當(dāng)其他安全設(shè)備監(jiān)測到攻擊時，監(jiān)控組會將發(fā)起攻擊源IP告知網(wǎng)絡(luò)處置組進(jìn)行封堵，同時將發(fā)現(xiàn)的告警信息發(fā)送給研判組進(jìn)行研判，監(jiān)控組根據(jù)研判結(jié)果通知應(yīng)用處置組進(jìn)行風(fēng)險排查，應(yīng)用處置組將加固結(jié)果反饋給監(jiān)控組，監(jiān)控組將事件記錄在防御工作列表中。

2.總結(jié)

其實(shí)整個過程下來的話，對于斗哥來說還是頗有收獲，有些小總結(jié)和大家分享一下：

1.明確客戶的所有開放資產(chǎn)，雖然這已經(jīng)是老話長談，但是確實(shí)也是最關(guān)鍵的，攻防從外到內(nèi)，再從外圍到靶機(jī)，還是要鎖好每個入口，因此應(yīng)和客戶對于所開放的外網(wǎng)系統(tǒng)進(jìn)行仔細(xì)梳理，縮小暴露面。

2.每個環(huán)節(jié)都應(yīng)進(jìn)行閉環(huán)管理，不管是漏洞整改還是資產(chǎn)梳理，對于完成的每一個環(huán)節(jié)都要進(jìn)行有效的管控。

3.應(yīng)急演練的重要性，對人員進(jìn)行分工，提前演練真實(shí)攻防場景，明確對安全事件的處置流程，在應(yīng)對安全事件發(fā)生時不會過于慌亂。

【寫在最后】

1. 整體攻防的思考

本次攻防，從規(guī)則到各方實(shí)力，都是絕無僅有的。經(jīng)常有人問，是攻擊隊厲害還是防守隊厲害？經(jīng)過我這些年的思考，還是沒有得出一個確切的結(jié)論。有時候覺得攻擊隊厲害，因?yàn)楣艨梢栽诜翘囟〞r間隨意發(fā)起，出其不意攻其不備，甚至手持0day指哪打哪，畢竟木桶原理決定著攻破一處即可內(nèi)部突襲；有時候又覺得防守方厲害，因?yàn)榉朗胤綋碛腥吭L問流量，隨時洞察攻擊者的探測并封堵IP，也可以在主機(jī)層監(jiān)控攻擊者一舉一動，甚至部署蜜罐玩弄黑客于鼓掌之中?？傊@么些年的摸爬滾打經(jīng)驗(yàn)告訴我，攻防就是這樣，道高一尺魔高一丈，一如黑客防線中說的“在攻于防的對立統(tǒng)一中尋求突破”。

2. 從攻擊方思考

在真實(shí)的攻擊行動中，一般一個目標(biāo)要搞到核心系統(tǒng)根據(jù)防御程度不同，也需要1個月到半年的樣子，甚至APT要潛伏一到兩年才能拿到自己想要的數(shù)據(jù)。而此次總共給攻擊方的時間只有3個周，并且每個隊伍據(jù)說10多個目標(biāo)，這也就決定了攻擊要快速、要自動化。

a) 分布式掃描器

要說快速，還是得上掃描器，但是一個掃描器速度肯定不行，再者，被發(fā)現(xiàn)攻擊行為，立馬IP被ban掉，后續(xù)就無法進(jìn)行。所以，分布式掃描器在這種情況下一定是個趨勢。首先對全部目標(biāo)的全端口進(jìn)行一次掃描+端口識別，根據(jù)Banner快速收割一輪；

在這個過程中就會有個陷阱，比如在收集二級域名時，經(jīng)常采用字典爆破，而防守方會設(shè)置一個誘餌二級域名，把流量引入蜜罐之中，坐等攻擊方上鉤。這時就需要攻擊方們機(jī)靈一點(diǎn)，時刻反思這個是不是蜜罐。

對于AWVS的掃描器，還需升級到最新版，別被防御方反制，畢竟老版本掃描器自身就存在一個RCE。

b) 菜刀？蟻劍？冰蝎？

對于所有的黑客來說，菜刀肯定是一個傳奇，一直是最穩(wěn)定、最牛逼的webshell管理工具之一，但同時，菜刀也是一個最容易被發(fā)現(xiàn)的攻擊工具，畢竟流量特征太明顯了，而且一旦發(fā)現(xiàn)就100%意味著服務(wù)器已淪陷，防守方會里面下線進(jìn)行深入分析。記得當(dāng)初第一次見到菜刀這工具時的感覺，總結(jié)起來就是“厲害”。因?yàn)樵诓说吨?，我們學(xué)習(xí)的都是先小馬后大馬的姿勢。而用了菜刀之后，我深刻理解了什么大馬小馬都無所謂，能執(zhí)行命令搞定目標(biāo)的都是好馬。然后經(jīng)過了幾年的迭代，中國菜刀在國內(nèi)安全圈也是經(jīng)歷了各種風(fēng)風(fēng)雨雨，各種后門版滿天飛。最后鑒于其加密性能較弱，陸續(xù)出現(xiàn)了幾個替代版本，蟻劍就是很優(yōu)秀的一個項目。講真，我開發(fā)水平相對較弱，見到蟻劍才發(fā)現(xiàn)原來js也可以寫出優(yōu)秀的跨平臺客戶端應(yīng)用?？墒钦接捎谄鋘odejs寫的，才導(dǎo)致其跟AWVS一樣，存在一個本地nodejs解析的RCE，很可能被防御方反制。再之后給我“厲害”感覺的就是冰蝎了，其雙向通信加解密的管理方式，讓諸多基于黑名單正則的防御產(chǎn)品廠商直接歇菜。可是很奇怪的時，還是有很多大量攻擊方采用菜刀、jspspy之類的原始webshell，結(jié)果被防御方輕松發(fā)現(xiàn)并清除。

不過說到最后，我有一個疑惑，為什么大家非得用webshell這種方式搞服務(wù)器呢？比如存在weblogic反序列化或者Struts2 RCE漏洞時，黑客們寫的工具還是一鍵寫入webshell這種。安全發(fā)展到今天，防御手段越來越多，各位白帽子是時候改變了。正如我之前說的，不管用什么shell工具，只要能在服務(wù)器端執(zhí)行命令，下面就肯定有更好的解決方案。我一般會使用命令方式加載自己的二進(jìn)制版遠(yuǎn)控來操作?，F(xiàn)在的二進(jìn)制遠(yuǎn)控不像以前還要生成exe用菜刀上傳，在命令行下執(zhí)行，現(xiàn)在基本都可以做到類似mshta或者powershell的一句話直接動態(tài)上線，并且基于TCP/UDP協(xié)議的命令執(zhí)行、文件管理。這樣的好處：一是穩(wěn)定，二是完全繞過那些基于黑名單的流量分析設(shè)備。類似metasploit的腳本payload反彈的meterpreter，但是msf特征明顯，也容易被殺，所以我個人估計后面攻防還是會發(fā)展到類似cobalt strike之類的工具對抗上。

c) 水坑&魚叉

針對水坑或者魚叉攻擊來講，可以想象到肯定大量的攻擊隊伍采用這種方法進(jìn)行攻擊，攻擊手法多基于郵件進(jìn)行?，F(xiàn)在假想成攻擊隊伍，我會首先在github上搜索一波，舉個例子：https://github.com/search?q="4dogs.cn"+password&type=Code,注意域名要加上雙引號進(jìn)行精準(zhǔn)匹配。在翻到一個可登陸的郵箱后，去通信錄導(dǎo)出所有聯(lián)系人方式，進(jìn)而進(jìn)行簡單的口令爆破；在這些操作還沒拿到有用密碼的情況下，就可以根據(jù)組織結(jié)構(gòu)進(jìn)行定點(diǎn)攻擊了。高級點(diǎn)的用瀏覽器0day，沒有0day的也可以直接發(fā)宏病毒，注意要編個理由并且加密發(fā)送，防止被沙箱抓樣本。

假如沒有有用的郵箱賬號，也可以用搜索引擎收集郵箱，再根據(jù)規(guī)則，加載中國姓名top500字典進(jìn)行組合，總歸能抓到一兩個用弱口令的。

如果還是什么都沒有，也可以使用swaks一類直接偽造成admin發(fā)送釣魚郵件。

對于防御方來講，最厲害的莫過于直接關(guān)停外網(wǎng)郵箱了。次之，可以派人隨時查看登錄日志，及時發(fā)現(xiàn)異地登錄爆破情況。對于有錢的甲方，可以通過流量鏡像，對附件進(jìn)行沙箱判定。

d) 內(nèi)網(wǎng)滲透，還是要了解業(yè)務(wù)

在突破邊界進(jìn)入內(nèi)網(wǎng)后，剩下的主要是內(nèi)網(wǎng)滲透了。內(nèi)網(wǎng)滲透可以簡單分為橫向滲透和縱向滲透。內(nèi)網(wǎng)滲透的實(shí)質(zhì)和關(guān)鍵是信息收集，通過不停的突破系統(tǒng)拿到更多的權(quán)限，而更多的權(quán)限帶來更多的信息，最終在信息和權(quán)限的螺旋迭代下，拿到目標(biāo)的最高權(quán)限。

對于有域的環(huán)境，一般目標(biāo)時拿下域控，而在本次攻擊中卻恰好爆發(fā)了一個直接打域控的0day，這就容易多了。但是即使一鍵拿下域控權(quán)限，還是要回到信息收集的本質(zhì)上，要在海量的終端里篩選出自己的目標(biāo)數(shù)據(jù)在哪臺機(jī)器里，還是需要一些技巧的。

而不管是什么環(huán)境，我個人感覺阻礙攻擊隊伍進(jìn)行內(nèi)網(wǎng)滲透的主要原因還是對目標(biāo)業(yè)務(wù)的了解程度。比如電力行業(yè)的16字方針，很多時候搞到邊界系統(tǒng)后，ipconfig一看是10段的，以為進(jìn)了個大內(nèi)網(wǎng)，而實(shí)際情況是那只是冰山一角而已?？v向突破還有很長很長的路要走。再者，假如對電信行業(yè)、金融行業(yè)不了解，進(jìn)到內(nèi)網(wǎng)肯定也是一臉懵。這也是內(nèi)網(wǎng)滲透耗費(fèi)精力的原因。

e) 0day的優(yōu)劣勢

在本次演習(xí)中，陸續(xù)發(fā)現(xiàn)了大量的0day，印象里有七八個，0day具體細(xì)節(jié)可以參考各大公眾號之前的報到。這里只討論下針對0day的問題。

從0day的內(nèi)容和數(shù)量上來講，護(hù)網(wǎng)結(jié)束后我感覺什么系統(tǒng)都有漏洞，并且有一種想去挖幾個留著的沖動，奈何工作雜事太多，先擱置一下吧。

對于攻擊方來講，手握0day是指哪打哪的一個有效支撐。從漏洞類型上，基本覆蓋web、網(wǎng)絡(luò)、操作系統(tǒng)等等方面。針對國內(nèi)的網(wǎng)絡(luò)安全現(xiàn)狀，講真，我對那些商業(yè)應(yīng)用真的不報任何安全的奢望。對于國企和政府來講，自有系統(tǒng)大都是外包廠商開發(fā)，而這些外包開發(fā)者，大部分不懂安全，甚至sql注入是啥都不知道，更別說防御框架漏洞了。所以對于攻擊者來講，去攻擊一個客戶廣泛的廠商，拿到一個0day即可攻下其相關(guān)的所有目標(biāo)，收益非常高。但同時也要明白，現(xiàn)在0day的生存期非常之短。10年前，我們一個0day可以用半年都沒被人發(fā)現(xiàn)，而在這次演習(xí)中，0day的生存期可能只有半個小時，因?yàn)榉朗胤桨l(fā)現(xiàn)shell就會溯源，進(jìn)而預(yù)警。不過排除這次防守方7*24小時的有效監(jiān)控，在真實(shí)情況下，0day的生存周期可能不超過一周。所以我認(rèn)為，當(dāng)前網(wǎng)絡(luò)環(huán)境中，0day大量存在，但使用非常謹(jǐn)慎。至于防守方怎么防御0day，請看后面的內(nèi)容。

3. 從防守方考慮

整體來講，防守方都是從“事前排查”、“事中監(jiān)控”、“事后溯源”三個方面進(jìn)行防御的。根據(jù)我的觀察，國企安全防御能力一般弱于互聯(lián)網(wǎng)公司；而國企和政府單位的投入普遍高于互聯(lián)網(wǎng)公司。導(dǎo)致了演習(xí)前大量的“人販子”到處求人駐場的問題，一度炒到每人每天上萬元。下面從幾個方面分析這次防守方的經(jīng)驗(yàn)和教訓(xùn)。

a) 防御過度問題

這次演習(xí)的意義和重要性，甲方自己應(yīng)該更明白，這里不再描述。而正是由于防御方的重視，出現(xiàn)了大量的防御過度現(xiàn)象：一是在開始前的大量系統(tǒng)關(guān)停，二是對于互聯(lián)網(wǎng)IP的大量封禁。大量的關(guān)停本質(zhì)上是掩耳盜鈴，在護(hù)網(wǎng)結(jié)束后依舊面臨各類外部攻擊者的威脅。希望存在這類情況的廠商，還是能從根源上排查漏洞，加固系統(tǒng)，對系統(tǒng)采取必要的防護(hù)措施。

針對惡意封禁IP的情況，雖然體現(xiàn)了防守方及時發(fā)現(xiàn)攻擊的能力，但同時，也影響了正常業(yè)務(wù)的運(yùn)行，特別是一封一個B段的情況。各位甲方還是考慮下從根源解決問題。

b) 應(yīng)急排查

對于事前的應(yīng)急排查，甲方大都采用臨時購買人工滲透服務(wù)的方式進(jìn)行，毫不客氣地說，他們買到的一部分是在校大學(xué)生，或者培訓(xùn)機(jī)構(gòu)的實(shí)習(xí)生。即使錢給夠了，去的是個滲透大師，也會因?yàn)閮?nèi)網(wǎng)漏洞太多，無法完全覆蓋。舉個例子：假如給我一個系統(tǒng)，我大概需要一上午分析每個端口，每個業(yè)務(wù)接口的安全性，進(jìn)而給出一個完整的測試報告。我基本上可以保證我測試過的系統(tǒng)短時間內(nèi)不會出大問題。但是假如給我一個B段，告訴我3天完成，那我就只能模擬橫向內(nèi)網(wǎng)滲透，masscan先來一些端口，wvs掃描一輪，然后一批一批的去看。這種模式就決定了無法完全覆蓋全部業(yè)務(wù)系統(tǒng)。即使時間夠，那對于新增的業(yè)務(wù)又怎么辦？

那針對這種情況該怎么辦？我一直給我的客戶普及的一個想法：內(nèi)網(wǎng)漏洞不要指望短時間內(nèi)購買一次服務(wù)就完全解決了。針對漏洞隱患的工作必須常態(tài)化開展：一是上資產(chǎn)管控手段，對內(nèi)網(wǎng)所有的服務(wù)器，通過主動掃描、被動流量分析等手段進(jìn)行搜集，實(shí)時監(jiān)控內(nèi)網(wǎng)到底開了多少端口，每個端口運(yùn)行什么服務(wù)，應(yīng)用是什么版本；二是解決遺留問題，對內(nèi)網(wǎng)既有的框架漏洞、弱口令漏洞，進(jìn)行專項整治。相信通過本次護(hù)網(wǎng)，原來沒搞過安全的防守方，在部署安全設(shè)備后發(fā)現(xiàn)了大量的永恒之藍(lán)、木馬受控等遺留問題。建議大家用幾周時間集中解決一類問題，循環(huán)下去即可解決遺留的全部問題；三是建立新業(yè)務(wù)上線審查流程，對于新上線的業(yè)務(wù)系統(tǒng)，必須通過第三方安全測評，只有拿到安全測評報告的才允許上線。

c) 重邊界、輕內(nèi)網(wǎng)的防御策略

這次的防守方普遍是重邊界、輕內(nèi)網(wǎng)防御，造成了一旦邊界被破，內(nèi)網(wǎng)整體垮掉的風(fēng)險。而這個情況在我入行時就普遍存在。安全發(fā)展到今天，實(shí)在是說不過去。去年看到了Google提出的0信任網(wǎng)絡(luò)，感覺是個趨勢，一度想轉(zhuǎn)行做0信任網(wǎng)絡(luò)的布道者，雖然普及還有一段路，但是我還是希望大家可以轉(zhuǎn)變思維，一定不要認(rèn)為我在內(nèi)網(wǎng)就是安全的。萬一哪天被黑，可能影響的就是國家利益，帶來的就是社會動蕩。

d) 威脅情報系統(tǒng)的意義

首先，針對這次攻擊，各種原有IOC情報基本無效，比如惡意域名庫、惡意IP庫等，因?yàn)楣舴绞褂玫亩际切碌挠蛎虸P，這也是黑名單做安全的尷尬。但是同時要感謝安全廠商們的威脅情報庫，讓更多的國企、政府單位認(rèn)識到了自己內(nèi)網(wǎng)辦公電腦有很多已經(jīng)被控制。

e) 面對0day攻擊的無力感

面對0day攻擊，理論上誰都扛不住，但是實(shí)際是這樣么？仔細(xì)想想并非如此，首先，面對0day真正扛不住的是以黑名單為基礎(chǔ)的安全設(shè)備，包括waf類、態(tài)勢感知類、IDS類等。而這些安全設(shè)備，又確確實(shí)實(shí)是各大廠商的首選安全監(jiān)控設(shè)備，一旦這些設(shè)備沒報警，那基本啥都干不了，這也是防守方們7*24小時防守但其實(shí)大部分時間無所事事的原因。

首先，對于web 0day的防御，完全可以采用openrasp類防御方法，從根源上防止各類web漏洞攻擊。如果有想購買商業(yè)版rasp方案的同學(xué)，可以勾兌下我哦。

其次，對于網(wǎng)絡(luò)0day和系統(tǒng)0day，我們可以采用EDR手段進(jìn)行防御，在終端上裝上agent，在agent上采用白名單策略，對于無關(guān)的進(jìn)程啟動和危險命令直接報警或阻斷。想起來我們四年前做過的一個產(chǎn)品叫麒麟衛(wèi)士，可以說是國內(nèi)首款EDR雛形了，可是去賣的時候發(fā)現(xiàn)大家對于需要安裝agent的做法都耿耿于懷，不敢裝。四年過去了，相信后面會有更多的人接受EDR帶來的安全改變。

f) 蜜罐

這次演習(xí)的一大亮點(diǎn)就是很多防御方采用了蜜罐的方式進(jìn)行誘捕和攻擊引流。要說蜜罐做得好，那是真的很有用。我理想中的蜜罐應(yīng)當(dāng)是完全仿真，而不是動態(tài)針對部分服務(wù)的仿真。同時可以具備反制的功能，一是可溯源攻擊者真實(shí)身份，二是可利用AWVS或者蟻劍這類黑客工具自己的漏洞反向攻擊攻擊者。相信后面會有大量的優(yōu)秀產(chǎn)品脫穎而出。不過防守方真的真實(shí)部署后，可能半年也捕獲不到一次有效攻擊，畢竟這次是演習(xí)，平時黑客攻擊還是少。不過安全就是如此，防患于未然。