攻防演练后的一点随记

  • A+
所属分类:安全文章

安全分析与研究

专注于全球恶意软件的分析与研究

HW

今年攻防演练算是告一段落了,各位红队和蓝队的兄弟们都辛苦了,写一点随记,供大家参考。


记得第一次参加攻防演练是在2018年,当时被派到北京,在某个政企单位做攻防演练支撑工作,然后2020年又被紧急派到长沙支撑公司某部门的攻防演练工作,2021年没有出差支撑工作,安排了组里的两位小兄弟出去,然后其余人在总部全力支撑攻防演练工作,其实在攻防演练的前期,我们团队就通过监控发现了很多红队的样本,还专门建立了红队样本库,并通过分析提取了很多公鸡队的IP地址和域名信息,积累了一些样本数据情报为攻防演练做准备。


攻防演练期间,我的团队主要承接了从公司各个渠道收集或其他团队反馈过来的可疑样本的分析与相关溯源工作,并提供相应的分析报告给客户,整个攻防演练期间,收到最多的几句话:

1.正哥,客户有个可疑样本需要看看

2.正哥,这个样本很紧急,加急处理一下

3.正哥,客户今天要出报告,麻烦赶紧处理一下

4.正哥,客户被钓鱼了,有几个钓鱼邮件需要看看

5.正哥,有个客户可能被攻击了,需要溯源看看

......


没想到今年攻防演练期间样本会这么多,前几年攻防演练的时候,真没有这么多的样本,今年各种钓鱼样本太多了,各种五花八门的骚操作,有些红队还专门构建各种客户业务的场景对客户进行钓鱼攻击,安全攻击手法多种多样,不过发现社工钓鱼永远是黑客最喜欢,也是最常用的攻击方式,在攻防演练期间,如此高的安全意识的前题下,还是有很多客户被钓鱼攻击成功的,可见在平时安全意识没有这么高的情况下,真实的黑客通过钓鱼攻击的成功率可能会更大。


今年红队的样本使用的攻击手法也是越来越高级了,很多样本都是使用了CS后门,加载CS的方式多种多样,注入手法也有差异,大部分ShellCode基本都是加密的,然后在内存解密还原,有本地的有远程的,程序很多伪装成OFFICE图标,使用超长名字或转义字符文件名,利用白+黑加载,各种反调试,反分析技术,还有使用不同的加密加壳,以及不同的编 程语言编写的,基本上红队的一些常见的攻击手法,能用的都用上了。


随笔

攻防演练活动对国家的网络安全建设起到了很好的推动作用,同时也提高了各企业的安全保护意识,其实不仅仅国内在进行网络安全攻防演练,国外最近也在进行大规模的网络安全攻防演练,前段时间为期四天的全球最大网络安全演习活动北约“锁盾2021”也落幕了,该演习由北约协同爱沙尼亚国防军、芬兰国防军、美国欧洲司令部、韩国国家安全研究院和TalTech联合举办,全球共有2000多名专家参加,全球注网络安全战,已经打响,咱们要努力学习,平时多多练习,提升自己的网络安全技能,日积月累,真实作战的时候,才能比对手更快,未来网络安全攻击活动会越来越频繁,整个社会对网络安全人才都非常渴求,网络安全行业需要更多专业的人才,还有更多的安全威胁和攻击事件需要去及时发现和应响。


攻防演练结束了,然后真实的黑客攻击活动却一直存在,最近又接到了一些朋友通过微信或其他渠道找到我,说朋友公司被勒索了,问我怎么办?目前大部分勒索病毒是没有办法解密的,只能以防为主,提高安全意识了,每天都有很多真实的黑客攻击事件在发生,因为保密的原因,笔者就不透露了,就像笔者之前说的,对APT攻击感兴趣的,可以查看笔者之前写的一篇文章《聊聊APT的溯源分析》,未来定向的APT高级威胁的攻击会越来越多,国与国之间,企业与企业之间,黑客组织每天都是在寻找新的目标和利用新的攻击方式,其实这种分析和溯源是需要花费大量的时间和精力的,笔者处理过很多真实的黑客攻击事件,样本的分析也是一个很复杂的过程,需要团队平时不断的练习,不断的提升自己的分析水平和分析速度,到了实战的时候,才能更快的找到威胁,很多厂商开始推广自己的威胁猎捕和威胁分析服务,主要是基本客户的需求,给客户提供威胁发现和分析的服务,帮助客户快速找到企业中存在的威胁,事实上很多企业可能已经中招了,只是还没有发现,所以需要更多专业的人员去分析和发现。


我很喜欢看日本北野武主演的一部电影,名叫《座头市》,这部电影非常不错,推荐大家去看看,里面打斗场景没有太多花哨的动作与招式,就是一个字:快,星爷在电影中也提到了,天下武功,无坚不破,唯快不破,其实做安全也是一样的,大家的武功招式基本都差不多,比拼的就是速度,谁能更快的获取到情报,谁能更快的及时响应,比如在攻防演练期间被爆光了两个chrome 0day,一些红队马上就开始利用这两个0day发起攻击,相应的防守方也马上捕获到了最新的攻击样本,大家比拼的其实就是速度,当发现一个新的漏洞出现的时候,分析人员需要快速分析漏洞,提取相应的特征,产品能及时防护,当捕获到一个最新的攻击样本或客户被攻击的时候,分析人员需要快速分析样本,进行溯源,及时给客户输出相关的报告,整个过程都需要快,因为客户会比较着急,大家其实都是在比拼速度,谁能更快的应响客户,帮助客户处理问题,也许谁就能获得客户的信任。


结尾

安全说到底,永远是人与人的对抗,不管是红队,还是蓝队,大家都是各怀绝技的安全研究人员,我常常比喻安全就是江湖,有人的地方就有江湖,有安全研究人员的地方,就有安全问题的存在,所有的漏洞都是人产生的,也都是由人发现的,所有的攻击武器和攻击样本也都是人编写的,安全的核心就是人与人的对抗,黑客不断的在变化着自己的攻击手法,不断更新研发自己的攻击武器,同时安全研究人员也需要不断的提升自己的安全能力,不断提升自己的安全应急响应速度,更好的满足客户的要求,更快的捕获到黑客攻击的情报,帮助客户及时发现安全威胁,保护客户的重要数据和业务正常运行,从国家层面讲,就是要保护国家基础设施,不被黑客组织破坏,国家重要的机密信息,不被黑客组织窃取。

攻防演练后的一点随记



好了,就随记到这里吧,有空再给大家分享,做安全,不忘初心,一起为国家的网络安全事业贡献自己的一份力量。

攻防演练后的一点随记

王正


笔名:熊猫正正


恶意软件研究员


长期专注于全球各种流行恶意软件的分析与研究,深度追踪全球黑客组织的攻击活动,擅长各种恶意软件逆向分析技术,具有丰富的样本分析实战经验,对勒索病毒、挖矿病毒、窃密远控木马、银行木马、僵尸网络、APT攻击类样本都有深入的分析与研究


心路历程:从一无所知的安全小白菜,到十几年安全经验的老白菜,安全的路还很长,一辈子只做一件事,坚持、专注,专业!


本文始发于微信公众号(安全分析与研究):攻防演练后的一点随记

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: