红蓝对抗-蓝队作战手册

0x01 前言红蓝对抗的思想最早可追溯到我国现存最早的一部兵书《孙子兵法》，在孙子·谋攻篇有这么一句话： “知彼知己，百战不殆；” ，意为如果对敌我双方的情况都能了解透彻，打多少次仗都不会失败。在信息安全领域目前大家都有一个共识： “未知攻，焉知防”，攻防对抗本身是一个持续的过程，在具体的对抗中，对对手了解越多就会占据主导地位。红蓝对抗的主要目的在于，提高公司安全成熟度及其检测和响应攻击的能力。Red Teams attack, and Blue Teams defend, but the primary goal is shared between them: improve the security posture of the organization. 0x02 准备工作 1 ) 组织结构图 2 ) 全网拓扑图 3 ) 各系统逻辑结构图 4 ) 各系统之间的调用关系 5 ) 数据流关系 6 ) 核心资产清单 7 ) 应急响应计划 8 ) 业务连续性计划 9 ) 灾难恢复计划 0x03 简单安全评估 1.端口扫描和漏洞检测 1.1 主机发现（Ping 探测） # nmap -sn -PE IP 地址或地址段 1.2 端口扫描 # nmap –open IP 地址或地址段 1.3 服务版本检测 # nmap -sV IP 地址或地址段 1.4 扫描多个端口 # nmap -p 80,443 IP 地址或地址段 1.5 UDP 扫描 # nmap -sU -p 53 IP 地址或地址段 1.6 TCP/UDP 扫描（-Pn 跳过主机发现） # nmap -v -Pn -SU -ST -p U:53,111,137,T:21-25,80,139,8080 IP 地址或地址段 1.7 Nessus 扫描 # nessus -q -x -T html 服务器 IP 服务器端口管理员帐号密码目标.txt 输出报告.html 1.8 OPENVAS 扫描 # apt -y install pcregrep # wget https://goo.gl/TYbLwE # chmod +x openvas-automate.sh && ./openvas-automate.sh 目标 IP 2. WINDOWS 系统篇 2.1 网络发现基本网络发现： # C:> net view /all # C:> net view 主机名 Ping 探测： # C:> for /L %I in (1,1,254) do ping -w 30 -n 1 192.168.1.%I | find "回复" >> 输出.txt 2.2 DHCP 启用 DHCP 服务器日志功能： # C:> reg add HKLMSystemCurrentControlSetServicesDhcpServerParameters /v ActivityLogFlag /t REG_DWORD /d 1 默认日志文件目录： C:> %windir%System32Dhcp 2.3 DNS 启用 DNS 服务器日志功能： # C:> DNSCmd DNS 服务器名 /config /logLevel 0x8100F331 # 配置日志文件目录: C:> DNSCmd DNS 服务器名 /config /LogFilePath C:dns.log # 配置日志文件大小: C:> DNSCmd DNS 服务器名 /config /logfilemaxsize 0xffffffff 2.4 哈希值文件校验和完整性验证（FCIV）： Ref：http://support2.microsoft.com/kb/841290 # 单个文件: C:> fciv.exe 文件名 # 计算 C 盘所有文件并把结果保存到文件中: C:> fciv.exe c: -r -sha1 -xml 结果.xml # 列出所有 hash 值: C:> fciv.exe -list -sha1 -xml 结果.xml # certutil & PowerShell # certutil -hashfile 文件名 SHA1 # PS C:> Get-FileHash 文件名 | Format-List # PS C:> Get-FileHash -algorithm md5 文件名 2.5 NETBIOS nbtstat 扫描 # C:> nbtstat -A 目标 IP 地址 NetBIOS 缓存 # C:> nbtstat -c 批量扫描 # C:> for /L %I in (1,1,254) do nbtstat -An 192.168.1.%I 2.6 微软基线安全分析器(MBSA) 扫描单个 IP # C:> mbsacli.exe /target IP 地址 /n os+iis+sql+password 扫描 IP 地址段 # C:> mbsacli.exe /r IP 地址段 /n os+iis+sql+password 3. LINUX 系统篇 3.1 网络发现查看开放的 SMB 共享 # smbclient -L 目标主机名 Ping 探测 # for ip in ip>/dev/null; [ Misplaced &ip UP" || : ; done 3.2 DHCP DHCP 日志 RHEL/CentOS # cat /var/lib/dhcpd/dhcpd. leases Debian/Ubuntu # grep -Ei 'dhcp' /var/log/syslog.1 3.3 DNS DNS 日志 # rndc querylog && tail -f /var/log/messages | grep named 3.4 哈希值计算某目录下所有可执行文件的 HASH 值 # find /sbin -type f -exec md5sum {} >> md5sums.txt ; # md5deep -rs /sbin > md5sums.txt 3.5 NETBIOS nbtstat 扫描 # nbtscan 目标 IP 地址或 IP 地址段举例：nbtscan 192.168.1.2-100 4. 安全加固 4.1 WINDOWS 系统篇 4.1.1 禁用/停止服务 # C:> sc query # C:> sc config "服务名" start= disabled # C:> sc stop "服务名" # C:> wmic service where name="服务名" call ChangeStartmode Disabled 4.1.2 防火墙管理 # 列出所有规则: # C:> netsh advfirewall firewall show rule name=all # 启用或禁用防火墙: C:> netsh advfirewall set currentprofile state on C:> netsh advfirewall set blockinboundalways,allowoutbound C:> netsh advfirewall set publicprofile state on C:> netsh advfirewall set privateprofile state on C:> netsh advfirewall set domainprofile state on C:> netsh advfirewall set allprofile state on C:> netsh advfirewall set allprof ile state off currentprofile firewallpolicy # 配置举例： netsh advfirewall firewall add rule name="开放 TCP:80 端口" dir=in action=allow protocol=TCP localport=80 netsh advfirewall firewall add rule name="开放 TCP:443 端口" dir=in action=allow protocol=TCP localport=443 netsh advfirewall firewall add rule name="屏蔽 TCP:445 端口" dir=in action=block protocol=TCP localport=445 netsh advfirewall firewall add rule name=" 允许 MyApp" dir=in action=allow program="C:MyAppMyApp.exe" enable=yes 4.1.3 清除 DNS 缓存和 Netios 缓存 # C:> ipconfig /flushdns # C:> nbtstat -R 4.1.4 应用控制 # AppLocker 配置 # 导入 Applocker 模块 PS C:> import-module Applocker # 查看 system32 目录下所有 exe 文件的 Applocker 信息 PS C:> Get-ApplockerFileinformation -Directory C:WindowsSystem32 -Recurse -FileType Exe # 增加一条针对 system32 目录下所有的 exe 文件的允许规则 PS C:> Get-Childitem C:WindowsSystem32*,exe | Get-ApplockerFileinformation | New-ApplockerPolicy -RuleType Publisher, Hash -User Everyone -RuleNamePrefix System32 4.1.5 IPSEC #使用预共享密钥的方式新建一条 IPSEC 本地安全策略，应用到所有连接和协议 C:> netsh ipsec static add filter filterlist=MyIPsecFilter srcaddr=Any dstaddr=Any protocol=ANY C:> netsh ipsec static add filteraction name=MyIPsecAction action=negotiate C:> netsh ipsec static add policy name=MyIPsecPolicy