甜橙安全头条第21期| 实战分享-红蓝对抗下的防守思路与溯源分析

免责声明：本公众号发布的文章均转载自互联网或经作者投稿授权的原创，文末已注明出处，其内容和图片版权归原网站或作者本人所有，并不代表安全+的观点，若有无意侵权或转载不当之处请联系我们处理，谢谢合作！

随着全球信息化的快速发展，层出不穷的网络攻击已经成为国家安全的新挑战，尤其像乌克兰的电网攻击、伊朗震网事件，更是将攻防对抗提升到国家层次，  核心数据、网络空间、生产经营、个人隐私乃至基础设施稳定等已经成为国家、企业需要重点保护的对象。在此大环境下，除了各类监管，攻防演习成了以攻促防的主要方式，本文基于自身内部团队组织的几次攻防演习，总结了部分攻防对抗中的注意点以及如何进行应急响应和溯源分析，希望这些血战中的真实案例可以对大家更好的应对攻防演习有所帮助。

常见攻击思路

01

攻方会全面的收集守方的各类信息，尤其上下游合作伙伴、分公司、投资服务方等所对应系统的子域名、端口服务、后台、APP微信小程序、各类职工及对应的系统服务器指纹信息等，最终蓝方整理的信息乃至比红方自己收集的都全，顺着藤摸透了便于找突破点。

攻方根据收集的信息，挨个找洞，像web、vpn、各类接口以及wifi的常规漏洞，后台弱口令，中间件以及各类框架的主流漏洞，这些漏洞守方只要有一个未加固好，就容易成为攻方的突破点，0day就不论了，这个考验信息获取能力和监控应急响应速度，守方难，难在难以做到一个不漏，没有绝对安全的系统，只能通过纵深的防御措施来遏止攻击。

人性的弱点，导致了社工成了有效的攻击方式，攻方通过利用各类工作群、邮件、电话乃至收买等骗取有效凭证，可以用最快的速度，最低的成本撬开入口。基本社工和常规漏洞挖掘是同时进行的，当守方发现各类社工攻击时，可能很多员工已经中招，安全意识教育并不能完全确保每个员工都时刻保持警惕，各类安全管控措施对物理入侵有效，网络钓鱼类难防。

必备的防守思路

02

首先从整个安全架构上来分析当前架构方面还存在的弱点，办公、生产、互连的网络架构，梳理业务、安全域之间的流量走向，研判当前安全检测、防护策略等是否健全有效，这些梳理清楚了，就明白什么地方需要优化、调整和加强防护。

对安全架构充满信心的同时，前期的资产收集是必须要做的，不管是对互联网暴漏的，还是办公、测试、生产网的资产，需要进行全面的自查收集，收集时除了向管理员要原始资产表，更重要的是一定安排安全人员去扫描收集，注意一定要全端口探测所有已开放的服务和各类系统，因为攻方收集资产的主要方式就是批量探测扫描，有其他途径获取的只占一小部分，当然边界防护设备中也能收集资产信息，只能作为查缺补漏。供应商、服务方、分公司等和我方有流量交互的也要重点收集关注，资产收集完成，要全面分析，哪些是存活的，哪些是可以下线的，哪些和靶标有业务交互需要重点防范的，这些理清楚了才会知道自己排查加固、防护监控的重点在哪里。

收集完资产，要根据已收集的资产进行漏洞排查和加固，内外网主机、应用、设备、中间件、第三方框架组件等需要进行多轮，多人次的漏洞排查和基线加固，合作方、分公司等的安全若是无法排查，能关停的关停，不能关停的边界一定要有安全防护监控措施；各主机、应用服务、系统、设备、中间件等的弱口令在业界曾造成数不胜数的血案，尤其注意排查企业特征弱口令，因为攻方会根据企业、员工的属性构建特定的字典来攻击；对互联网各类代码托管平台，办公网各类共享资源，测试生产网各类敏感信息进行全面的排查和收拢，因为横向渗透的时候这些敏感信息对攻方的价值很大；最后对于安全监控、防护、策略一定要进行校验，监控能力一定要到位，蜜网一定要健全，同时对异常的进程、链接、账号、shell、木马等最好做到全方位实时的监测，每日批量化的对关键主机做批量入侵痕迹排查。各类异常日志的审计，收紧各类VPN、堡垒机等的账号权限。

大多数公司对内网、测试、生产网的各类设备服务的安全加固存在不足和滞后，平时可能将安全力量主要保障互联网上各业务系统的安全运行，这就为攻方的内网横向渗透带来了极大的便利，内网加固的好，靶标藏的好，是能让守方多坚持一段时间乃至最终不被攻破，内网除了各类服务常见的弱密码、未授权类漏洞之外，一定关注MS17-010、SSh漏洞、S2、Weblogic反序列化、TNS劫持等漏洞，攻方进了内网会优先找这一类的漏洞，一旦发现就是血案。

系统好防人难防，血肉之躯五欲六尘面对疏忽懈怠糖衣炮弹会爆露出弱点，反社工、反侦察、安全意识培训、安全管理办法的落实都能进一步增加攻方渗透的难度，通过健全高效的监控设备，发现入侵痕迹，及时阻断攻击并有效反击，拼体力、精力的同时，考验的是精湛的溯源技术和敏锐的洞察力，攻防对抗，想加分需要抓到攻方的的真实ip和证据，没有哪个攻方会毫无伪装用真实ip来让你抓到加分，都是层层代理层层肉鸡，各种肉鸡对你一顿猛攻，调虎离山伪装攻击，真实的攻击一击致命，拿下靶标。

应急响应与溯源分析

03

监控设备发现异常告警后， 先确认是否是攻击以及是否攻击成功，根据对业务影响程度，快速断网，结合攻击异常的时间、排查恶意文件首次出现的目录、尤其详细关注系统、应用、安全设备日志排查出漏洞被利用的位置，尽快修复漏洞，排查边界控制设备确定漏洞对网络区域之间的影响范围，处于影响范围中的主机、应用要进行及时的补救加固及入侵检测。

遏止了攻击，想加分就需要进行取证，自己安全设备记录的攻方ip等信息基本不是组织方下发的ip，因此若是可以溯源拿下攻方部分服务器，对于取证有很大的帮助作用，下述记录一次内部演习中的反击过程。

拿到攻方IP，根据上述攻击思路，寻找漏洞，有的攻击者会把自己的服务器加固的很牢固，有的则不然，存在疏忽的话攻方的机器也会被拿下，

如某xx.60.2 IP对守方发起攻击被发现，分析一下：

然后利用一个上传漏洞，拿shell

根据异常进程，发现是powershell的进程在批量扫描80端口

在mysql服务的配置文件中找到root密码，尝试root提权，但是被降权

继续提权时，引起了攻击者的警觉迅速关闭了服务器

此事本以为到此结束，结果5天后攻方又来了

这次利用其部署的phpmyadmin存在的一个漏洞，继续拿下主机，发现还是powershell.exe在搞事情

捕获pid为 5012网络数据包与日志系统告警做对比，发现UA标识会随机变化

通过分析异常进程的数据包，发现执行了一条 base64加密的powershell命令

解密后发现这条命令指向了另一个XX.XX.157.163的地址，这条命令的作用，疑似是在向这个URL地址上传数据，访问该地址显示404

该404页面是攻击者伪造的，需要特定UA才能显示真实页面。访问XX.XX.157.163的根目录，发现是一个正常的业务系统，初步判断该系统为攻方的攻击跳板。

最后留下后门脚本持续监视攻方与163以及我方之间的流量来往。

上述仅是一次团队内部组织的攻防演习的一些记录和总结，希望这些总结建议可以对广大参与红蓝对抗的安全爱好者提供一些思路和帮助。

注：团队内部攻防，相互授权可以互攻、互守，本文所有涉及攻防操作均已得到授权