[[414895]]

本文轉(zhuǎn)載自微信公眾號「神龍叫」，作者楊冀龍。轉(zhuǎn)載本文請聯(lián)系神龍叫公眾號。

演員請就位，演員請就位，集團聘請外部多支攻擊隊伍，對集團各機構(gòu)實際網(wǎng)絡(luò)和業(yè)務(wù)開展攻擊測試兩周，實戰(zhàn)演練紅藍對抗7天后開始。

無論攻擊隊伍還是防守隊伍，都將面臨持續(xù)的黑眼圈戰(zhàn)斗了!戰(zhàn)斗催人老!

攻擊方攻擊步驟如下：

1) 突破邊界到內(nèi)網(wǎng)

2) 內(nèi)網(wǎng)橫向擺渡

3) 尋找核心業(yè)務(wù)系統(tǒng)

4) 對核心業(yè)務(wù)系統(tǒng)攻擊

一、突破邊界

第一招：尋找網(wǎng)絡(luò)邊界資產(chǎn)

網(wǎng)絡(luò)邊界資產(chǎn)，包括辦公網(wǎng)邊界路由器、防火墻;也包括業(yè)務(wù)服務(wù)器，尤其是在線業(yè)務(wù)系統(tǒng)、合作伙伴在線業(yè)務(wù)、老舊沒人維護的該下線沒下線的業(yè)務(wù)、在線業(yè)務(wù)的測試系統(tǒng)等等。

我記得以前某甲方讓下級單位上報在線業(yè)務(wù)系統(tǒng)，上報了800個IP，結(jié)果我們用zoomeye.org，shodan.io上搜索，找到了1600個IP!為啥差了這么多?因為很多合作伙伴的老系統(tǒng)，早就沒人維護了，工作交接幾次就沒人記得了!

這類系統(tǒng)中，有一些是兩個網(wǎng)口，一個連接了內(nèi)網(wǎng)核心業(yè)務(wù)系統(tǒng)，比如計費系統(tǒng)，另一個網(wǎng)口連接了互聯(lián)網(wǎng)，供合作伙伴，或分公司員工，客戶遠程訪問，這種是攻擊隊伍最喜歡的了!

前幾天我們一個客戶，讓我們幫梳理一下外網(wǎng)資產(chǎn)，看是否都接入了創(chuàng)宇盾云防御，他們已經(jīng)梳理2遍了，結(jié)果我們發(fā)現(xiàn)還有6個域名和IP還在公網(wǎng)裸奔，真是很危險。

第二招：強攻擊辦公網(wǎng)邊界

盡管這個攻擊手段很難，但也不是不可行，前年某紅藍對抗比賽，用XXX防火墻漏洞進了好幾個單位，去年某對抗活動第一天用XXX的漏洞進了幾乎全部甲方的內(nèi)網(wǎng)，尤其是進去后有用XXX的EDR漏洞直接控制了X萬服務(wù)器，真的很精彩。

在攻擊隊眼里面，甲方的防御，簡直連雨傘都算不上!

第三招：發(fā)釣魚郵件

前面兩招無效的情況下，還有一個很容易，就是發(fā)釣魚網(wǎng)站，模擬公司高層、或網(wǎng)絡(luò)管理員，給下屬員工發(fā)郵件，郵件內(nèi)容有這么幾類：

a) 附件帶木馬的

b) 郵件內(nèi)容要求修改口令的

c) 郵件內(nèi)容要求下載安裝某企業(yè)管理軟件的

d) 打客服電話，要求修改域名指向，修改賬號密碼

這些郵件內(nèi)容通常都是先從泄露在網(wǎng)上的各類數(shù)據(jù)庫，找到公司員工，組織結(jié)構(gòu)信息，精心編寫的，欺騙性很強。如果企業(yè)沒有做過員工安全意識宣貫，很容易就中招了。

第四招：弱口令攻擊

社工庫一堆堆，里面很多注冊信息填寫公司郵件地址的，或手機號的，然后泄露一堆堆的密碼信息，再加上弱口令，攻擊隊伍連上企業(yè)、或在線業(yè)務(wù)，不停的猜猜猜，循環(huán)遍歷，其實還是挺容易進入系統(tǒng)的。去年某甲方委托我們在云防御上檢測弱口令，發(fā)現(xiàn)占比21%，慘不忍睹，好在做了零信任，要不秒秒鐘被擊穿。

第五招：到辦公地點樓下扔U盤

這個有紅藍對抗攻擊隊伍用過了，某互聯(lián)網(wǎng)公司門口扔U盤，里面放個吸引眼球的文件名，然后.txt\n.exe結(jié)尾，命中率是扔了30個，中招9人。效果杠杠的，內(nèi)網(wǎng)程序運行起來，自動連接互聯(lián)網(wǎng)，開通一個進入內(nèi)網(wǎng)的網(wǎng)絡(luò)連接通道。

第六招：到辦公地點附近做Wifi壓制

U盤也搞不定，就到辦公網(wǎng)絡(luò)附近，先用大功率Wifi做信號壓制，模擬企業(yè)WIFI的ssid，等人接入，拿到口令，然后接入內(nèi)網(wǎng)wifi，進入內(nèi)網(wǎng)。

第七招：攻擊海外、下游企業(yè)再接入目標網(wǎng)絡(luò)

這個也是常用辦法，每年都有單位組織紅藍對抗，被攻擊隊從海外信任辦公網(wǎng)絡(luò)接入了總部，被攻破。屢試不爽，海外機構(gòu)建設(shè)周期短，也沒有專門網(wǎng)管、安全管理員，很容易突破的。

第八招：搞家庭路由器

去年某單位，管理員家庭網(wǎng)絡(luò)路由器，到公司發(fā)起了掃描行為，后來勘察，原來有人精準爆破器家庭路由器，繞個彎攻擊企業(yè)內(nèi)網(wǎng)。

黑客重在猥瑣，用別人想不到的招數(shù)制勝，我天分有限，能想到的只有這么多，各位高手們用的手段估計比上面多好幾倍。

二、對抗雙方SWOT分析得到對策

攻擊方的弱點：

1) 可用的代理IP資源不多，

2) 對目標網(wǎng)絡(luò)環(huán)境尤其內(nèi)網(wǎng)、隔離網(wǎng)絡(luò)熟悉度不高

3) 紅藍對抗行動時間有限，浪費一天就是很大損失

防守方的弱點：

1) 對敵人不熟悉，不知道從哪里來什么時候來，用什么手段來

2) 對自己全部資產(chǎn)不清晰

3) 對分支機構(gòu)，合作伙伴的管理權(quán)限不完備

防守方優(yōu)勢：

1) 對自己的網(wǎng)絡(luò)可調(diào)整

2) 對自己業(yè)務(wù)來訪權(quán)限清晰

3) 幫手多，不給錢都有很多廠商相助

因此最佳策略是：

1)部署大量蜜罐網(wǎng)絡(luò)，誘敵深入，浪費敵人時間，同時掌握敵情

2)對自己的業(yè)務(wù)網(wǎng)絡(luò)，設(shè)置白名單，不需要訪問的人就不用訪問了

3)在重要網(wǎng)絡(luò)出入口，隨時設(shè)置黑名單，消耗對方可用IP

三、組織形式

組織結(jié)構(gòu)上，建設(shè)幾個小組：

1) 總體協(xié)調(diào)組，負責協(xié)調(diào)內(nèi)部領(lǐng)導(dǎo)，內(nèi)部分子機構(gòu)，內(nèi)部各部門

2)網(wǎng)絡(luò)摸底調(diào)整組，負責資產(chǎn)摸查，尤其互聯(lián)網(wǎng)在線業(yè)務(wù)資產(chǎn)

戰(zhàn)斗打響時候，這幾個小組開始工作：

3) 廠商派駐人員：負責廠商安全設(shè)備報警的真實性判定，判定是攻擊的，上報事件研判組。

4) 事件研判組：負責接收事件信息，并做進一步研判，如果是攻擊，立刻通知封堵組添加黑名單，并編寫事件報告，上報總體組

5) 封堵組：負責在各關(guān)鍵節(jié)點，配置黑名單，并檢驗是否生效。

簡化圖如下：

四、性價比快速防守方案

分析了這么多，推薦一個最快部署的防守方案：

1) 外網(wǎng)業(yè)務(wù)系統(tǒng)全部使用云防御

國內(nèi)首選創(chuàng)宇盾、國外機構(gòu)首選創(chuàng)宇盾、外國供應(yīng)鏈合作伙伴首選cloudflare

2) 互聯(lián)網(wǎng)業(yè)務(wù)機房、云計算中心，首選重保盾 -- 創(chuàng)宇云威脅情報IP封堵機，或K01，一個類似IDS的設(shè)備，部署方式和IDS一樣旁路，通過RST斷掉來自黑客的訪問。

3) 外網(wǎng)不用的域名、IP，部署創(chuàng)宇云蜜罐，或其他廠商的蜜罐，浪費攻擊隊時間，誘捕身份。

4) 內(nèi)網(wǎng)部署大量蜜罐，構(gòu)建迷陣。

5) 總部單位禁用Wifi

6) 通知大家，別打開郵件附件，別聽郵件改密碼

7) 業(yè)務(wù)系統(tǒng)只允許來自白名單訪問

8) 業(yè)務(wù)區(qū)域網(wǎng)絡(luò)，部署成零信任，來訪問就先通過短信或企業(yè)微信、企業(yè)釘釘認證才能訪問。

好了，接下來，以戰(zhàn)斗的姿態(tài)，開始對抗吧，阿門!