，可以 快速定位关键人物以便实施鱼叉攻击，或确定内网横 纵向渗透路径；而收集了IT资产信息，可以为漏洞发现

📄 Page 10

实战攻防演习之 红队视角下的防御体系突破 4 和利用提供数据支撑；掌握企业与供应商合作相关信 息，可为有针对性开展供应链攻击提供素材。而究竟 是要社工钓鱼，还是直接利用漏洞攻击，抑或是从供 应链下手，一般取决于哪块是安全防护的薄弱环节， 以及红队对攻击路径的选择。 二、第二阶段：建立据点 在找到薄弱环节后，红队专家会尝试利用漏洞或 社工等方法去获取外网系统控制权限，一般称之为“打 点”或撕口子。在这个过程中，红队专家会尝试绕过 WAF、IPS、杀毒软件等防护设备或软件，用最少的流 量、最小的动作去实现漏洞利用。 通过撕开的口子，寻找和内网联通的通道，再 进一步进行深入渗透，这个由外到内的过程一般称 之为纵向渗透，如果没有找到内外联通的DMZ区 （Demilitarized Zone，隔离区），红队专家会继续撕 口子，直到找到接入内网的点为止。 当 红 队 专 家 找 到 合 适 的 口 子 后 ， 便 可 以 把 这 个 点 作 为 从 外 网 进 入 内 网 的 根 据 地 。 通 过 frp、ewsocks、reGeorg等工具在这个点上建立隧 道，形成从外网到内网的跳板，将它作为实施内网渗 透的坚实据点。

📄 Page 11

实战攻防演习之 红队视角下的防御体系突破 5 若权限不足以建立跳板，红队专家通常会利用系 统、程序或服务漏洞进行提权操作，以获得更高权 限；若据点是非稳定的PC机，则会进行持久化操作， 保证PC机重启后，据点依然可以在线。 三、第三阶段：横向移动 进入内网后，红队专家一般会在本机以及内部网络 开展进一步信息收集和情报刺探工作。包括收集当前 计算机的网络连接、进程列表、命令执行历史记录、 数据库信息、当前用户信息、管理员登录信息、总结 密码规律、补丁更新频率等信息；同时对内网的其他 计算机或服务器的IP、主机名、开放端口、开放服务、 开放应用等情况进行情报刺探。再利用内网计算机、 服务器不及时修复漏洞、不做安全防护、同口令等弱 点来进行横向渗透扩大战果。 对于含有域的内网，红队专家会在扩大战果的同时 去寻找域管理员登录的蛛丝马迹。一旦发现某台服务 器有域管理员登录，就可以利用Mimikatz等工具去尝 试获得登录账号密码明文，或者Hashdump工具去导出 NTLM哈希，继而实现对域控服务器的渗透控制。 在内网漫游过程中，红队专家会重点关注邮件服务 器权限、OA系统权限、版本控制服务器权限、集中运

📄 Page 12

实战攻防演习之 红队视角下的防御体系突破 6 维管理平台权限、统一认证系统权限、域控权限等位 置，尝试突破核心系统权限、控制核心业务、获取核 心数据，最终完成目标突破工作。

📄 Page 13

实战攻防演习之 红队视角下的防御体系突破 7 第三章 红队也套路——常用的攻击战术 在红队的实战过程中，红队专家们逐渐摸出了一些 套路、总结了一些经验：有后台或登录入口的，会尽 量尝试通过弱口令等方式进入系统；找不到系统漏洞 时，会尝试社工钓鱼，从人开展突破；有安全防护设 备的，会尽量少用或不用扫描器，使用EXP力求一击即 中；针对蓝队防守严密的系统，会尝试从子公司或供 应链来开展工作。建立据点过程中，会用多种手段多 点潜伏，防患于未然。 下面介绍四种红队最常用的攻击战术。 一、利用弱口令获得权限 弱密码、默认密码、通用密码和已泄露密码通常是 红队专家们关注的重点。实际工作中，通过脆弱口令 获得权限的情况占据90%以上。 很多企业员工用类似zhangsan、zhangsan001 、zhangsan123、zhangsan888这种账号拼音或其简 单变形，或者123456、888888、生日、身份证后6 位、手机号后6位等做密码。导致通过信息收集后， 生成简单的密码字典进行枚举即可攻陷邮箱、OA等账 号。

📄 Page 14

实战攻防演习之 红队视角下的防御体系突破 8 还有很多员工喜欢在多个不同网站上设置同一套密 码，其密码早已经被泄露并录入到了社工库中；或者 针对未启用SSO验证的内网业务系统，均习惯使用同 一套账户密码。这导致从某一途径获取了其账户密码 后，通过凭证复用的方式可以轻而易举地登录到此员 工所使用的其他业务系统中，为打开新的攻击面提供 了便捷。 很多通用系统在安装后会设置默认管理密码， 然而有些管理员从来没有修改过密码，如admin/ admin、test/123456、admin/admin888等密码广泛 存在于内外网系统后台，一旦进入后台系统，便有很 大可能性获得服务器控制权限；同样，有很多管理员 为了管理方便，用同一套密码管理不同服务器。当一 台服务器被攻陷并窃取到密码后，进而可以扩展至多 台服务器甚至造成域控制器沦陷的风险。 二、利用社工来进入内网 计算机“从来”不会犯错误，程序怎么写，逻辑便 怎么执行；在一台计算机上怎样执行，在另外一台计 算机也同样执行。但人却会犯各种各样的错误，同一 名员工在不同情况下的同一件事情上可能会犯不同的 错误，不同的员工在同一情况的同一件事情上也可能 会犯不同错误。很多情况下，当红队专家发现搞系统

📄 Page 15

实战攻防演习之 红队视角下的防御体系突破 9 困难时，通常会把思路转到“搞人”（社工、钓鱼等）。 很多员工对接收的木马、钓鱼邮件没有防范意识。 红队专家可针对某目标员工获取邮箱权限后，再通过 此邮箱发送钓鱼邮件。大多数员工由于信任内部员工 发出的邮件，从而轻易点击了夹带在钓鱼邮件中的恶 意附件。一旦员工个人电脑沦陷，红队专家可以员工 PC作为跳板实施横向内网渗透，继而攻击目标系统或 其他系统、甚至攻击域控制器导致内网沦陷。 当然，社工不仅仅局限于使用电子邮件，通过客 服系统、聊天软件、电话等方式有时也能取得不错的 效果。像当年经典的黑客“朽木”入侵某大型互联网公 司，所采用的就是通过客服系统反馈客户端软件存在 问题无法运行，继而向客服发送了木马文件，最终木 马上线后成功控制了该公司核心系统，就是一个经典 的案例。有时，黑客会利用企业中不太懂安全的员工 来打开局面，譬如给法务人员发律师函、给人力资源 人员发简历、给销售人员发采购需求等等。 一旦控制了相关员工计算机，便可以进一步实施 信息收集。譬如大部分员工为了日常计算机操作中的 方便，以明文的方式在桌面或“我的文档”存储了包含 系统地址以及账号密码的文档；此外大多数员工也习 惯使用浏览器的记住密码功能，浏览器记住密码功能

📄 Page 16

实战攻防演习之 红队视角下的防御体系突破 10 大部分依赖系统的API进行加密，所存储的密码是可逆 的。红队在导出保存的密码后，可以在受控机上建立 跳板，用受控员工的IP、账号、密码来登录，简直没有 比这更方便的了。 三、利用旁路攻击实施渗透 在有蓝队防守的红队工作中，有时总部的网站防 守得较为严密，红队专家很难直面硬钢，撬开进入内 网的大门。此种情况下，通常红队不会去硬攻城门， 而是会想方设法去找“下水道”，或者挖地道去迂回进 攻。 红队实战中发现，绝大部分企业的下属子公司之 间，以及下属公司与集团总部之间的内部网络均未进 行有效隔离。很多部委单位、大型央企均习惯使用单 独架设一条专用网络来打通各地区之间的内网连接， 但同时又忽视了针对此类内网的安全建设，缺乏足够 有效的网络访问控制，导致子公司、分公司一旦被突 破，红队可通过内网横向渗透直接攻击到集团总部， 漫游企业整个内网，攻击任意系统。 例如A子公司位于深圳，B子公司位于广州，而总 部位于北京。当A子公司或B子公司被突破后，都可以 毫无阻拦地进入到总部网络中来；而另外一种情况，A

📄 Page 17

实战攻防演习之 红队视角下的防御体系突破 11 与B子公司可能仅需要访问总部位于北京的业务系统， 而A与B不需要有业务上的往来，理论上应该限制A与B 之间的网络访问。但实际情况是，一条专线内网通往 全国各地，一处沦陷可以导致处处沦陷。 另外大部分企业对开放于互联网的边界设备较为 信任，如VPN系统、虚拟化桌面系统、邮件服务系统 等。考虑到此类设备通常访问内网的重要业务，为了 避免影响到员工的正常使用，企业没有在其传输通道 上增加更多的防护手段；再加上此类系统多会集成统 一登录，一旦获得了某个员工的账号密码，就可以通 过这些系统突破边界直接进入内网中来。 譬如开放在内网边界的邮件服务通常缺乏审计、 也未采用多因子认证，员工平时通过邮件传送大量内 网的敏感信息，如服务器账户密码、重点人员通讯录 等；当掌握员工账号密码后，在邮件中所获得的信 息，会给红队下一步工作提供很多方便。 四、秘密渗透与多点潜伏 红队工作一般不会大规模使用漏洞扫描器。目前 主流的WAF、IPS等防护设备都有识别漏洞扫描器的能 力，一旦发现后，可能第一时间触发报警或阻断IP。因 此信息收集和情报刺探是红队工作的基础，在数据积

📄 Page 18

实战攻防演习之 红队视角下的防御体系突破 12 累的基础上，针对性地根据特定系统、特定平台、特 定应用、特定版本，去寻找与之对应的漏洞，编写可 以绕过防护设备的EXP来实施攻击操作，可以达到一击 即中的目的。 现有的很多安全设备由于自身缺陷或安全防护能力 薄弱，基本上不具备对这种针对性攻击进行及时有效 发现和阻止攻击行为的能力。导致即便系统被入侵， 红队获取到目标资料、数据后，被攻击单位尚未感知 到入侵行为。此外由于安全人员技术能力薄弱，无法 实现对攻击行为的发现、识别，无法给出有效的攻击 阻断、漏洞溯源及系统修复策略，导致在攻击发生的 很长一段时间内，对红队尚没有有效的应对措施。 红队专家在工作中，通常不会仅仅站在一个据点 上去开展渗透工作，而是会采取不同的Webshell、后 门，利用不同的协议来建立不同特征的据点。因为大 部分应急响应过程并不能溯源攻击源头，也未必能分 析完整攻击路径，缺乏联动防御。蓝队在防护设备告 警时，大部分仅仅只处理告警设备中对应告警IP的服 务器，而忽略了对攻击链的梳理，导致尽管处理了告 警，仍未能将红队排除在内网之外，红队的据点可以 快速“死灰复燃”；如果某些蓝队成员专业程度不高， 缺乏安全意识，导致如针对Windows服务器应急运维 的过程中，直接将自己的磁盘通过远程桌面共享挂载

📄 Page 19

实战攻防演习之 红队视角下的防御体系突破 13 到被告警的服务器上行为，反而可以给红队进一步攻 击蓝队成员的机会。

📄 Page 20

实战攻防演习之 红队视角下的防御体系突破 14 第四章 红队三十六计——经典攻击实例 古人带兵打仗讲三十六计，而红队实战亦是一个攻 防对抗的过程，同样是人与人之间的较量，需要出谋 划策、斗智斗勇。在这个过程中，有着“勾心斗角”、“ 尔虞我诈”，也有着勇往直前、正面硬刚。为此，我们 精选了几个小案例，以三十六计为题向大家展现红队 的常见攻击手法。 一、浑水摸鱼——社工钓鱼突破系统 社会工程学（简称社工）在红队工作中占据着半壁 江山，而钓鱼攻击则是社工中的最常使用的套路。钓 鱼攻击通常具备一定的隐蔽性和欺骗性，不具备网络 技术能力的人通常无法分辨内容的真伪；而针对特定 目标及群体精心构造的鱼叉钓鱼攻击则可令具备一定 网络技术能力的人防不胜防，可谓之渗透利器。 小D团队便接到这样一个工作目标：某企业的财务 系统。通过前期踩点和信息收集发现，目标企业外网 开放系统非常少，也没啥可利用的漏洞，很难通过打 点的方式进入到内网。 不过还是让他们通过网上搜索以及一些开源社 工库中收集到一批目标企业的工作人员邮箱列表。