今天来说点屁话,也就是谁都能想得到,但实施难的屁话,随着历年来各种网络攻防演练的举办,企业逐渐意识到网络安全的重要性,加大了安全投入。各企业积极落实安全要求,开展自检和漏洞修复,使整体安全防护能力得到明显提升。与此同时,公开的漏洞资源也日渐减少。从红蓝对抗的视角来看,这直接导致红队渗透难度增加,想要攻入一个目标需要投入更多时间和资源成本。进攻效率降低,成功率也在下降。因此红队需要思考自身建设,以应对更高的企业安全能力,此外此次总结,一些小型攻防、地级攻防,不在以下讨论范围之内,然后部分关于Nday以及社工钓鱼详细内容可以参考下方的链接。
1.Nday漏洞,如Shiro,各大OA,Weblogic,Jboss,Fastjson,Log4j2,Struts2,Springboot,Nacos等(https://mp.weixin.qq.com/s/GeisaBHm08dPc_CAxfz0BA)。
2.黑盒挖掘,如MSSQL注入->GETSHELL,逻辑、泄露等漏洞到后台->后台文件上传->GETSHELL,逻辑漏洞到后台->RCE->GETSHELL,单一漏洞或组合搭配。
白盒挖掘,供应链找源码(https://mp.weixin.qq.com/s/dl33f0u_g4EhGu7KikH7Jg)->审计0day/1day->GETSHELL,这种一般是针对碰到的一些中小型系统稍微好挖一些的,因为攻防时间有限,可能付出时间成本会很高,最好还是平常多储备吧。
3.0day/1day,也是跟其他队伍拉开距离的关键,如组件、框架、OA、CMS、安全厂商设备,IOT设备等1day/0day漏洞,然后就是成熟的自动化、武器化工具也很关键,感触颇深。
4.社工+钓鱼(https://mp.weixin.qq.com/s/GeisaBHm08dPc_CAxfz0BA),确实是目前成本教低且较为有效的一种方式了,脉脉伪装猎头,咨询业务,举报,求职,安全补丁,薪资调整,qq群等等,详细看链接。
我认为在目前的红队,除了红队的基本能力,如打点,内网,代码审计,waf对抗,AV/Edr对抗,武器化开发,在实战中后方团队提供资源以及个人平常积累资源是非常必要的 ,如今年各大公众号大佬发的文章,一直在强调供应链的安全,我以红队视角来理解就是0day/1day的资源储备,虽然红队人员通常具备代码审计能力,但是通常又需要完成攻防,渗透等各种工作,平常也需要时间提升能力跟进技术,没有精力或没有时间挖洞,这时候其实就需要专门的代码审计的人员针对红队人员给出的意见经验,挖掘漏洞提供资源,扩充漏洞库资源,这不管对于个人还是公司这都是核心竞争力。然后就是自动化,武器化工具,如信息收集可以按照较为完善的思路经验写成工具收集资产,避免重复性的工作,后续团队在打的期间在优化扩充资产,还有一些Nday的工具,虽然现在市面上的Nday工具已经很多了,但是对于一些特定场景姿势还是需要按照经验去编写优化的。然后就是AV/EDR对抗了,相信这一块也是红队比较头疼的问题,通常各大红队兄弟也是有对抗AV/Edr的能力的,但是AV/EDR也是在不断进步的,这时候其实也是需要专门做免杀较为深入的人员,提供资源,总不能说开打了拿到Shell了,碰到AV/EDR了时间全部浪费在了免杀上面吧,或者要钓鱼了现做免杀吧......,此外目前社工以及钓鱼能力也是非常关键的,如可以广撒网也可以鱼叉,不过最好在钓鱼之前尽可能收集钓鱼对象信息,更有针对性的去钓,这种方式在实战中也是成本较小且较为有效的方式。
面对企业安全建设日益提升的今天,红队要取得成功需要在团队协作和资源储备上下功夫。除基础能力如打点、内网、代码审计、waf对抗、AV/Edr对抗、武器化开发等外,还需注意以下几点:
1、专门的代码审计人员,根据经验需求主动挖掘漏洞,丰富0day资源库。这是核心竞争力所在。同时,保持持续学习的动力,以应对日新月异的安全技术。
2、开发可重用的自动化信息收集工具,提升效率。以及针对特定场景优化的利用工具。
3、专人对抗AV和EDR,提供免杀资源和对抗方案,避免浪费有效时间。
4、团队内适当分工,并保证资源储备充足,才能在复杂对抗中取胜。同时注重提炼总结经验教训,推动团队成员间相互学习。
原文始发于微信公众号(小黑说安全):攻防红队的个人看法
评论