奇安信:红队视角下的防御体系突破 (奇安信安服团队) (z-library.sk, 1lib.sk, z-lib.sk)
Statistics
8
Views
0
Downloads
0
Donations
Read Online Fast Read Read Without Registration Download E-Book
Support
Share
Uploader

高宏飞

Shared on 2026-03-27

奇安信:红队视角下的防御体系突破 (奇安信安服团队) (z-library.sk, 1lib.sk, z-lib.sk)

教育

Author奇安信安服团队

No description

Tags
No tags
Publisher: iBooker it-ebooks
Publish Year: 2019
Language: 中文
File Format: PDF
File Size: 527.5 KB
Read Without Registration Text Reading Fast Read Read Now
Support Statistics
¥.00 · 0times
Text Preview (First 20 pages)
Registered users can read the full content for free

Register as a Gaohf Library member to read the complete e-book online for free and enjoy a better reading experience.

Register Now Login to Read
Page 1
实战攻防演习之 红队视角下的防御体系突破 1
Page 2
实战攻防演习之 红队视角下的防御体系突破 3 前 言 网络实战攻防演习,是新形势下关键信息系统网络 安全保护工作的重要组成部分。演习通常是以实际运 行的信息系统为保护目标,通过有监督的攻防对抗, 最大限度地模拟真实的网络攻击,以此来检验信息系 统的实际安全性和运维保障的实际有效性。 2016年以来,在国家监管机构的有力推动下,网 络实战攻防演习日益得到重视,演习范围越来越广, 演习周期越来越长,演习规模越来越大。国家有关部 门组织的全国性网络实战攻防演习从2016年仅有几家 参演单位,到2019年已扩展到上百家参演单位;同时 各省、各市、各行业的监管机构,也都在积极地筹备 和组织各自管辖范围内的实战演习。一时间,网络实 战攻防演习遍地开花。 在演习规模不断扩大的同时,攻防双方的技术水平 和对抗能力也在博弈中不断升级。 2016年,网络实战攻防演习尚处于起步阶段,攻 防重点大多集中于互联网入口或内网边界。 2017年,实战攻防演习开始与重大活动的网络安 全保障工作紧密结合。就演习成果来看,从互联网侧
Page 3
实战攻防演习之 红队视角下的防御体系突破 4 发起的直接攻击仍然普遍十分有效;而系统的外层防 护一旦被突破,横向移动、跨域攻击,往往都比较容 易实现。 2018年,网络实战攻防演习开始向行业和地方深 入。伴随着演习经验的不断丰富和大数据安全技术的 广泛应用,防守方对攻击行为的监测、发现和溯源能 力大幅增强,与之相应的,攻击队开始更多地转向精 准攻击和供应链攻击等新型作战策略。 2019年以来.网络实战攻防演习工作受到了监 管部门、政企机构和安全企业的空前重视。流量分 析、EDR、蜜罐、白名单等专业监测与防护技术被防 守队广泛采用。攻击难度的加大也迫使攻击队全面升 级,诸如0day漏洞攻击、1day漏洞攻击、身份仿冒、 钓鱼WiFi、鱼叉邮件、水坑攻击等高级攻击手法,在 实战攻防演练中均已不再罕见,攻防演习与网络实战 的水平更加接近。 如何更好地参与网络实战攻防演习?如何更好地借 助实战攻防演习提升自身的安全能力?这已经成为大 型政企机构运营者关心的重要问题。 作为国内领先的网络安全企业,奇安信集团已成为 全国各类网络实战攻防演习的主力军。奇安信集团安
Page 4
实战攻防演习之 红队视角下的防御体系突破 5 服团队结合200余次实战攻防演习经验,总结编撰了这 套实战攻防演习系列丛书,分别从红队视角、蓝队视 角和紫队视角,来解读网络实战攻防演习的要领,以 及如何结合演习提升政企机构的安全能力。 需要说明的是,实战攻防演习中的红方与蓝方对抗 实际上是沿用了军事演习的概念和方法,一般来说, 红方与蓝方分别代表攻击方与防守方。不过,红方和 蓝方的名词定义尚无严格的规定,也有一些实际的攻 防演习,将蓝队设为攻击队、将红队设为防守队。在 本系列丛书中,我们依据绝大多数网络安全工作者的 习惯,统一将攻击队命名为红队,将防守队命名为蓝 队,而紫队则代表组织演练的机构。 《红队视角下的防御体系突破》是本系列丛书的第 一本。本书希望通过归纳总结红队常用的攻击策略和 攻击战术,帮助政企机构理解攻方思维,以便提升演 习水平,构筑更有效的安全防御体系。正所谓“知己知 彼,百战不殆”。
Page 5
实战攻防演习之 红队视角下的防御体系突破 6 目 录 第一章 什么是红队 ..................................... 1 第二章 红队三板斧——攻击的三个阶段............3 一、第一阶段:情报收集.......................................3 二、第二阶段:建立据点.......................................4 三、第三阶段:横向移动.......................................5 第三章 红队也套路——常用的攻击战术......... ...7 一、利用弱口令获得权限.......................................7 二、利用社工来进入内网.......................................8 三、利用旁路攻击实施渗透.................................10 四、秘密渗透与多点潜伏.....................................11 第四章 红队三十六计——经典攻击实例..........14 一、浑水摸鱼——社工钓鱼突破系统..................14
Page 6
实战攻防演习之 红队视角下的防御体系突破 7 二、声东击西——混淆流量躲避侦察..................17 三、李代桃僵——旁路攻击搞定目标..................19 四、顺手牵羊——巧妙种马实施控制..................21 五、暗渡陈仓——迂回渗透取得突破..................23 第五章 红队眼中的防守弱点........................25 一、资产混乱、隔离策略不严格..........................25 二、通用中间件未修复漏洞较多..........................26 三、边界设备成为进入内网的缺口......................26 四、内网管理设备成扩大战果突破点..................26 附录 奇安信红队能力及攻防实践..................27
Page 7
实战攻防演习之 红队视角下的防御体系突破 1 第一章 什么是红队 红队,一般是指网络实战攻防演习中的攻击一方。 红队一般会针对目标系统、人员、软件、硬件和设 备同时执行的多角度、混合、对抗性的模拟攻击;通 过实现系统提权、控制业务、获取数据等目标,来发 现系统、技术、人员和基础架构中存在的网络安全隐 患或薄弱环节。 红队人员并不是一般意义上的电脑黑客。因为黑 客往往以攻破系统,获取利益为目标;而红队则是以 发现系统薄弱环节,提升系统安全性为目标。此外, 对于一般的黑客来说,只要发现某一种攻击方法可以 有效地达成目标,通常就没有必要再去尝试其他的攻 击方法和途径;但红队的目标则是要尽可能地找出系 统中存在的所有安全问题,因此往往会穷尽已知的“所 有”方法来完成攻击。换句话说,红队人员需要的是全 面的攻防能力,而不仅仅是一两招很牛的黑客技术。 红队的工作也与业界熟知的渗透测试有所区别。渗 透测试通常是按照规范技术流程对目标系统进行的安 全性测试;而红队攻击一般只限定攻击范围和攻击时 段,对具体的攻击方法则没有太多限制。渗透测试过 程一般只要验证漏洞的存在即可,而红队攻击则要求
Page 8
实战攻防演习之 红队视角下的防御体系突破 2 实际获取系统权限或系统数据。此外,渗透测试一般 都会明确要求禁止使用社工手段(通过对人的诱导、 欺骗等方法完成攻击),而红队则可以在一定范围内 使用社工手段。 还有一点必须说明:虽然实战攻防演习过程中通常 不会严格限定红队的攻击手法,但所有技术的使用, 目标的达成,也必须严格遵守国家相关的法律和法规。 在演习实践中,红队通常会以3人为一个战斗小 组,1人为组长。组长通常是红队中综合能力最强的 人,需要较强的组织意识、应变能力和丰富的实战经 验。而2名组员则往往需要各有所长,具备边界突破、 横向移动(利用一台受控设备攻击其他相邻设备)、 情报收集或武器制作等某一方面或几个方面的专长。 红队工作对其成员的能力要求往往是综合性的、全 面性的。红队成员不仅要会熟练使用各种黑客工具、 分析工具,还要熟知目标系统及其安全配置,并具备 一定的代码开发能力,以便应对特殊问题。
Page 9
实战攻防演习之 红队视角下的防御体系突破 3 第二章 红队三板斧——攻击的三个阶段 红队的攻击并非是天马行空的撞大运,而是一个 有章可循、科学合理的作战过程。一般来说,红队的 工作可分为三个阶段:情报收集、建立据点和横向移 动。我们也常将这个三个阶段称为红队工作的“三板 斧”。 一、第一阶段:情报收集 当红队专家接到目标任务后,并不会像渗透测试 那样在简单收集数据后直接去尝试各种常见漏洞,而 是先去做情报侦察和信息收集工作。收集的内容包括 组织架构、IT资产、敏感信息泄露、供应商信息等各个 方面。组织架构包括单位部门划分、人员信息、工作 职能、下属单位等;IT资产包括域名、IP地址、C段、 开放端口、运行服务、WEB中间件、WEB应用、移动 应用、网络架构等;敏感信息泄露包括代码泄露、文 档信息泄露、邮箱信息泄露、历史漏洞泄露信息等方 面;供应商信息包括相关合同、系统、软件、硬件、 代码、服务、人员等相关信息。 掌握了目标企业相关人员信息和组织架构,可以 快速定位关键人物以便实施鱼叉攻击,或确定内网横 纵向渗透路径;而收集了IT资产信息,可以为漏洞发现
Page 10
实战攻防演习之 红队视角下的防御体系突破 4 和利用提供数据支撑;掌握企业与供应商合作相关信 息,可为有针对性开展供应链攻击提供素材。而究竟 是要社工钓鱼,还是直接利用漏洞攻击,抑或是从供 应链下手,一般取决于哪块是安全防护的薄弱环节, 以及红队对攻击路径的选择。 二、第二阶段:建立据点 在找到薄弱环节后,红队专家会尝试利用漏洞或 社工等方法去获取外网系统控制权限,一般称之为“打 点”或撕口子。在这个过程中,红队专家会尝试绕过 WAF、IPS、杀毒软件等防护设备或软件,用最少的流 量、最小的动作去实现漏洞利用。 通过撕开的口子,寻找和内网联通的通道,再 进一步进行深入渗透,这个由外到内的过程一般称 之为纵向渗透,如果没有找到内外联通的DMZ区 (Demilitarized Zone,隔离区),红队专家会继续撕 口子,直到找到接入内网的点为止。 当 红 队 专 家 找 到 合 适 的 口 子 后 , 便 可 以 把 这 个 点 作 为 从 外 网 进 入 内 网 的 根 据 地 。 通 过 frp、ewsocks、reGeorg等工具在这个点上建立隧 道,形成从外网到内网的跳板,将它作为实施内网渗 透的坚实据点。
Page 11
实战攻防演习之 红队视角下的防御体系突破 5 若权限不足以建立跳板,红队专家通常会利用系 统、程序或服务漏洞进行提权操作,以获得更高权 限;若据点是非稳定的PC机,则会进行持久化操作, 保证PC机重启后,据点依然可以在线。 三、第三阶段:横向移动 进入内网后,红队专家一般会在本机以及内部网络 开展进一步信息收集和情报刺探工作。包括收集当前 计算机的网络连接、进程列表、命令执行历史记录、 数据库信息、当前用户信息、管理员登录信息、总结 密码规律、补丁更新频率等信息;同时对内网的其他 计算机或服务器的IP、主机名、开放端口、开放服务、 开放应用等情况进行情报刺探。再利用内网计算机、 服务器不及时修复漏洞、不做安全防护、同口令等弱 点来进行横向渗透扩大战果。 对于含有域的内网,红队专家会在扩大战果的同时 去寻找域管理员登录的蛛丝马迹。一旦发现某台服务 器有域管理员登录,就可以利用Mimikatz等工具去尝 试获得登录账号密码明文,或者Hashdump工具去导出 NTLM哈希,继而实现对域控服务器的渗透控制。 在内网漫游过程中,红队专家会重点关注邮件服务 器权限、OA系统权限、版本控制服务器权限、集中运
Page 12
实战攻防演习之 红队视角下的防御体系突破 6 维管理平台权限、统一认证系统权限、域控权限等位 置,尝试突破核心系统权限、控制核心业务、获取核 心数据,最终完成目标突破工作。
Page 13
实战攻防演习之 红队视角下的防御体系突破 7 第三章 红队也套路——常用的攻击战术 在红队的实战过程中,红队专家们逐渐摸出了一些 套路、总结了一些经验:有后台或登录入口的,会尽 量尝试通过弱口令等方式进入系统;找不到系统漏洞 时,会尝试社工钓鱼,从人开展突破;有安全防护设 备的,会尽量少用或不用扫描器,使用EXP力求一击即 中;针对蓝队防守严密的系统,会尝试从子公司或供 应链来开展工作。建立据点过程中,会用多种手段多 点潜伏,防患于未然。 下面介绍四种红队最常用的攻击战术。 一、利用弱口令获得权限 弱密码、默认密码、通用密码和已泄露密码通常是 红队专家们关注的重点。实际工作中,通过脆弱口令 获得权限的情况占据90%以上。 很多企业员工用类似zhangsan、zhangsan001 、zhangsan123、zhangsan888这种账号拼音或其简 单变形,或者123456、888888、生日、身份证后6 位、手机号后6位等做密码。导致通过信息收集后, 生成简单的密码字典进行枚举即可攻陷邮箱、OA等账 号。
Page 14
实战攻防演习之 红队视角下的防御体系突破 8 还有很多员工喜欢在多个不同网站上设置同一套密 码,其密码早已经被泄露并录入到了社工库中;或者 针对未启用SSO验证的内网业务系统,均习惯使用同 一套账户密码。这导致从某一途径获取了其账户密码 后,通过凭证复用的方式可以轻而易举地登录到此员 工所使用的其他业务系统中,为打开新的攻击面提供 了便捷。 很多通用系统在安装后会设置默认管理密码, 然而有些管理员从来没有修改过密码,如admin/ admin、test/123456、admin/admin888等密码广泛 存在于内外网系统后台,一旦进入后台系统,便有很 大可能性获得服务器控制权限;同样,有很多管理员 为了管理方便,用同一套密码管理不同服务器。当一 台服务器被攻陷并窃取到密码后,进而可以扩展至多 台服务器甚至造成域控制器沦陷的风险。 二、利用社工来进入内网 计算机“从来”不会犯错误,程序怎么写,逻辑便 怎么执行;在一台计算机上怎样执行,在另外一台计 算机也同样执行。但人却会犯各种各样的错误,同一 名员工在不同情况下的同一件事情上可能会犯不同的 错误,不同的员工在同一情况的同一件事情上也可能 会犯不同错误。很多情况下,当红队专家发现搞系统
Page 15
实战攻防演习之 红队视角下的防御体系突破 9 困难时,通常会把思路转到“搞人”(社工、钓鱼等)。 很多员工对接收的木马、钓鱼邮件没有防范意识。 红队专家可针对某目标员工获取邮箱权限后,再通过 此邮箱发送钓鱼邮件。大多数员工由于信任内部员工 发出的邮件,从而轻易点击了夹带在钓鱼邮件中的恶 意附件。一旦员工个人电脑沦陷,红队专家可以员工 PC作为跳板实施横向内网渗透,继而攻击目标系统或 其他系统、甚至攻击域控制器导致内网沦陷。 当然,社工不仅仅局限于使用电子邮件,通过客 服系统、聊天软件、电话等方式有时也能取得不错的 效果。像当年经典的黑客“朽木”入侵某大型互联网公 司,所采用的就是通过客服系统反馈客户端软件存在 问题无法运行,继而向客服发送了木马文件,最终木 马上线后成功控制了该公司核心系统,就是一个经典 的案例。有时,黑客会利用企业中不太懂安全的员工 来打开局面,譬如给法务人员发律师函、给人力资源 人员发简历、给销售人员发采购需求等等。 一旦控制了相关员工计算机,便可以进一步实施 信息收集。譬如大部分员工为了日常计算机操作中的 方便,以明文的方式在桌面或“我的文档”存储了包含 系统地址以及账号密码的文档;此外大多数员工也习 惯使用浏览器的记住密码功能,浏览器记住密码功能
Page 16
实战攻防演习之 红队视角下的防御体系突破 10 大部分依赖系统的API进行加密,所存储的密码是可逆 的。红队在导出保存的密码后,可以在受控机上建立 跳板,用受控员工的IP、账号、密码来登录,简直没有 比这更方便的了。 三、利用旁路攻击实施渗透 在有蓝队防守的红队工作中,有时总部的网站防 守得较为严密,红队专家很难直面硬钢,撬开进入内 网的大门。此种情况下,通常红队不会去硬攻城门, 而是会想方设法去找“下水道”,或者挖地道去迂回进 攻。 红队实战中发现,绝大部分企业的下属子公司之 间,以及下属公司与集团总部之间的内部网络均未进 行有效隔离。很多部委单位、大型央企均习惯使用单 独架设一条专用网络来打通各地区之间的内网连接, 但同时又忽视了针对此类内网的安全建设,缺乏足够 有效的网络访问控制,导致子公司、分公司一旦被突 破,红队可通过内网横向渗透直接攻击到集团总部, 漫游企业整个内网,攻击任意系统。 例如A子公司位于深圳,B子公司位于广州,而总 部位于北京。当A子公司或B子公司被突破后,都可以 毫无阻拦地进入到总部网络中来;而另外一种情况,A
Page 17
实战攻防演习之 红队视角下的防御体系突破 11 与B子公司可能仅需要访问总部位于北京的业务系统, 而A与B不需要有业务上的往来,理论上应该限制A与B 之间的网络访问。但实际情况是,一条专线内网通往 全国各地,一处沦陷可以导致处处沦陷。 另外大部分企业对开放于互联网的边界设备较为 信任,如VPN系统、虚拟化桌面系统、邮件服务系统 等。考虑到此类设备通常访问内网的重要业务,为了 避免影响到员工的正常使用,企业没有在其传输通道 上增加更多的防护手段;再加上此类系统多会集成统 一登录,一旦获得了某个员工的账号密码,就可以通 过这些系统突破边界直接进入内网中来。 譬如开放在内网边界的邮件服务通常缺乏审计、 也未采用多因子认证,员工平时通过邮件传送大量内 网的敏感信息,如服务器账户密码、重点人员通讯录 等;当掌握员工账号密码后,在邮件中所获得的信 息,会给红队下一步工作提供很多方便。 四、秘密渗透与多点潜伏 红队工作一般不会大规模使用漏洞扫描器。目前 主流的WAF、IPS等防护设备都有识别漏洞扫描器的能 力,一旦发现后,可能第一时间触发报警或阻断IP。因 此信息收集和情报刺探是红队工作的基础,在数据积
Page 18
实战攻防演习之 红队视角下的防御体系突破 12 累的基础上,针对性地根据特定系统、特定平台、特 定应用、特定版本,去寻找与之对应的漏洞,编写可 以绕过防护设备的EXP来实施攻击操作,可以达到一击 即中的目的。 现有的很多安全设备由于自身缺陷或安全防护能力 薄弱,基本上不具备对这种针对性攻击进行及时有效 发现和阻止攻击行为的能力。导致即便系统被入侵, 红队获取到目标资料、数据后,被攻击单位尚未感知 到入侵行为。此外由于安全人员技术能力薄弱,无法 实现对攻击行为的发现、识别,无法给出有效的攻击 阻断、漏洞溯源及系统修复策略,导致在攻击发生的 很长一段时间内,对红队尚没有有效的应对措施。 红队专家在工作中,通常不会仅仅站在一个据点 上去开展渗透工作,而是会采取不同的Webshell、后 门,利用不同的协议来建立不同特征的据点。因为大 部分应急响应过程并不能溯源攻击源头,也未必能分 析完整攻击路径,缺乏联动防御。蓝队在防护设备告 警时,大部分仅仅只处理告警设备中对应告警IP的服 务器,而忽略了对攻击链的梳理,导致尽管处理了告 警,仍未能将红队排除在内网之外,红队的据点可以 快速“死灰复燃”;如果某些蓝队成员专业程度不高, 缺乏安全意识,导致如针对Windows服务器应急运维 的过程中,直接将自己的磁盘通过远程桌面共享挂载
Page 19
实战攻防演习之 红队视角下的防御体系突破 13 到被告警的服务器上行为,反而可以给红队进一步攻 击蓝队成员的机会。
Page 20
实战攻防演习之 红队视角下的防御体系突破 14 第四章 红队三十六计——经典攻击实例 古人带兵打仗讲三十六计,而红队实战亦是一个攻 防对抗的过程,同样是人与人之间的较量,需要出谋 划策、斗智斗勇。在这个过程中,有着“勾心斗角”、“ 尔虞我诈”,也有着勇往直前、正面硬刚。为此,我们 精选了几个小案例,以三十六计为题向大家展现红队 的常见攻击手法。 一、浑水摸鱼——社工钓鱼突破系统 社会工程学(简称社工)在红队工作中占据着半壁 江山,而钓鱼攻击则是社工中的最常使用的套路。钓 鱼攻击通常具备一定的隐蔽性和欺骗性,不具备网络 技术能力的人通常无法分辨内容的真伪;而针对特定 目标及群体精心构造的鱼叉钓鱼攻击则可令具备一定 网络技术能力的人防不胜防,可谓之渗透利器。 小D团队便接到这样一个工作目标:某企业的财务 系统。通过前期踩点和信息收集发现,目标企业外网 开放系统非常少,也没啥可利用的漏洞,很难通过打 点的方式进入到内网。 不过还是让他们通过网上搜索以及一些开源社 工库中收集到一批目标企业的工作人员邮箱列表。
The above is a preview of the first 20 pages. Register to read the complete e-book.