網(wǎng)絡江湖門派眾多，路由派、交換派、無線派、網(wǎng)關派…，其中紅方和藍方兩派特立獨行，不為爭奪霸主之位，只為了切磋攻防技藝，常常開展紅藍對決。藍方以控制業(yè)務、盜取機密信息為目標，用最接近真正APT的攻擊方式，挑戰(zhàn)紅方最真實的網(wǎng)絡防護能力。紅方則需要通過分析網(wǎng)絡流量還原藍方攻擊鏈，雙方在確保業(yè)務平穩(wěn)運行的前提下，以企業(yè)真實網(wǎng)絡環(huán)境開展實兵對決。

[[263287]]

小生不才，偶入江湖一樓，目睹紅藍兩派刀光劍影，你來我往，好不快哉。

各路招式匆匆記錄在冊，若他日參與其中，或攻或守，豈不是能輕車熟路?

藍：顧盼間乾坤倒轉

特殊弱口令

藍方某小隊通過對收集的信息進行分析，發(fā)現(xiàn)多個目標系統(tǒng)存在暴力破解威脅，結合以姓名作為用戶名的系統(tǒng)特性，較多公司員工使用公司名稱及其變形作為密碼的習慣，編寫弱口令字典并成功爆破得到約20個賬號。憑借這些賬號，逐一登錄多個內網(wǎng)目標，獲取到多份敏感數(shù)據(jù)，并利用這些賬號得到多個Web系統(tǒng)的管理員權限。

賬號劫持

在攻擊時藍方發(fā)現(xiàn)C系統(tǒng)版本老舊，存在一個遠程代碼執(zhí)行漏洞。利用這個漏洞藍隊成功寫入了一句話木馬，分析文件時又發(fā)現(xiàn)該系統(tǒng)存在弱口令賬號，利用弱口令成功切換賬號并完成提權操作，最終順利拿下服務器，為了防止權限丟失，還為root賬號添加了公鑰以備不時之需。

但藍方并沒有因為拿下系統(tǒng)權限而減弱攻勢，而是利用其作為跳板做進一步的攻擊。C系統(tǒng)存在一個登錄頁面，藍方在Web登錄頁面中添加了Javascript代碼，使每個用戶通過Web登錄時將用戶名、密碼發(fā)送給攻擊者，利用了C系統(tǒng)登錄劫持，藍方嗅探到多個內網(wǎng)賬號密碼。成功登錄大量系統(tǒng)，其中包括核心系統(tǒng)，從中發(fā)現(xiàn)了大量核心數(shù)據(jù)和資源管理賬號密碼。

虛機克隆

藍方對賬號劫持中獲取的賬戶繼續(xù)分析，發(fā)現(xiàn)部分賬號在某些系統(tǒng)具有較高權限。藍方使用某獲取的賬號登錄內部倉庫管理業(yè)務。通過分析發(fā)現(xiàn)該平臺可以基于快照創(chuàng)建虛擬機。藍方一頓操作刀光劍影，使用修改后的管理員密碼登陸了克隆G系統(tǒng)獲取到該系統(tǒng)管理的所有倉庫。

當然，藍方的成果遠不止這些，從本次對抗的結果來看，藍方收獲頗豐，他們以千姿百態(tài)的攻擊繞過方式，成功攻下六個業(yè)務系統(tǒng)不同級別的權限和大量的敏感數(shù)據(jù)。

紅：籌謀間了然于心

雖然藍隊攻勢兇猛，但紅方早有防備，提前對安全問題的系統(tǒng)進行了整改和防護，對業(yè)務系統(tǒng)進行升級和部署基礎防護設備外，還主動對業(yè)務系統(tǒng)發(fā)起了檢查，包括：漏洞掃描、后門檢測、弱口令檢測和環(huán)境準備。

在此次紅藍對抗中，紅方監(jiān)測到藍方三個小分隊：Webshell狂魔、爆破狂魔、木馬狂魔發(fā)起的133次攻擊事件，紅方也成功利用各團隊上報的攻擊事件還原了藍方的多條攻擊鏈。

攻擊鏈還原1：對C系統(tǒng)的攻擊還原

紅方成員分析了平臺產生的大量C系統(tǒng)攻擊告警，包括Webshell后門訪問、PHP代碼執(zhí)行漏洞、跨站腳本攻擊等事件，最終將攻擊者定位到了藍方花無缺，他以C系統(tǒng)的某文件作為突破口，利用PHP代碼執(zhí)行漏洞執(zhí)行phpinfo函數(shù)，隨后結合遠程代碼執(zhí)行漏洞和SQL注入漏洞成功寫入Webshell，通過andSword工具成功進行Webshell入侵。與此同時，紅方發(fā)現(xiàn)藍方成員張無忌也對C系統(tǒng)發(fā)起了攻擊，攻擊方法包括：木馬后門訪問、RCE漏洞攻擊、暴力破解、任意文件上傳等，并利用暴力破解得到多個賬號密碼。

攻擊鏈還原2：從攻擊者角度進行攻擊還原

多個平臺產生了對B系統(tǒng)和F系統(tǒng)的攻擊告警日志，經(jīng)分析發(fā)現(xiàn)這些攻擊均來自兩個固定的攻擊者。其中，紅方通過TAM記錄的日志發(fā)現(xiàn)藍方成員張無忌和周芷若向B系統(tǒng)發(fā)起了大量的HTTP請求，從記錄的HTTP訪問日中發(fā)現(xiàn)提交的內容極為相似，只變換了用戶名和密碼，據(jù)此可確認為針對B系統(tǒng)的暴力破解攻擊;同時，還通過分析HTTP響應內容和響應長度可以確認這兩位攻擊者成功爆破并得到多個賬號密碼，并利用獲取到的賬號成功登錄了C系統(tǒng)和F系統(tǒng)，因為這兩名攻擊者習慣用暴力破解的方式進行攻擊，所以，紅方封二位為爆破狂魔。

攻擊鏈3：B系統(tǒng)攻擊還原

次日，多平臺檢測到E系統(tǒng)遭受攻擊，通過日志分析最終鎖定攻擊者為藍方成員虛竹。鎖定攻擊者后根據(jù)源IP發(fā)現(xiàn)，該攻擊者在當天便已經(jīng)對E系統(tǒng)發(fā)起過XSS攻擊，而告警則是藍方花無缺利用了E系統(tǒng)的任意文件上傳漏洞上傳了文件名為s.cgi的Webshell文件，通過分析還發(fā)現(xiàn)該Webshell的連接密碼為fh198，在shell中存在ls/pwd等操作命令，但通過分析HTTP訪問日志發(fā)現(xiàn)，攻擊者并未對Webshell成功訪問。此外，通過日志還發(fā)現(xiàn)藍方成員虛竹還對系統(tǒng)多個系統(tǒng)發(fā)起了攻擊，其攻擊方法多以上傳shell為主。

從敵人破綻中反擊

進攻無論怎樣犀利，反擊總會到來。紅方也并非完全采用被動的方式進行攻擊監(jiān)測，也采用了主動出擊的方式來發(fā)現(xiàn)更多的攻擊。他們通過已掌握到的信息成功抓取到藍方成員段譽的賬號，并利用其賬號登錄郵箱向藍方成員發(fā)送了釣魚郵件，引誘藍方入網(wǎng)，但藍方很快發(fā)現(xiàn)自己身份已經(jīng)暴露，采取積極措施后成功避免了被紅方所利用。

鮮衣怒馬，逐鹿江湖，知己知彼，攻守自如。兩方通過此次對抗，深入發(fā)現(xiàn)、整改企業(yè)內外網(wǎng)網(wǎng)絡資產和業(yè)務數(shù)據(jù)深層次的安全隱患，整合內部安全威脅監(jiān)測發(fā)現(xiàn)能力、應急處置能力和安全防護能力，此役之后，雙方將采取措施提高企業(yè)安全防護管理，完善企業(yè)安全防護技術體系。綠盟科技可為企業(yè)客戶提供紅藍對抗服務，整合攻防能力、設備防護能力以及平臺運營能力，為企業(yè)安全保駕護航。