一种网络安全攻防沙盘推演的战略战法沙盘推演之三十六计｜大湾区金融安全专刊·安全村

结合我们6年的国家级实战攻防演练以及多年沙盘推演经验，我们提出一种战略战法，该战略战法的重点是：

1. 提升己方人员斗志和必胜之心，扰乱并打击敌方信心，在心理上首先形成优势，确立己方用我必胜的信心。
2. 将中华民族各战神们的伟大战略战法思想—“三十六计”结合在沙盘推演过程。在战略战法层面（方法论）上获得胜利。

• 第一步，通过批量扫描方式对该单位官网、用户交易系统等重要网站持续开展攻击。

• 第二步，利用前期在供应链内网中获取的VPN账号密码，成功进入内网。

• 第三步，以手工的方式对内网进行信息收集，在收集过程中，发现了一个存在未授权访问漏洞的FTP，并在FTP中找到了相关的网络拓扑图，初步判断该FTP应该是用作内部人员共享文件和传输文件使用。

• 第四步，根据拓扑图的信息，对内网办公网、生产网发起扫描，并放置多个挖坑病毒。

• 第五步，最后以手工为主，扫描为辅的方式，慢慢的蚕到核心内网的服务器资产。

• 第一步，同一时间在用户量较大、影响范围较广的社交媒体以及国内外论坛发布以“免费公开该单位百万级用户数据”作为噱头的帖子，引起该单位以及其他用户的高度重视。

• 第二步，以倒计时的形式，间歇性的发布公开数据的时间节点，制造舆论以及压力。

• 第三步，临近公开数据的时间节点，通过前期供应链调研获取的信息，伪造成某中间人A，并声称可以帮忙尝试联系对方，进行匿名商谈，延迟数据公布时间，提高对方的信任度

• 第四步，以供应服务商B的专家身份帮助对方远程修复前期掌握的一些非关键漏洞，随后以协助排查策略的名义，置换防火墙对RDP端口的策略，导致该端口暴露在互联网中。

• 第五步，通过RDP端口以及骗取的账号密码，成功帮助红队打入到内网中。

• 第一步，对目标单位邮箱系统进行暴力猜解，成功以As+公司部分域名+数字的形式猜解出部分员工的邮箱默认登录密码。

• 第二步，收集员工邮件中的通讯录、邮件格式、内容口吻、人物关系、公司活动、项目情况等信息。

• 第三步，通过收集的信息，以财务人员的身份构造一封关于“某项目经费审批”为标题的邮件发送给CEO、CFO等非技术领导审批，并在邮件中附上已经捆绑病毒的合同作为附件。

• 第四步，点击附件后，红方获得决策层领导的个人终端权限，借用控制的蓝方领导终端权限查看内部管理平台，拿到运维堡垒机账号密码，成功拿下靶标。

• 第一步，在红方可以简单努力后发现的攻击链路上，放置高交互蜜罐，让红方可以触达蜜罐。

• 第二步，在红方成功进入到蜜罐设置的“陷阱”中，蜜罐会自动记录红方的UA、IP、工具方式等信息。

• 第三步，利用蜜罐记录的信息，对红方控制的肉鸡发起反制。

• 第四步，通过肉鸡开放的redis端口，成功获取该肉鸡服务器的权限，并在肉鸡上发现抓包、扫描、漏洞利用等工具。

• 第五步，最后在肉鸡的众多工具里发现某漏洞利用工具注释了开发者ID，通过ID询问圈内好友，发现该ID拥有者目前服务于某安全企业。

• 第一步，在红方容易发现的攻击链路上，放置使用了水印技术的脏数据库。

• 第二步，红方在下载带有隐藏水印的数据后，其攻击IP等信息都会被记录到数据库中。

• 第三步，还原水印中的攻击者信息，并对水印中记录的肉鸡IP发起进攻。

• 第四步，通过肉鸡IP开放的web应用，成功获取该肉鸡服务器的权限。

• 第五步，向肉鸡服务器中的数据库传输大量虚假数据，扰乱红方进攻，等待时机，反守为攻。

• 第一步，提前在私人博客或安全论坛发布相关的堡垒机的密文密码。

• 第二步，以开发的身份，小范围发布与之关联的研究成果，在众多研究成果中，附上带该密文后门的解密工具。

• 第三步，当有用户解密的密文与堡垒机密文一样时，解密工具就会触发隐藏后门，个人PC直接回连到C2服务器。

• 第四步，获取红方的权限后，第一时间会对个人PC进行截图操作，回传IP以及PC信息。

‍

关于 大湾区金融安全专刊

大湾区专刊集合了全国数十家金融和科技机构的网络安全工作经验总结，内容涉及防护体系、资产管理、研发安全、攻防演练、安全运营、数据安全、业务安全七大主题方向，希望能为从业者提供网络安全防护方面的整体思路，向行业传播可持续金融创新和实践经验，为推动可持续金融生态发展汇聚智慧与力量。

关于 安全村

安全村始终致力于为安全人服务，通过博客、文集、专刊、沙龙等形态，交流最新的技术和资讯，增强互动与合作，与行业人员共同建设协同生态。

专刊获取方式

本次专刊的合作机构如下

赶紧关注他们

联系获取纸质版专刊吧！

原文始发于微信公众号（安全村SecUN）：一种网络安全攻防沙盘推演的战略战法--沙盘推演之三十六计｜大湾区金融安全专刊·安全村