真实案例解读攻防中那些棘手的事儿 | 安全芝士局第三期内容回顾

默安科技全新出品的网络安全技术主题节目——安全芝士局，在2月正式播出第三期线上节目，默安玄甲实验室成员LEOGG结合真实案例为大家带来攻防实战经验的分享。

本期芝士局的分享从渗透测试和红队攻击的区别、红队攻击中易被忽视的角度及案例分享、如何做好防守及相关案例三个方面展开。

渗透测试和红队攻击二者有相似的地方，但在本质上有巨大的差异。渗透测试⼀般专注于对给定的资产进行测试，有明确的测试目标和边界，工程师通过尽可能多地对目标系统进行测试，找出更多的漏洞、隐私数据泄漏或其他安全风险。还有特别的⼀点是，为了配合渗透测试工程师开展工作，企业一般会关闭⼀些安全防护软件如WAF等以便于找出更多漏洞。

红队攻击虽然在技术方面和渗透测试有重合之处，但不同于渗透测试尽可能多地找出安全漏洞及风险，红队的目标往往一剑封喉，直取靶标系统。在攻防演练中，举办方会给红队发放一批目标名称，而不限定具体系统，只要是归属于目标的互联网资产都可以进行测试。因此红队要做的就是模拟真实世界的黑客攻击，帮助企业提高并完善综合安全防护能力。

除了SQL注入、文件上传、反序列化等快速拿数据或权限的漏洞外，近年来爆出来的Fastjson、Shiro、Log4j等漏洞也是攻防中常用的突破手段。除了这些常规手段外，还有⼀些比较新奇的红队突破视角。在上⼀期的攻击面管理分享中，提到了玄甲实验室的⼀些攻防平台，包括信息搜集平台OsintX和漏洞扫描平台ExplorerX。LEOGG接下来也结合案例分享了这两个平台在攻防中的实际应用以及红队信息收集过程中易被忽视的角度。

在某车企攻防演练中，利用信息搜集平台OsintX发现目标单位资产有一个端口开放着安卓adb调试服务，通过adb shell成功进入该目标内网，为后续在对方内网进行横向移动并获得重要靶标权限打开了突破口。

某次攻防演练中，在外部仅发现一处最新版nacos弱口令，无其它漏洞。扫描该目标的IP开放端口发现几处非常规ssh协议端口开放，最终通过nacos的配置信息构造密码本，成功进入目标内网。

某企业互联网系统中的一个接口存在ak/sk信息返回，利用该泄漏的ak/sk可直接接管某云厂商控制台，同时该账号权限较高，可控制官网域名解析、OSS存储桶资源、ECS服务器、K8S集群、数据库服务器等，同时从机器名可推断出为该企业的云上生产环境，危害性极大。

“未知攻，焉知防。”从红队的攻击视角看，完整的防守方案应包含以下五个阶段：

一是资产梳理阶段。首先，检查网络拓扑、做好规划和调整，并对重要系统设定白名单；其次，落实整理好所有资产以及对应的责任人。

二是安全加固阶段。首先，快速清查能够被快速横向移动利用的风险；其次，对安全设备进行覆盖面和有效性的验证；然后，对互联网敏感信息进行探测；最后，对全部互联网资产进行扫描并收敛暴露面。

三是过渡和预演习阶段。建立应急响应机制，并开展一次完整的演习工作。

四是正式演习阶段。监控组、分析组、处置组、研判组、溯源组、后勤部和指挥部各司其职、分工合作。

五是总结阶段。对组织队伍、攻击情况、防守情况、安全防护措施、响应和集中处置情况等进行全面总结，同时针对演习过程中暴露的风险点开展整改工作，进一步提高企业网络安全实战化水平。

在某部委主防任务中，LEOGG被分配到了研判组做攻击流量的分析及黑客溯源工作。在前期部署及安全加固方面，他们在完成安全产品的部署和有效性验证后，对客户的资产进行了梳理和暴露面收敛，争取将互联网侧的风险收至最少。在溯源反制方面，当时他们在客户外网部署了一台高仿真的沙箱，其中的下载控件绑定了幻阵的专属文件诱饵，通过文件诱饵即可反制攻击者。利用幻阵的溯源反制功能，还发现了其中一台攻击设备存放的攻击报告，从而为他们赢得了大量的防守加分。

通过攻击供应链突破目标单位的攻击手法是近年来比较热门的话题。某次演练代表蓝队防守时，突然被客户告知内网系统有异常外连的信息，经过快速排查首先将沦陷的服务器应用关停，并将告警时间段的日志和流量导出分析。在攻击流量的分析中发现了dnslog.cn这个域名，然后对捕获的攻击数据包进行分析，发现攻击者进行了文件上传的操作，写入了加密后的木马文件。在攻击路径还原过程中，因为该系统是供应商提供的平台，他们尝试在GitHub上查找源代码并发现⼀套极其类似的源码，由此推断攻击者通过审计源码的方式找到了⼀条未授权写入木马文件的利用链。在发生此次安全事件后，他们也对软件第三方API接口调用、开源组件、第三方基础服务、代码风险等做了全面检查。

安全芝士局是由默安科技全新出品的一档网络安全技术主题节目，节目将定期邀请行业大佬对近期关注的技术问题或网络安全热点进行分享，每期节目资料都能够在安全芝士局交流群中获取，欢迎各位小伙伴们加入交流群畅所欲言，与从业人员共同交流进步~

扫码进群