核心内容摘要
WWW.COM.CN:免费网站的无限可能,开启您的数字新纪元!
红蓝对抗网络攻防实战演练
红蓝对抗介绍蓝军是指在军事模拟对抗演习中专门扮演假想敌的部队通过模仿对手的作战特征与红军进行针对性的训练对抗。
国内企业安全蓝军国外称为红队 RedTeam以攻击者视角对人员、业务、基础设施、安全系统进行模拟攻击持续暴露安全隐患和防控薄弱点评估和促进企业安全的防御、监测和应急处置的整体安全水位。
红蓝对抗技术能力红蓝对抗核心技战法0day 挖掘储备●安全设备类堡垒机漏洞、终端 EDR 漏洞、 ●流量监控设备漏洞、VPN 设备漏洞 ●企业产品类邮服漏洞、OA 漏洞社工与内网●社工邮件钓鱼邮件伪造、场景伪装 ●通讯钓鱼招聘平台、通话欺骗水坑攻击 ●内网安全产品集权类设备 域渗透 横向移动外网打点●自动信息手收集 人工漏洞打点0day、1day、供应链常见入侵路径●对外提供的服务 VPN 接入服务 ●分支机构、合作单位旁站、C 段
高级持续性攻击风险APT 攻击是针对特定目标的高级持续性攻击Advanced Persistent Threat的简称。
这种攻击通常由国家级或专业的网络攻击者发起目的是长期侵入目标网络收集机密信息。
APT 攻击的危害非常严重因为它们可以持续很长时间而攻击者可以不断收集敏感信息。
它们还可能导致系统瘫痪、数据泄露、财务损失等。
因此重要的数据和网络安全必须通过多重防御措施包括网络监测、强制访问控制、数据加密等来防范 APT 攻击。
维基解密CIA绝密文件泄露事件2017年3月7日维基解密WiKiLeaks公布了数千份文档并揭秘了美国中央情报局关于黑客入侵技术的最高机密根据泄密文档中记录的内容该组织不仅能够入侵iPhone手机、Android手机和智能电视而且还可以入侵攻击Windows、Mac和Linux操作系统,甚至可以控制智能汽车发起暗杀活动。
外界将此次泄漏事件取名为Vault 7Vault 7公布的机密文件记录的是美国中央情报局CIA所进行的全球性黑客攻击活动。
Vault7包含8761份机密文档及文件这些文件记录了CIA针对Android以及苹果智能手机所研发的入侵破解技术细节其中有些技术还可以拿到目标设备的完整控制权。
维基解密创始人阿桑奇表示文件显示出“CIA网络攻击的整体能力”而维基解密在发布这些文件时声称“CIA的网络军械库已失控”。
影子经纪人公开NSA美国国家安全局黑客武器库2017年4月14日影子经纪人Shadow Brokers在steemit.com上公开了一大批NSA美国国家安全局“方程式组织” (Equation Group)使用的极具破坏力的黑客工具其中包括可以远程攻破全球约70%Windows机器的漏洞利用工具。
任何人都可以使用NSA的黑客武器攻击别人电脑。
其中有十款工具最容易影响Windows个人用户包括永恒之蓝、永恒王者、永恒浪漫、永恒协作、翡翠纤维、古怪地鼠、爱斯基摩卷、文雅学者、日食之翼和尊重审查。
黑客无需任何操作只要联网就可以入侵电脑就像冲击波、震荡波等著名蠕虫一样可以瞬间血洗互联网。
震网病毒 Stuxnet 2010年Stuxnet作为世界上首个网络“超级破坏性武器”这也是第一次使用计算机病毒来操纵物理世界的事件。
该病毒在伊朗工控系统潜伏了5年之久并通过感染超过200,000台计算机以及导致1,000台机器物理降级对伊朗整体核计划的约五分之一造成了重大损害。
红蓝对抗实战攻击案例红蓝对抗典型攻击途径影子资产攻击对目标边缘影子资产进行迂回攻击。
声东击西穿插攻击。
多数情况下攻击人员难以直接通过正面攻击获取权限会利用自研的自动化攻击工具以最快的速度在海量目标边缘资产中找到可供突破的防守薄弱点。
一般情况下会先 采用自动化工具进行第一波突破若无果再采用遍历攻击面的方式采用人工挖掘的方式对目标资产进行细致的安全审查以获取疏于防护的目标资产权限。
社工攻击针对目标相关人员进行社会工程学攻击。
没有绝对安全的系统人是网络安全的关键因素。
随着安全防护技术及安全防护产品应用的日益成熟很多常规的攻击手段越来越难以奏效。
通过前期收集到的人员信息与其相关业务信息利用 QQ 群聊微信聊天等方式降 低目标人员的戒备心并编写招聘广告业务互动等符合目标个人需求的钓鱼木马进行社会工程学攻击进而成功突破具有高安全防护目标的安全策略。
0day 攻击利用 0day 漏洞对目标主要资产正面突破。
攻敌之不备出奇以制胜。
对常见通用系统进行漏洞挖掘并储备充足的 0day 炮火支援。
针对目标使用的通用系统使用 0day 漏洞对其进行快速的精准的打击。
虽然防守方在主要业务系统上部署了大 量防火墙、云防护、IPS 等安全设备和安全防护策略但由于 0day 漏洞的未知性与隐蔽性仍可快速获取目标核心业务网络入口主机权限并以此为跳板进行内网横向移动。
供应链攻击通过目标关联供应链进行侧面攻击 通过接入天眼查FofaGithubCensys 等网络公开信息渠道及公司自有网络空间测绘系统获取关于目标组织的人员信息、组织架构、网络资产、技术框架及安全措施信息。
同 时收集其分支机构、关联公司、外包公司、投资公司、人员、网络、主机、域名、帐户、邮箱等信息。
尽可能多的信息为攻击决策提供强有力的数据支撑攻击队员在攻击后对 直击目标的防守短板。
红蓝对抗防守方案模拟实战靶场平台模拟实战攻击训练攻击工具熟练使用系统漏洞的熟练利用攻防角度双向观察对抗杀毒软件对抗行为监控等。
网络靶场005外网应用入口IIS、Tomcat内网服务Windows、Linux、AD、Exchange防护系统Wazuh、AV、Sysmon、Falco攻击平台CS、Mythic。
红蓝对抗威胁框架网空威胁框架是一套科学的方法和工具体系能够更深入地认知APT形式的网空威胁系统全面地分析其攻击意图、手法、过程与技术达成增强防御有效性的目标。
网络杀伤链Cyber Kill Chain洛克希德-马丁公司的网络杀伤链Cyber Kill Chain提供了一个概念模型来描述攻击过程和对攻击如何运作以及在每个阶段使⽤的不同⼯具和⽅法的深⼊了解。
参考网络杀伤链Cyber Kill Chain从攻击者视角建设、评估和提升对抗能力⽹络杀伤链七个阶段如下图所示网络杀伤链七个阶段分别是“侦察-武器化-投递-利用-安装-命令控制-行动达成目的”。
1侦察研究、确定和选择目标包括对开源情报的被动侦察或主动侦察其中探测面向互联网的系统的潜在弱点。
2武器化攻击者根据在侦察阶段检索到的信息为特定⽬标创建恶意程序/⽂件。
通常 PDF 或 Office 文档可以作为恶意载荷的武器化载体。
3投递通过使⽤不同的⽅式将精⼼设计的攻击载荷传送给受害者例如电⼦邮件附件、⽹络钓⻥、⽹站、物理设备或社会⼯程。
4利⽤触发或激活恶意程序/⽂件成功渗透⽬标的系统和⽹络。
分阶段的恶意软件攻击限制了检测的可能性。
恶意软件将通过安全通道与恶意攻击者进行通信。
5安装执行恶意攻击程序或软件的实际安装为了使恶意软件和后⻔程序持久存在攻击者可以安装额外的恶意软件⼯具以确保在系统受损或恶意软件被禁⽤时攻击可以继续进行。
6命令控制受感染的系统通常会回连攻击者以建⽴命令和控制通道从⽽允许远程控制恶意软件。
尤其是在⾼级持续威胁 (APT) 恶意软件中攻击者将通过使⽤此类远程控制恶意软件并探索⽹络。
7行动达成目的通过使⽤受感染的系统作为起点“横向移动”到其他系统/⽹络以搜索其他⾼价值资产或⽬标。
直到攻击者完成其恶意行为或实现其⽬标之后攻击者将尝试使⽤不同的技术来掩盖其数字踪迹和痕迹。
MITRE ATTCK 框架MITRE ATTCK (Adversarial Tactics, Techniques, and Common Knowledge) 是由 MITRE 维护的描述了攻击者在网络攻击中使用的技术和策略的数据库。
ATTCK 提供了一种标准化的方法用于识别和评估攻击技术帮助组织识别潜在的安全威胁并采取相应的防御措施。
TCTF框架TCTF (Threat Hunting, Detection, and Response Framework) 框架是 NSA 发布的。
通过参考网空杀伤链、ATTCK等多种现有威胁框架TCTF框架以阶段Stage、目标Objective、行为Action和关键短语Key Phrases所组成的四层描述结构构造了一个与网空行为活动紧密结合的通用技术词典。
学习资源如果你是也准备转行学习网络安全黑客或者正在学习这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你知识库由360智榜样学习中心独家打造出品旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力熟练掌握基础攻防到深度对抗。
知识库价值深度 本知识库超越常规工具手册深入剖析攻击技术的底层原理与高级防御策略并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等提供了独到的技术视角和实战验证过的对抗方案。
广度 面向企业安全建设的核心场景渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点是应对复杂攻防挑战的实用指南。
实战性 知识库内容源于真实攻防对抗和大型演练实践通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。
部分核心内容展示360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。
内容组织紧密结合攻防场景辅以大量真实环境复现案例、自动化工具脚本及配置解析。
通过策略讲解、原理剖析、实战演示相结合是你学习过程中好帮手。