【HVV2022】前夜风雨雷电

作者：@oldhand

来一句诗词解压一下第一天气氛：

将进酒

唐·李白

君不见，黄河之水天上来，奔流到海不复回。

君不见，高堂明镜悲白发，朝如青丝暮成雪。

人生得意须尽欢，莫使金樽空对月。

天生我材必有用，千金散尽还复来。

烹羊宰牛且为乐，会须一饮三百杯。

岑夫子，丹丘生，将进酒，杯莫停。

与君歌一曲，请君为我倾耳听。

钟鼓馔玉不足贵，但愿长醉不复醒。

古来圣贤皆寂寞，惟有饮者留其名。

陈王昔时宴平乐，斗酒十千恣欢谑。

主人何为言少钱，径须沽取对君酌。

五花马，千金裘，呼儿将出换美酒，

与尔同销万古愁。

今天开始就来了火花威胁情报：

公开整理漏洞预警信息如下：

【厂商已确认】安恒明御WAF存在远程命令执行漏洞 - 7/20

【厂商已确认】深信服VPN存在远程缓冲区溢出漏洞（非web端口）

【可能性极高】小鱼易连会议系统存在0day

【厂商已确认】绿盟科技NF防火墙版本 存在远程命令执行漏洞

【厂商已确认】奇安信天擎版本存在安全漏洞

挂图作战

蓝队一般会在前期搜集情报，寻找突破口、建立突破据点；中期横向移动攻击内网，尽可能多地控制服务器或直接打击目标系统；后期会删日志、清工具、写后门建立持久控制权限。针对蓝队的常用套路，红队应对攻击的常用策略可总结为：防微杜渐、收缩战线、纵深防御、核心防护、洞若观火等。

1.1. 防微杜渐：防范被踩点

蓝队首先会通过各种渠道收集目标单位的各种信息，收集的情报越详细，攻击则会越隐蔽，越快速。前期防踩点，首先要尽量防止本单位敏感信息泄露在公共信息平台，加强人员安全意识，不准将带有敏感信息的文件上传至公共信息平台。

社工也是蓝队进行信息收集和前期踩点的重要手段，在攻防期内要更多关注钓鱼邮件和未验证身份的聊天。

1.2. 收缩战线：收敛攻击面

门用于防盗，窗户没关严也会被小偷得逞。蓝队往往不会正面攻击防护较好的系统，而是找一些可能连红队自己都不知道的薄弱环节下手。这就要求红队一定要充分了解自己暴露在互联网的系统、端口、后台管理系统、与外单位互联的网络路径等信息。哪方面考虑不到位，哪方面往往就是被攻陷的点。互联网暴露面越多，越容易被蓝队“声东击西”，最终导致红队顾此失彼，眼看着被攻击却无能为力。可从如下几方面收敛互联网暴露面。

1) 攻击路径梳理

由于网络不断变化、系统不断增加，往往会产生新的网络边界和新的系统。红队（防守单位）一定要及时梳理自己的网络边界、可能被攻击的路径，尤其是内部系统全国联网的单位更要注重此项梳理工作。

2) 互联网攻击面收敛

一些系统维护者为了方便，往往会把维护的后台、测试系统和端口私自开放在互联网上，方便维护的同时也方便了蓝队。蓝队最喜欢攻击的WEB服务就是网站后台，以及安全状况比较差的测试系统。红队须检测如下内容：开放在互联网的管理后台、开放在互联网上的测试系统、无人维护的僵尸系统、拟下线未下线的系统、疏漏的未纳入防护范围的互联网开放系统。

3) 外部接入网络梳理

如果正面攻击不成，蓝队往往会选择攻击蓝队企业的供应商、下级单位、业务合作单位等与目标单位有业务连接的其他单位，通过这些单位直接绕到目标系统内网。蓝队应对这些外部的接入网络进行梳理，尤其是未经过安全防护设备就直接连进来的单位，应先连接防护设备，再接入内网。

4) 隐蔽入口梳理

由于API接口、VPN、WiFi这些入口往往会被忽略，这往往是蓝队最喜欢打的入口，一旦搞定则畅通无阻。红队需要梳理WEB服务的API隐藏接口、不用的VPN、WiFi账号等，便于重点防守。

1.3. 纵深防御：立体防渗透

前期工作做完后，真正的防守考验来了。蓝队在互联网上的冠名网站、接口、VPN等对外服务必然会成为蓝队的首要目标。一旦一个点突破后，会迅速进行横向突破，争取控制更多的主机，同时试图建立多条隐蔽隧道，巩固成果，使红队顾此失彼。

此时，战争中的纵深防御理论就很适用于网络防守。互联网端防护、内外部访问控制（安全域间甚至每台机器之间）、主机层防护、重点集权系统防护、无线网络防护、外部网络接入防护甚至物理层面的防护，都需要考虑进去。通过层层防护，尽量拖缓蓝队扩大战果的时间，将损失降至最小。如何开展纵深防护建设不再在本报告中赘述。

1.4. 守护核心：找到关键点

核心目标系统是蓝队的重点攻击目标，是红队重点防护对象。上述所有工作都做完后，还需要重点梳理：目标系统和业务系统关联关系、目标系统的开放的服务或接口、传输方式等，梳理得越细越好。同时还须针对重点目标系统做一次交叉渗透测试，充分检验目标系统的安全性。专门对目标系统的进出流量、中间件日志进行安全监控和分析。

1.5. 洞若观火：全方位监控

任何攻击都会留下痕迹。蓝队会尽量隐藏痕迹、防止被发现；而红队恰好相反，需要尽早发现攻击痕迹，并通过分析攻击痕迹，调整防守策略、溯源攻击路径、甚至对可疑攻击源进行反制。建立全方位的安全监控体系是防守者最有力的武器。如何建立有效的安全监控体系不再在本报告赘述，可从全流量网络监控、主机监控、日志监控、情报监控等多方面进行。

老师祝贺蓝队兄弟在7月25日开始准备充分，不会出现去年韩毅这样的人来吹牛！

截图参考网上长亭，360，奇安信红蓝对抗思路，老师只是知识搬运工。

5. 公众号

  oldhand  

【WIS-HUNTER 病毒猎手团队】

原文始发于微信公众号（oldhand）：【HVV2022】前夜风雨雷电