国内蓝军概念起源于军事红蓝对抗演练,习惯上将我方正面部队称之为红军,攻击方则为蓝军。国外则正好反过来,用Red team代表攻击方,Blue Team代表防守方。
回到 *** 安全领域,2016年,《 *** 安全法》颁布,规定:关键信息基础设施的运营者应“制定 *** 安全事件应急预案,并定期进行演练”。之后公安部领导了轰轰烈烈的HW行动,深刻影响了整个 *** 安全行业,各家大公司也纷纷成立自己的红蓝团队, 红蓝对抗演练蔚然成风。
滴滴安全蓝军团队成立于2018年,主要负责全局风险兜底和感控策略的检验。本文介绍了传统攻防演练的一些流程 *** 和攻击思路,大家一起探讨下。
正如打仗需要制定作战方案,一场好的攻防对抗也需要制定周密的演练方案
首选明确演练要素
演练对象:明确目标
演练时间:按时完成
演练人员:合理分配
其次制定演练计划
识别可能的攻击路径
制定演练计划
任务拆解
最后确认演练报备
预判可能的风险
有风险操作进行提前报备
总结了几个演练策略
攻彼之短
目标能否被攻破,只取决于最短板,标杆建的再高也没用
重点关注高危服务、敏感端口、第三方框架等作为突破口
力求深度
攻击不求全,而在于精与深
抓住一个点应持续往下渗透,扩大战果
隐匿行踪
制备防查杀武器脚本,隐藏自身IP等
避开反入侵监控,选择攻击时机
知已知比,百战不殆。在不清楚目标的情况下,搜集尽可能多的信息,比如
系统信息:域名、IP段、APP、小程序、开放端口、指纹、中间件、WEB框架、 *** 架构等
人员组织:邮箱、姓名、手机号、职务、组织架构、办公场所等
上下游: 供应链、合作方、分公司、威胁情报等
信息搜集的方式 *** 有:
工商备案查询: whois、企查查
Goole hack: 如site:didichuxing.com
子域名采集: subDomain、wydomain、http://phpinfo.me/domain
端口扫描:同网段扫描、旁站扫描
指纹识别:whatsweb、nmap、http://www.yunsee.cn
信息泄露:github、百度网盘
情报系统:微步在线、exploit-db
第三方搜索: soda、fofa、zooeye
首先通过对外网站、APP、小程序入手,找到可能的漏洞与突破口。然后是社工钓鱼等特殊手段。
总结分为以下几类:
传统边界渗透:系统漏洞、github泄露等
0day 攻击:CVE列表、最新Poc 等
钓鱼社工: 窃取密码、鱼叉攻击等
近源攻击: 职场尾随、wifi 破解等
横向渗透技术,仅罗列了部分常见的技术:
内网 *** : lcx、frp、socks *** 、nc
弱口令扫描:ssh、rdp、mysql、mssql、ftp、vnc
常见高风险服务:jenkins、k8s、hadoop yarn、weblogic、zabbix
共享/未授权访问:nfs、rsync、elasticsearch、redis
常用服务:wiki、git、jira、oa、mail
域渗透:IPC$、PTH、PTT、hash dump
提权:MFS、数据库提权、系统漏洞提权、启动项
敏感信息搜集:配置文件、缓存的凭据、数据文件、日志文件
C2远控: cobalt strike、Empire
如何评价演练是否成功,外部安全竞赛等强对抗场景采用了计分制。比如获取了一台服务器、一个员工账号、核心服务的数据权限各分别得多少分。相应的,防守方若发现了入侵行为,溯源到攻击者,也有相应得分。通过得分的多少作为演练质量的指标。
公司内部的红蓝演练其实是合作和对抗并存的关系,不一定非得分个高低。重要的是复盘总结,查漏补缺,共同提升公司的安全水位。
同行们也整理出了一些公司内部红蓝对抗可用的指标,如
攻击成功率:
例如外网渗透能否突破边界
域渗透能否拿下域控
攻击覆盖率:
覆盖多少种攻击的 ***
覆盖多少业务线
攻击被发现率:
理论覆盖占实际检测的比例
能否躲避反入侵监控
安全技术不断提高,想直接从外网突破还是有困难的,有一定运气的成分。当无计可施的时候,试试钓鱼吧,系统可以做到100%安全,但员工意识确是更大的变数。
滴滴每年都会进行多起钓鱼演练, 严重的时候钓鱼成功率可以达到10%,经过近年的安全教育,员工意识已经有了大幅度提升。
滴滴的钓鱼演练主要分为3类:
新员工钓鱼, 所有新入职员工的之一周,都会收到钓鱼邮件的洗礼。因为数据显示,新员工的安全意识是最薄弱的,如果中招,则会自动发送教育警示邮件。
部门钓鱼演练,一般是联合部门共同发起,发送对象为部门所有员工, 由于发送量比较大,需要提前加好白名单。
红蓝钓鱼, 目的是对抗性质,一般每次需要变换点花样,观察实际的成功率,以检验员工的安全意识、校验反钓鱼检测策略。
实现域内用户、计算机、目录的统一管理的服务器称之为域控。如同堡垒机之于生产网,域控也是办公网的核心服务。不同的是,堡垒机的实现方式多种多样,域控确是唯一选择。也正是如此,国内外的 *** 安全界才积累出了各种域渗透的奇淫巧技。
初略总结,大体有几个思路吧:
0day漏洞: 域控作为成熟的产品,但还是会有严重的漏洞产生,近年来还是不断有0day爆出,远的有MS14-068,去年有exchange ssrf搞域控 *** 流出,今年又有CVE-2020-1472出现,每一次0day出现都可以搞一波域控。
域共享: 域共享内有可能存储各类的敏感信息、密码脚本 等等,多找找,兴许会有所发现。
传统系统漏洞:有些域控可能不重视安全或者加固没到位,导致出现管理缺陷、服务混部等通过传统漏洞渗透进服务器系统,
迂回路径:实际域渗透中,采用迂回的案例比较多,通过拿下办公网其他服务器, 导出服务器上的所有密码,然后奇迹般发现这里面也有域控管理员的密码, 顺利登录域控服务器。
内网服务安全性一般都比较薄弱, 因为有限的安全测试资源往往优先投入到外网防御,内网一般是覆盖薄弱的地方,也因此存在着安全盲区。
部分内网服务会大规模部署(比如超过100台),这类公共服务一般以主机agent的形式部署到生产网服务器中,甚至会集成到系统镜像中。如果存在安全问题,即会影响成百上千的服务器,安全风险就会被成百上千倍的放大。
列举几类常见的主机agent场景:
运维监控agent: 开源的如zabbix 和 nagios, 拿zabbix来说,我们知道在后台可以直接下发命令执行任务,拿到后台权限也就等于控制了所有服务器。
运维发布agent:开源的如 saltstack 和 ansible等,saltstack今年也有爆出0day 漏洞, 大点的公司一般有自研的运维系统,但也会有很多问题,主要考虑几点,内置后门,默认口令,认证绕过等等,分析清楚通信过程之后, 可以尝试绕过控制端直接向agent发送命令。
大数据agent:大数据需要采集日志,各种日志类型的不同导致采集agent也是多样而迥异的,采集类型也分实时采集和离线采集。比如mysql采集agent ?canel、开源的flume、阿里的LogHub、自研agent等。
安全HIDS: HIDS作为主机安全agant,承担着搜集信息和监控主机行为的重任。今年HW集中爆发了一波安全设备的0day , 让我们看到因购买了安全设备而沦陷的例子,未来如果哪家因HIDS被攻破,相信也不是笑话。
预约上海高端伴游模特平台网站入口【韩晓云】 今天给大家分享的内容是“预约上海高端伴游模特平台网站入口【韩晓云】”,我是韩晓云,来自萍乡市,今年26岁,作为职业:外籍商务,我热爱我的职业:外籍商务。三圍...
官方网免费定位别人手机号软件(不用申请注册不用付钱的定位系统) 手机可以开展精准定位,早已是老调重弹了,GPD、北斗定位系统、AGPS、WiFi各种各样方式早已聊完好数次了。此次的百度百科便是将在其...
拉肚子吃哪些(腹泻应当怎样合理处理)一般 一个一不小心便会腹泻,腹泻的情况下十分痛楚,一遍一遍的跑卫生间,有时觉得腹部都空了,病症也没见好,对人体的损害也是很大的。下边我就来对你说腹泻吃什么中药,...
如何监管媳妇的手机上(监管媳妇的手机微信的方式),我媳妇常常提到手机微信,但她每一次都邑删掉东拉西扯记录。您要求规复东拉西扯记录吗?在我们的存活中,手...
整个历程大体描述如下,其中前两个步骤是在本机完成的,后8个步骤涉及到真正的域名剖析服务器: 1.浏览器会检查缓存中有没有这个域名对应的剖析过的IP地址,若是缓存中有,这个剖析历程就竣事。浏览器缓存域...
昨日我一盆友碰到了一个难题,便是如何打开vm虚拟机环境变量。那时候他已经帮极品女神维修电脑,忽然打电话给我问如何打开vm虚拟机环境变量,我那时候已经用餐,差点儿一口饭喷出。如今,就要我教您如何打开...