網(wǎng)絡(luò)江湖門派眾多，路由派、交換派、無(wú)線派、網(wǎng)關(guān)派…，其中紅方和藍(lán)方兩派特立獨(dú)行，不為爭(zhēng)奪霸主之位，只為了切磋攻防技藝，常常開展紅藍(lán)對(duì)決。藍(lán)方以控制業(yè)務(wù)、盜取機(jī)密信息為目標(biāo)，用最接近真正APT的攻擊方式，挑戰(zhàn)紅方最真實(shí)的網(wǎng)絡(luò)防護(hù)能力。紅方則需要通過分析網(wǎng)絡(luò)流量還原藍(lán)方攻擊鏈，雙方在確保業(yè)務(wù)平穩(wěn)運(yùn)行的前提下，以企業(yè)真實(shí)網(wǎng)絡(luò)環(huán)境開展實(shí)兵對(duì)決。

[[263287]]

小生不才，偶入江湖一樓，目睹紅藍(lán)兩派刀光劍影，你來(lái)我往，好不快哉。

各路招式匆匆記錄在冊(cè)，若他日參與其中，或攻或守，豈不是能輕車熟路?

藍(lán)：顧盼間乾坤倒轉(zhuǎn)

特殊弱口令

藍(lán)方某小隊(duì)通過對(duì)收集的信息進(jìn)行分析，發(fā)現(xiàn)多個(gè)目標(biāo)系統(tǒng)存在暴力破解威脅，結(jié)合以姓名作為用戶名的系統(tǒng)特性，較多公司員工使用公司名稱及其變形作為密碼的習(xí)慣，編寫弱口令字典并成功爆破得到約20個(gè)賬號(hào)。憑借這些賬號(hào)，逐一登錄多個(gè)內(nèi)網(wǎng)目標(biāo)，獲取到多份敏感數(shù)據(jù)，并利用這些賬號(hào)得到多個(gè)Web系統(tǒng)的管理員權(quán)限。

賬號(hào)劫持

在攻擊時(shí)藍(lán)方發(fā)現(xiàn)C系統(tǒng)版本老舊，存在一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞。利用這個(gè)漏洞藍(lán)隊(duì)成功寫入了一句話木馬，分析文件時(shí)又發(fā)現(xiàn)該系統(tǒng)存在弱口令賬號(hào)，利用弱口令成功切換賬號(hào)并完成提權(quán)操作，最終順利拿下服務(wù)器，為了防止權(quán)限丟失，還為root賬號(hào)添加了公鑰以備不時(shí)之需。

但藍(lán)方并沒有因?yàn)槟孟孪到y(tǒng)權(quán)限而減弱攻勢(shì)，而是利用其作為跳板做進(jìn)一步的攻擊。C系統(tǒng)存在一個(gè)登錄頁(yè)面，藍(lán)方在Web登錄頁(yè)面中添加了Javascript代碼，使每個(gè)用戶通過Web登錄時(shí)將用戶名、密碼發(fā)送給攻擊者，利用了C系統(tǒng)登錄劫持，藍(lán)方嗅探到多個(gè)內(nèi)網(wǎng)賬號(hào)密碼。成功登錄大量系統(tǒng)，其中包括核心系統(tǒng)，從中發(fā)現(xiàn)了大量核心數(shù)據(jù)和資源管理賬號(hào)密碼。

虛機(jī)克隆

藍(lán)方對(duì)賬號(hào)劫持中獲取的賬戶繼續(xù)分析，發(fā)現(xiàn)部分賬號(hào)在某些系統(tǒng)具有較高權(quán)限。藍(lán)方使用某獲取的賬號(hào)登錄內(nèi)部倉(cāng)庫(kù)管理業(yè)務(wù)。通過分析發(fā)現(xiàn)該平臺(tái)可以基于快照創(chuàng)建虛擬機(jī)。藍(lán)方一頓操作刀光劍影，使用修改后的管理員密碼登陸了克隆G系統(tǒng)獲取到該系統(tǒng)管理的所有倉(cāng)庫(kù)。

當(dāng)然，藍(lán)方的成果遠(yuǎn)不止這些，從本次對(duì)抗的結(jié)果來(lái)看，藍(lán)方收獲頗豐，他們以千姿百態(tài)的攻擊繞過方式，成功攻下六個(gè)業(yè)務(wù)系統(tǒng)不同級(jí)別的權(quán)限和大量的敏感數(shù)據(jù)。

紅：籌謀間了然于心

雖然藍(lán)隊(duì)攻勢(shì)兇猛，但紅方早有防備，提前對(duì)安全問題的系統(tǒng)進(jìn)行了整改和防護(hù)，對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行升級(jí)和部署基礎(chǔ)防護(hù)設(shè)備外，還主動(dòng)對(duì)業(yè)務(wù)系統(tǒng)發(fā)起了檢查，包括：漏洞掃描、后門檢測(cè)、弱口令檢測(cè)和環(huán)境準(zhǔn)備。

在此次紅藍(lán)對(duì)抗中，紅方監(jiān)測(cè)到藍(lán)方三個(gè)小分隊(duì)：Webshell狂魔、爆破狂魔、木馬狂魔發(fā)起的133次攻擊事件，紅方也成功利用各團(tuán)隊(duì)上報(bào)的攻擊事件還原了藍(lán)方的多條攻擊鏈。

攻擊鏈還原1：對(duì)C系統(tǒng)的攻擊還原

紅方成員分析了平臺(tái)產(chǎn)生的大量C系統(tǒng)攻擊告警，包括Webshell后門訪問、PHP代碼執(zhí)行漏洞、跨站腳本攻擊等事件，最終將攻擊者定位到了藍(lán)方花無(wú)缺，他以C系統(tǒng)的某文件作為突破口，利用PHP代碼執(zhí)行漏洞執(zhí)行phpinfo函數(shù)，隨后結(jié)合遠(yuǎn)程代碼執(zhí)行漏洞和SQL注入漏洞成功寫入Webshell，通過andSword工具成功進(jìn)行Webshell入侵。與此同時(shí)，紅方發(fā)現(xiàn)藍(lán)方成員張無(wú)忌也對(duì)C系統(tǒng)發(fā)起了攻擊，攻擊方法包括：木馬后門訪問、RCE漏洞攻擊、暴力破解、任意文件上傳等，并利用暴力破解得到多個(gè)賬號(hào)密碼。

攻擊鏈還原2：從攻擊者角度進(jìn)行攻擊還原

多個(gè)平臺(tái)產(chǎn)生了對(duì)B系統(tǒng)和F系統(tǒng)的攻擊告警日志，經(jīng)分析發(fā)現(xiàn)這些攻擊均來(lái)自兩個(gè)固定的攻擊者。其中，紅方通過TAM記錄的日志發(fā)現(xiàn)藍(lán)方成員張無(wú)忌和周芷若向B系統(tǒng)發(fā)起了大量的HTTP請(qǐng)求，從記錄的HTTP訪問日中發(fā)現(xiàn)提交的內(nèi)容極為相似，只變換了用戶名和密碼，據(jù)此可確認(rèn)為針對(duì)B系統(tǒng)的暴力破解攻擊;同時(shí)，還通過分析HTTP響應(yīng)內(nèi)容和響應(yīng)長(zhǎng)度可以確認(rèn)這兩位攻擊者成功爆破并得到多個(gè)賬號(hào)密碼，并利用獲取到的賬號(hào)成功登錄了C系統(tǒng)和F系統(tǒng)，因?yàn)檫@兩名攻擊者習(xí)慣用暴力破解的方式進(jìn)行攻擊，所以，紅方封二位為爆破狂魔。

攻擊鏈3：B系統(tǒng)攻擊還原

次日，多平臺(tái)檢測(cè)到E系統(tǒng)遭受攻擊，通過日志分析最終鎖定攻擊者為藍(lán)方成員虛竹。鎖定攻擊者后根據(jù)源IP發(fā)現(xiàn)，該攻擊者在當(dāng)天便已經(jīng)對(duì)E系統(tǒng)發(fā)起過XSS攻擊，而告警則是藍(lán)方花無(wú)缺利用了E系統(tǒng)的任意文件上傳漏洞上傳了文件名為s.cgi的Webshell文件，通過分析還發(fā)現(xiàn)該Webshell的連接密碼為fh198，在shell中存在ls/pwd等操作命令，但通過分析HTTP訪問日志發(fā)現(xiàn)，攻擊者并未對(duì)Webshell成功訪問。此外，通過日志還發(fā)現(xiàn)藍(lán)方成員虛竹還對(duì)系統(tǒng)多個(gè)系統(tǒng)發(fā)起了攻擊，其攻擊方法多以上傳shell為主。

從敵人破綻中反擊

進(jìn)攻無(wú)論怎樣犀利，反擊總會(huì)到來(lái)。紅方也并非完全采用被動(dòng)的方式進(jìn)行攻擊監(jiān)測(cè)，也采用了主動(dòng)出擊的方式來(lái)發(fā)現(xiàn)更多的攻擊。他們通過已掌握到的信息成功抓取到藍(lán)方成員段譽(yù)的賬號(hào)，并利用其賬號(hào)登錄郵箱向藍(lán)方成員發(fā)送了釣魚郵件，引誘藍(lán)方入網(wǎng)，但藍(lán)方很快發(fā)現(xiàn)自己身份已經(jīng)暴露，采取積極措施后成功避免了被紅方所利用。

鮮衣怒馬，逐鹿江湖，知己知彼，攻守自如。兩方通過此次對(duì)抗，深入發(fā)現(xiàn)、整改企業(yè)內(nèi)外網(wǎng)網(wǎng)絡(luò)資產(chǎn)和業(yè)務(wù)數(shù)據(jù)深層次的安全隱患，整合內(nèi)部安全威脅監(jiān)測(cè)發(fā)現(xiàn)能力、應(yīng)急處置能力和安全防護(hù)能力，此役之后，雙方將采取措施提高企業(yè)安全防護(hù)管理，完善企業(yè)安全防護(hù)技術(shù)體系。綠盟科技可為企業(yè)客戶提供紅藍(lán)對(duì)抗服務(wù)，整合攻防能力、設(shè)備防護(hù)能力以及平臺(tái)運(yùn)營(yíng)能力，為企業(yè)安全保駕護(hù)航。