ps:没时间排版,凑合看吧
蓝队的工作内容
初级: 看安全设备,发现异常信息,第一时间报告,封堵ip地址
中级:看安全设备,一定的溯源能力
高级:看安全设备,一定的溯源能力,反制等等(可能比较累)
这个主要看甲方的防护和人员水平,一般来讲的话,蓝队的初中级不是很忙,高级的话,可能会忙一点,这个里面充满了变数:如果甲方比较rich,基本上就是报异常,封堵ip地址;如果甲方用了某些安全设备(如xxx),很有可能直接被打穿。
一般来说,hw的前段时间都是红队的信息搜集时间(当然,这个信息搜集的时间不一定是在hvv之后进行的,可能在很早的时候就已经悄悄开始)
1)前年最开始的时候是24小时,去年开始要求早9晚9,其他时间红队不允许攻击,如果红队攻击被发现,可能会被严惩,但是在非攻击时间也可能发生意外情况。(很多变数)
2)一般都是从演习开始到结束,大概周期在半个月左右,比如去年正式开始是从9.11日早上9点-9.24晚上9点结束。
但对于以下两种情况,时间会延长和减少:
1)hvv期间被打穿,甲方提前退出演习,比如去年的某视、xxxx(多家),其中据说某家被打穿后,变成马场,防守队直接放弃抵抗(真实性待考)
2)属于能源等特殊行业,可能会被延期,去年的情况就是如此
总体上
去年的情况是,印度的ip apt攻击偏多,从最开始到最后结束,印度的apt攻击越来越多,这个排除一些真实的攻击场景之外,大部分印度apt攻击都是因为设备被木马感染,继而继续传播病毒。当然,我国的一些设备因为没有及时修复漏洞,导致被感染,开始进行病毒传播。
钓鱼邮件会大大增加,社会工程学手段非常非常高明!!!
前期
一般动静不大,除非甲方很菜,大部分都是红队进行信息搜集。
中期
一般有些甲方相继沦陷,毕竟红队有很多的0day,这个时候可能已经开始了内网漫游,但有可能因为蓝队安全设备过多,红队动静过大,流量特征可能会被发现。
后期
如果此时你所在的甲方依旧还在,应该重点小心钓鱼!!!而且是最后几天,可能会收到大量的各式各样的钓鱼邮件!!!
这里的钓鱼不仅仅是免杀exe文件,免杀宏文档,还有社会工程学,比如
1)PUA式钓鱼
如果因个人原因未修补,导致被入侵,将会降低绩效、xxxxx
2)凭空多出来的大厂HR
突然有大厂的HR告诉你,对你的简历感兴趣,可否私聊?自己好好反思下,自己技术那么菜,为啥这个时间点冒出来这么多热情的hr来???
于是加微信等私聊,在工作时间给你发送文件等,直接内网中招
。。。。。(还有很多)
比如:无人机的(这是19年的,应该是真的,现在还被拿出来炒)
下水道的(这是19年的,真实性不明)
蹲在甲方门外的(19年,20年都有,今年也会有),去年某红队队员直接被抓(真事)
1)睡觉、打瞌睡、划水
这类最安全,但容易被甲方呵斥
2)找到可疑的ip地址,进行反溯源!!!
这里针对防守方的初、中级队员来说,能够对可疑ip溯源成功,无疑是建功立业的好机会!!!
但很容易被溯中溯
众所周知,目前甲方会使用极多的蜜罐来捕获攻击和溯源,其中溯源中可能会用到的技术叫做jsonp劫持(大概是),这个就可以获取攻击者的一些个人社交信息,比如如果你用自己常用的浏览器来访问资源,有意无意的踩中了蜜罐,如果你的浏览器上登陆的有以前你的个人信息,比如:爱奇艺账号。。。。。。(很多),蜜罐就会捕获这些信息,这种溯源精度要比ip溯源高很多很多。
但是蜜罐不是只有蓝队才会搭建,红队也会搭建,对的,你没有看错,去年就有些红队故意使用某ip踩蜜罐,而且特征很像攻击手法,这边的一个老哥随手就在自己的电脑上来了一个扫描,然后访问了红队的蜜罐,当他察觉的时候,已经晚了。。。。这个是我亲身经历的,当然主角不是我。
3)自己学习新东西
有些防守队员总喜欢建功立业,在演习期间,自己的电脑连甲方的网络,进行敏感操作的,比如有人连接甲方WiFi,外连远程的cs服务端,造成流量设备大报警,以为内网被打穿,紧急响应。所以大家切记切记切记不要连接甲方的网络,哪怕甲方跪下来求给你网用,你也要用自己的热点。
4)不要挑衅红队!!! 如果被你的甲方知道了,你可能就直接拜拜了
红方的工作内容大致上:
打穿,建功立业
安全厂商,没有之一
1)在hw期间,所有的安全厂商都是7*24小时在线,比如hw期间曝出的0day,一般在24小时内安全厂商都会对设备升级,这里并不是指某些安全设备的0day,比如探针、流量审计等
2)大部分安全厂商都有强有力的安全团队支撑,他们负责攻击溯源、流量分析、事件研判等任务,很多都是处理
这里不评论,懂得都懂
8号的时候爆出来一个lt的
后来又爆出一张图
这种就是段子,图个开心就行了
网上流传的信息很多了,一大把,有时间复现
HVV的吃瓜选手
对于不参加这次活动的吃瓜人员,这段时间不要乱搞,被溯源到不是红队的话,是要吃x饭的!!!