HVV闲聊，聊点不一样的

以下内容只是我的片面理解，可能会有错误，希望大家多多包含

ps：没时间排版，凑合看吧

蓝方闲聊

蓝队的工作内容

初级： 看安全设备，发现异常信息，第一时间报告，封堵ip地址

中级：看安全设备，一定的溯源能力

高级：看安全设备，一定的溯源能力，反制等等（可能比较累）

以前的经验总结：

一、忙不忙？

这个主要看甲方的防护和人员水平，一般来讲的话，蓝队的初中级不是很忙，高级的话，可能会忙一点，这个里面充满了变数：如果甲方比较rich，基本上就是报异常，封堵ip地址；如果甲方用了某些安全设备（如xxx），很有可能直接被打穿。

一般来说，hw的前段时间都是红队的信息搜集时间（当然，这个信息搜集的时间不一定是在hvv之后进行的，可能在很早的时候就已经悄悄开始）

二、hvv时间怎么算？

1）前年最开始的时候是24小时，去年开始要求早9晚9，其他时间红队不允许攻击，如果红队攻击被发现，可能会被严惩，但是在非攻击时间也可能发生意外情况。（很多变数）

2）一般都是从演习开始到结束，大概周期在半个月左右，比如去年正式开始是从9.11日早上9点-9.24晚上9点结束。

但对于以下两种情况，时间会延长和减少：

1）hvv期间被打穿，甲方提前退出演习，比如去年的某视、xxxx（多家），其中据说某家被打穿后，变成马场，防守队直接放弃抵抗（真实性待考）

2）属于能源等特殊行业，可能会被延期，去年的情况就是如此

三、hvv的攻击趋势如何？

总体上

去年的情况是，印度的ip apt攻击偏多，从最开始到最后结束，印度的apt攻击越来越多，这个排除一些真实的攻击场景之外，大部分印度apt攻击都是因为设备被木马感染，继而继续传播病毒。当然，我国的一些设备因为没有及时修复漏洞，导致被感染，开始进行病毒传播。

钓鱼邮件会大大增加，社会工程学手段非常非常高明！！！

前期

一般动静不大，除非甲方很菜，大部分都是红队进行信息搜集。

中期

一般有些甲方相继沦陷，毕竟红队有很多的0day，这个时候可能已经开始了内网漫游，但有可能因为蓝队安全设备过多，红队动静过大，流量特征可能会被发现。

后期

如果此时你所在的甲方依旧还在，应该重点小心钓鱼！！！而且是最后几天，可能会收到大量的各式各样的钓鱼邮件！！！

这里的钓鱼不仅仅是免杀exe文件，免杀宏文档，还有社会工程学，比如

1）PUA式钓鱼

如果因个人原因未修补，导致被入侵，将会降低绩效、xxxxx

2）凭空多出来的大厂HR

突然有大厂的HR告诉你，对你的简历感兴趣，可否私聊？自己好好反思下，自己技术那么菜，为啥这个时间点冒出来这么多热情的hr来？？？

于是加微信等私聊，在工作时间给你发送文件等，直接内网中招

。。。。。（还有很多）

比如：无人机的（这是19年的，应该是真的，现在还被拿出来炒）

下水道的（这是19年的，真实性不明）

蹲在甲方门外的（19年，20年都有，今年也会有），去年某红队队员直接被抓（真事）

四、hvv期间蓝队人员无聊怎么办？

1）睡觉、打瞌睡、划水

这类最安全，但容易被甲方呵斥

2）找到可疑的ip地址，进行反溯源！！！

这里针对防守方的初、中级队员来说，能够对可疑ip溯源成功，无疑是建功立业的好机会！！！

但很容易被溯中溯

众所周知,目前甲方会使用极多的蜜罐来捕获攻击和溯源,其中溯源中可能会用到的技术叫做jsonp劫持(大概是),这个就可以获取攻击者的一些个人社交信息,比如如果你用自己常用的浏览器来访问资源，有意无意的踩中了蜜罐,如果你的浏览器上登陆的有以前你的个人信息，比如：爱奇艺账号。。。。。。（很多），蜜罐就会捕获这些信息，这种溯源精度要比ip溯源高很多很多。

但是蜜罐不是只有蓝队才会搭建，红队也会搭建，对的，你没有看错，去年就有些红队故意使用某ip踩蜜罐，而且特征很像攻击手法，这边的一个老哥随手就在自己的电脑上来了一个扫描，然后访问了红队的蜜罐，当他察觉的时候，已经晚了。。。。这个是我亲身经历的，当然主角不是我。

3）自己学习新东西

有些防守队员总喜欢建功立业，在演习期间，自己的电脑连甲方的网络，进行敏感操作的，比如有人连接甲方WiFi，外连远程的cs服务端，造成流量设备大报警，以为内网被打穿，紧急响应。所以大家切记切记切记不要连接甲方的网络，哪怕甲方跪下来求给你网用，你也要用自己的热点。

4）不要挑衅红队！！！ 如果被你的甲方知道了，你可能就直接拜拜了

红方闲聊

红方的工作内容大致上：

打穿，建功立业

给红队初、中级的建议

1. 所有的红队队员应该都参加过培训，比较保险的防溯源手法（不一定准确）：使用虚拟机，挂代理，使用虚拟机里面的浏览器，浏览器上不登陆自己的信息，再使用浏览器的无痕模式，再使用js监控类的插件。。。。。
2. 不要用未修改特征的任何开源和广为人知的安全工具进行扫描探测，这些流量特征极其极其明显！！！比如sqlmap，菜刀，冰蝎，cs
3. 不要使用小范围的带有明显特征的工具，比如某些团队会写一些工具，但是工具中会注明一些团队信息，这对溯源来说，简直不要太友好，就算不是你做的，但是用到你的工具你也说不清楚
4. 最好不要发包含exe的钓鱼邮件，这个但凡有个邮件网关的，而且属于特殊时期的，都会对其进行拦截，可以考虑远程宏加载，分离免杀等其他社工手法
5. 不要在甲方的旁边抱着电脑，拿着天线，这种被抓的概率极高，被抓容易被打
6. 一定要记得用代理！！！据传19年某甲方被红队打的很惨，但是红队队员不小心透露了自己入住的宾馆的ip地址，整个甲方去了几十个人把宾馆围了，要打人

哪些人最忙？

安全厂商，没有之一

1）在hw期间，所有的安全厂商都是7*24小时在线，比如hw期间曝出的0day，一般在24小时内安全厂商都会对设备升级，这里并不是指某些安全设备的0day，比如探针、流量审计等

2）大部分安全厂商都有强有力的安全团队支撑，他们负责攻击溯源、流量分析、事件研判等任务，很多都是处理

哪些人最赚钱

这里不评论，懂得都懂

hvv段子

8号的时候爆出来一个lt的

后来又爆出一张图

这种就是段子，图个开心就行了

hvv暴出来的洞

网上流传的信息很多了，一大把，有时间复现

HVV的吃瓜选手

对于不参加这次活动的吃瓜人员，这段时间不要乱搞，被溯源到不是红队的话，是要吃x饭的！！！