蓝军攻防演练思路探讨

标签：网络安全攻防钓鱼渗透 agent 安全蓝军演练

一、演练的流程方法

1.1 演练方案

正如打仗需要制定作战方案，一场好的攻防对抗也需要制定周密的演练方案

首选明确演练要素

演练对象：明确目标

演练时间：按时完成

演练人员：合理分配

其次制定演练计划

识别可能的攻击路径

制定演练计划

任务拆解

最后确认演练报备

预判可能的风险

有风险操作进行提前报备

1.2 演练策略

总结了几个演练策略

攻彼之短

目标能否被攻破，只取决于最短板，标杆建的再高也没用

重点关注高危服务、敏感端口、第三方框架等作为突破口

力求深度

攻击不求全，而在于精与深

抓住一个点应持续往下渗透，扩大战果

隐匿行踪

制备防查杀武器脚本，隐藏自身IP等

避开反入侵监控，选择攻击时机

1.3 演练技术-信息搜集

知已知比，百战不殆。在不清楚目标的情况下，搜集尽可能多的信息，比如

系统信息：域名、IP段、APP、小程序、开放端口、指纹、中间件、WEB框架、网络架构等

人员组织：邮箱、姓名、手机号、职务、组织架构、办公场所等

上下游：供应链、合作方、分公司、威胁情报等

信息搜集的方式方法有：

工商备案查询： whois、企查查

Goole hack：如site:didichuxing.com

子域名采集： subDomain、wydomain、http://phpinfo.me/domain

端口扫描：同网段扫描、旁站扫描

指纹识别：whatsweb、nmap、http://www.yunsee.cn

信息泄露：github、百度网盘

情报系统：微步在线、exploit-db

第三方搜索： soda、fofa、zooeye

1.4 演练技术-边界突破

首先通过对外网站、APP、小程序入手，找到可能的漏洞与突破口。然后是社工钓鱼等特殊手段。

总结分为以下几类：

传统边界渗透：系统漏洞、github泄露等

0day 攻击：CVE列表、最新Poc 等

钓鱼社工：窃取密码、鱼叉攻击等

近源攻击：职场尾随、wifi 破解等

1.5 演练技术-横向渗透

横向渗透技术，仅罗列了部分常见的技术：

内网代理： lcx、frp、socks代理、nc

弱口令扫描：ssh、rdp、mysql、mssql、ftp、vnc

常见高风险服务：jenkins、k8s、hadoop yarn、weblogic、zabbix

共享/未授权访问：nfs、rsync、elasticsearch、redis

常用服务：wiki、git、jira、oa、mail

域渗透：IPC$、PTH、PTT、hash dump

提权：MFS、数据库提权、系统漏洞提权、启动项

敏感信息搜集：配置文件、缓存的凭据、数据文件、日志文件

C2远控： cobalt strike、Empire

1.6 演练评判

如何评价演练是否成功，外部安全竞赛等强对抗场景采用了计分制。比如获取了一台服务器、一个员工账号、核心服务的数据权限各分别得多少分。相应的，防守方若发现了入侵行为，溯源到攻击者，也有相应得分。通过得分的多少作为演练质量的指标。

公司内部的红蓝演练其实是合作和对抗并存的关系，不一定非得分个高低。重要的是复盘总结，查漏补缺，共同提升公司的安全水位。

同行们也整理出了一些公司内部红蓝对抗可用的指标，如

攻击成功率：

例如外网渗透能否突破边界

域渗透能否拿下域控

攻击覆盖率：

覆盖多少种攻击的方法

覆盖多少业务线

攻击被发现率：

理论覆盖占实际检测的比例

能否躲避反入侵监控

二、部分专项演练思路

2.1 钓鱼演练

安全技术不断提高，想直接从外网突破还是有困难的，有一定运气的成分。当无计可施的时候，试试钓鱼吧，系统可以做到100%安全，但员工意识确是最大的变数。

滴滴每年都会进行多起钓鱼演练，严重的时候钓鱼成功率可以达到10%，经过近年的安全教育，员工意识已经有了大幅度提升。

滴滴的钓鱼演练主要分为3类：

新员工钓鱼，所有新入职员工的第一周，都会收到钓鱼邮件的洗礼。因为数据显示，新员工的安全意识是最薄弱的，如果中招，则会自动发送教育警示邮件。

部门钓鱼演练，一般是联合部门共同发起，发送对象为部门所有员工，由于发送量比较大，需要提前加好白名单。

红蓝钓鱼，目的是对抗性质，一般每次需要变换点花样，观察实际的成功率，以检验员工的安全意识、校验反钓鱼检测策略。

2.2 域渗透

实现域内用户、计算机、目录的统一管理的服务器称之为域控。如同堡垒机之于生产网，域控也是办公网的核心服务。不同的是，堡垒机的实现方式多种多样，域控确是唯一选择。也正是如此，国内外的网络安全界才积累出了各种域渗透的奇淫巧技。

初略总结，大体有几个思路吧：

0day漏洞：域控作为成熟的产品，但还是会有严重的漏洞产生，近年来还是不断有0day爆出，远的有MS14-068，去年有exchange ssrf搞域控方法流出，今年又有CVE-2020-1472出现，每一次0day出现都可以搞一波域控。

域共享：域共享内有可能存储各类的敏感信息、密码脚本等等，多找找，兴许会有所发现。

传统系统漏洞：有些域控可能不重视安全或者加固没到位，导致出现管理缺陷、服务混部等通过传统漏洞渗透进服务器系统，

迂回路径：实际域渗透中，采用迂回的案例比较多，通过拿下办公网其他服务器，导出服务器上的所有密码，然后奇迹般发现这里面也有域控管理员的密码，顺利登录域控服务器。

2.3 主机agent

内网服务安全性一般都比较薄弱，因为有限的安全测试资源往往优先投入到外网防御，内网一般是覆盖薄弱的地方，也因此存在着安全盲区。

部分内网服务会大规模部署（比如超过100台），这类公共服务一般以主机agent的形式部署到生产网服务器中，甚至会集成到系统镜像中。如果存在安全问题，即会影响成百上千的服务器，安全风险就会被成百上千倍的放大。

列举几类常见的主机agent场景：

运维监控agent：开源的如zabbix 和 nagios，拿zabbix来说，我们知道在后台可以直接下发命令执行任务，拿到后台权限也就等于控制了所有服务器。

运维发布agent：开源的如 saltstack 和 ansible等，saltstack今年也有爆出0day 漏洞，大点的公司一般有自研的运维系统，但也会有很多问题，主要考虑几点，内置后门，默认口令，认证绕过等等，分析清楚通信过程之后，可以尝试绕过控制端直接向agent发送命令。

大数据agent：大数据需要采集日志，各种日志类型的不同导致采集agent也是多样而迥异的，采集类型也分实时采集和离线采集。比如mysql采集agent canel、开源的flume、阿里的LogHub、自研agent等。

安全HIDS： HIDS作为主机安全agant，承担着搜集信息和监控主机行为的重任。今年HW集中爆发了一波安全设备的0day , 让我们看到因购买了安全设备而沦陷的例子，未来如果哪家因HIDS被攻破，相信也不是笑话。

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；
国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。