实战攻防演习之 红队视角下的防御体系突破 奇安信安服团队 2019.8 前 言 网络实战攻防演习， 是新形势下关键信息系统网络安全保护 工作的重要组成部分。 演习通常是以实际运行的信息系统为保护 目标，通过有监督的攻防对抗， 尽可能地模拟真实的网络攻击， 以此来检验信息系统的实际安全性和运 维保障的实际有效性。 2016年以来， 在国家监管机构的有力推动下， 网络实战攻防 演习日益 得到重视，演习范围越来越广，演习周期越来越长，演 习规模越来越大。 国家有关部门组织的全国性网络实战攻防演习 从2016年仅有几家参演单位 ，到2019年已扩展到上百家 参演单 位；同时各省、各市、各行业的监管机构，也都在积极 地筹备和 组织各自管辖范围 内的实战演习。一时间，网络实战攻防演习遍 地开花。 在演习规模不断扩大的同时， 攻防双方的技术水平和对抗能 力也在博弈中不断升级。 2016年， 网络实战攻防演习尚处于起步阶段， 攻防重点大多 集中于互联网入口或内网边界。 2017年，实战攻防演习开始与重大活动的网络安全保障工 作紧密结合。就演习成果来看，从互联网侧发起的直接攻击仍然 普遍十分有效； 而系统的外层防护一旦被突破，横向移动 、跨域 攻击，往往都比较容易实现。 2018年， 网络实战攻防演习开始向行业和地方深入。 伴随着 演习经验的不断丰富和大数据安全技术的广泛应用， 防守方对攻 击行为的监测、发现和溯源能力大幅增强 ，与之相应的，攻击队 开始更多 地转向精准攻击和供应链攻击等新型作战策略。 2019年以来． 网络实战攻防演习工作受到了监管部门、 政企 机构和安全企业的空前重视。流量分析、 EDR、蜜罐、白名单等专 业监测与防护技术被防守队广泛采用。 攻击难度的加大 也迫使攻 击队全面升级 ，诸如0day漏洞攻击、 1day漏洞攻击、 身份仿冒、 钓鱼WiFi、鱼叉邮件、水坑攻击等高级攻击手法，在实战攻防演 练中均已不再罕见 ，攻防演习与网络实战的水平更加接近。 如何更好 地参与网络实战攻防演习？如何更好 地借助实战 攻防演习提升自身的安全能力？这已经成为大型政企机构运营 者关心的重要问题。 作为国内 前沿的网络安全企业， 奇安信集团 已成为全国各类 网络实战攻防演习的主力军 。奇安信集团安服团队结合 200余次 实战攻防演习经验，总结编撰了这套实战攻防演习系列丛书，分 别从红队视角、蓝队视角和紫队视角，来解读网络实战攻防演习 的要领，以及如何结合演习提升政企机构的安全能力。 需要说明的是 ， 实战攻防演习中的 红方与蓝方对抗实际上是 沿用了军事演习的概念和方法 ，一般来说，红方与蓝方分别代表 攻击方与防守方。 不过， 红方和蓝方的 名词定义尚无 严格的规定， 也有一些实际的攻防演习，将蓝队设为攻击队 、将红队设为防守 队。 在本系列丛书中， 我们 依据绝大多数网络安全工作者的习惯， 统一将攻击队命名为红队，将防守队命名为蓝队 ，而紫队则代表 组织演练的机构。 《红队视角下的防御体系突破》是本系列丛书的第一本。本 书希望通过归纳总结红队常用的攻击策略和攻击战术， 帮助政企 机构理解攻方思维， 以便提升演习水平，构筑更有效的安全防御 体系。正所谓“知己知彼，百战不殆” 。 目 录 第一章 什么是红队 ................................ ................................ ... 1 第二章 红队三板斧 ——攻击的三个阶段 ................................ . 3 一、 第一阶段：情报收集 ................................ ............................... 3 二、 第二阶段：建立据点 ................................ ............................... 3 三、 第三阶段：横向移动 ................................ ............................... 4 第三章 红队也套路 ——常用的攻击战术 ................................ . 6 一、 利用弱口令获得权限 ................................ ............................... 6 二、 利用社工来进入内网 ................................ ............................... 7 三、 利用旁路攻击实施渗透 ................................ ........................... 8 四、 秘密渗透与多点潜伏 ................................ ............................... 9 第四章 红队三十六计 ——经典攻击实例 ............................... 11 一、 浑水摸鱼 ——社工钓鱼突破系统 ................................ ......... 11 二、 声东击西 ——混淆流量躲避侦察 ................................ ......... 12 三、 李代桃僵 ——旁路攻击搞定目 标 ................................ ......... 14 四、 顺手牵羊 ——巧妙种马实施控制 ................................ ......... 15 五、 暗渡陈仓 ——迂回渗透取得突破 ................................ ......... 16 第五章 红队眼中的防守弱点 ................................ .................. 19 一、 资产混乱、隔离策略不严格 ................................ ................. 19 二、 通用中间件未修复漏洞较多 ................................ ................. 19 三、 边界设备成为进入内网的缺口 ................................ ............. 19 四、 内网管理设备成扩大战果突破点 ................................ ......... 20 附录 奇安信红队能力及攻防实践 ................................ ............. 21 1 第一章 什么是红队 红队，一般是指网络实战攻防演习中的攻击一方。 红队一般会针对目标系统、人员、软件、硬件和设备同时执 行的多角度、混合、对抗性的模拟攻击；通过实现系统提权、控 制业务、获取数据等目标，来发现系统、技术、人员和基础架构 中存在的网络安全隐患或薄弱环节。 红队人员并不是一般意义上的电脑黑客。 因为黑客往往以攻 破系统，获取利益为目标；而红队则是以发现系统薄弱环节，提 升系统安全性为目标。此外，对于一般的黑客来说，只要发现某 一种攻击方法可以有效 地达成目标， 通常就没有必要再去尝试其 他的攻击方法和途径； 但红队的目标则是要尽可能 地找出系统中 存在的所有安全问题，因此往往会穷尽已知的“所有”方法来完 成攻击。换句话说，红队人员需要的是全面的攻防能力，而不仅 仅是一两招很牛的黑客技术。 红队的工作也 与业界熟知的渗透测试 有所区别 。 渗透测试通 常是按照规范技术流程对目标系统进行的安全性测试； 而红队攻 击一般只限定攻击范围和攻击时段， 对具体的攻击方法则没有太 多限制。渗透测试过程一般只要验证漏洞的存在即可，而红队攻 击则要求实际获取系统权限或系统数据。此外，渗透测试一般都 会明确要求禁止使用社工手段（通过对人的诱导、欺骗等方法完 成攻击） ，而红队则可以在一定范围 内使用社工手段。 还有一点必须说明 :虽然实战攻防演习过程中通常不会严格 限定红队的攻击手法，但所有技术的使用，目标的达成，也必须 严格遵守国家相关的法律和法规。 在演习实践中， 红队通常会以 3人为一个战斗小组， 1人为 组长。组长通常是红队中综合能力最强的人，需要较强的组织意 识、应变能力和丰富的实战经验。而 2名组员则往往需要各有所 长，具备边界突破、横向移动（利用一台受控设备攻击其他相邻 设备） 、情报收集或武器制作等某一方面或几个方面的专长。 红队工作对其成员的能力要求往往是综合性的、全面性的。 红队成员不仅要会熟练使用各种黑客工具、分析工具，还要熟知 目标系统及其安全配置，并具备一定的代码开发能力，以便应对 特殊问题。 3 第二章 红队三板斧——攻击的三个阶段 红队的攻击并 非是天马行空的撞大运