一个红队成员于2019年的思考

原文发布于2019年，现公开。

前几天元旦就想动手写，但思路没梳理好。今天刚好也有空，闲来无事写点记录下入职360到现在这四个月里参加攻防演练的一些思考以及跟组内小伙伴，和其他安全的朋友的交流学习到一些知识点，关于红队建设，和红队在类似这种项目中应该怎么去实施攻击，以及一些防守方应该考虑的点，抒发一下个人目前的一些浅薄的见解。我觉得在未来网络战当中最重要的是人才，而且搞安全的思路得广，得猥琐，一味的循规蹈矩容易被限制住，当然这也不是不好，只是说循规蹈矩的人还停留在上一个阶段，不突破这个瓶颈，安全的高度始终有限制。学习的一个过程，先模仿，模仿熟练后，然后再根据其他的经验进行组合，渗透这块其实就是知识点与知识点之间的关联组合起来发挥更大的作用，如果你的知识面更广，能考虑的事情自然比其他人的多，能攻击的面也就越广。例如一般web选手在外网只能看到像web应用，中间件，以及一些端口的漏洞。但如果你还懂网络的一个情况下，你能找到一个路由的弱密码或者漏洞，该路由器可以执行添加VPN的功能，拿你就可以直接拿着这个点加一个VPN进入到内网当中。而不仅仅局限于找Web应用。

目前为止大约参加三个这类型的项目，还有几个项目在准备当中。在这几个项目当中防守方比较好用的几个产品（攻击方角度来看），一防守方比较成功有效能阻挡红队成员在进攻中耗费工时的是蜜罐、WAF、流量检测、EDR /AV、网闸。

先说蜜罐产品吧，去年也跟朋友一块协助开发做了个基于Opencanny的一个Web界面去协助，不过是属于低交互的蜜罐产品。像类似这种低交互的蜜罐，在内网当中的效果会好很多，而且一般内网不出现传播型的病毒以及攻击者真的进入到内网，对内网网络进行一个大规模的扫描和其他一些攻击行为一般情况下是不会报。但针对像外网这种，防守方更应该去部署一些高交互的蜜罐，去迷惑红队攻击方人员，去耗费更多的工时在上面，误以为已经进入内网，在蜜罐的世界里遨游。

关于防守方部署蜜罐思考。

1.结合现有的外网场景，比如类似主体结果用中间件、数据库、开发的网站语言类型，网页的模版、标题，应力求跟核心系统雷同以及相似。

2.蜜罐的IP部署点应该和核心业务在外网点出口IP同一个C段。

3.蜜罐的域名应使用主级域名然后绑定比较特殊类似admin、master之类的这种可以被二级域名爆破工具找到的场景。

4.蜜罐产品设置的漏洞点，应该能让其他攻击队成员看到一些希望，但又碍于被WAF或者其他产品拦截，一时半会无法突破。

5.蜜罐商业开发商应更多的去和有大流量的一些厂商合作，把其他厂商的API功能集成到自己的蜜罐当中，能更好的溯源到对应的攻击者。

6.JSONP劫持漏洞是个好东西（不细说，懂的自然懂）

7.内网部署低交互蜜罐有时候会产生意想不到的结果

关于攻击方在蜜罐的思考。

1.在类似这种对抗演练的项目当中，攻击方成员首先得熟悉各个厂家的蜜罐进行识别，才不会耗费过多的工时在这种产品上。

2.需根据攻击方集成的一些经验集成下来，延伸让其他二三线的小伙伴也具备同样的能力

3.或许最需要蜜罐的不是防守方，也可能是我们攻击方成员。最好的猎人是把自己也伪装成猎物。

4.如果能有更好的资金准备让相应的实验室部门去分析那就更好了。（毕竟像目前主流的APT组组织如海莲花就应该有去购置相关比较成熟的安全产品去做分析对抗）

 接着说一下WAF类型产品，上次项目里。阿里的某大佬的一手溢出waf，把waf打卦的操作，秀的我头皮发麻。在遇到类似这种项目当中，防守方的收口子这种操作都正常了，毕竟都经历几年的xx行动，大家多多少少也被打怕。同时愿意花钱搞这种比赛的甲方，一般都是有钱的主，请攻击队的同时也会邀请各大厂商派人协助到现场帮忙收口。接着攻击方能剩下来进攻的点就越少了，很多情况下也只能硬着头皮去刚这类型产品。攻击方成员也应具备能bypass waf的技巧，储备越多越好，不过这也是跟bypassav一样属于长期对抗的工作，一旦公开就离失效不远了，这也是为什么现在一些技术好像出现了断层的情况，大家都朝着商业化去做了，拥有特殊猥琐技巧的永远是少数人。同样也是要应对这种情况把知识点沉淀下来，类似写下对应的tamper bypasswaf脚本。

绕过的方法也不细说，大概提一下几个点方便延伸思考。

1.流量池，方便让你尽可能撞出对应waf的正则表达式

2.白名单机制

3.真实IP

4.构造垃圾数据

5.POST请求下有很多玩法

6.其他类型的请求

7.根据数据库特性去延展开

8.分块传输（主流waf已经基本都能拦截了，不过特定场景下还是有一定效果）

9.你猜

然后是流量检测、EDR、AV类型产品，目前感觉就是这类型产品在外网当中效果还可以，但会普遍出现误报比较严重的情况，一方面是有些人可能只是路过扫描一下，并没有成功攻击但相应的产品还是会出现对应的纪录，这块需要防守方更多的去骚扰对应的产品商让他们根据企业的一个情况更大规则去优化产品的规则，尽可能不出现漏报，误报，多报。不过在内网当中这类的产品效果并不是特别好，毕竟安全还是要基于一个东西相信下才能判断另外的情况不可信（白名单机制利用）。攻击方成员应在项目举办前多准备一些防守方已经过期的域名，或者一些大厂商的域名作为C2的服务器，绕过会有奇效，相应也攻击成本加大，这目前也属于我个人的yy。以及像目前主流的流量检测产品已经把市面上公开的一些木马端研究的比较透彻，直接能拦截对应的一句话客户端的链接，后续如果厂家自身有开发能力，应更多自己去订制化开发自己的武器库。AV这块的bypass技术其实跟十年前并没太多两样，倒是现在EDR出来感觉效果还可以，不过国内的厂商现在EDR开发的一个进度和实际落地的产品，感觉不太行。目前个人觉得还是国外的EDR月亮比较圆。

关于网闸


我感觉网闸其实就是一个承上启下的一个产品，你说这个产品有没有用，我觉得肯定还是有的，把DMZ区的应用再隔一层出来，不直接出外网。但一旦这类型的产品出现了问题，很容易导致一片的机器沦陷。暂不细说。




关于社工钓鱼



一般如果甲方没要求限制攻击路径，红队成员进攻的方面点不不止是Web、系统等层面，还可以延展到线下的近源攻击例如丢U盘，copy工卡，绕过大门保安直接进入到公司内部再通过其他方法接入到公司的内网当中进行渗透。也可以通过网上收集的信息集合类似Offer、flash、winrar等漏洞，宏文档、OLE等等方法欺骗人员点开直接将你入到内网当中（也是目前相关APT分析报告比较多的，但其实据我了解ATT&ACK模型这玩意，其实就看看热闹就好，很多真实攻击路径并不能真正溯源到，只是邮箱这块存留下来的纪录比较多，也导致很容易产生一个误区。包括假旗行动，模仿其他组织进行冒名渗透，手法雷同，但是不是一伙人，能根据什么去判断？IP？域名？文件HASH？）。以及在内网当中最重要的点，其实是口令之间的复用，能否产生更大的效果，就看你手上拿到的口令有多少针对性去进行登陆，尽可能减少攻击日志的产生让防守方成员误以为攻击方还在外围瞎转悠，内网一片安详和谐。同时这类型的工作其实也应该由二线武器库开发人员负责把需求落地下来，能在偶尔的项目当中产生一定的奇效。




在内网里也需多准备一些不产生日志的方法进行信息收集，尽可能少做大流量的扫描行为。





关于漏洞库



很多时候比的是看哪家厂商收集的信息更广，以及手上的漏洞有多少，主流应用产品上越多的洞（每个行业特性不一样，但类似OA/MAIL/ERP/交换/安全设备等都大同小异），一方面是nday，另外一方面是自己内部人员挖掘到的框架跟第三方组件、应用等0day漏洞。具备相应开发的能力集合漏洞框架的利用能产生高效的效果拿下对应的点，从而再通过点进入内网横向渗透。











关于供应链攻击



由于甲方在核心的业务防守比较严谨，攻击方所做的对应操作很快会被拦截，有时候也只能冒一下风险趁防守方成员下班，再做一些操作去尝试。但实在没辙的时候，只能迂回去攻击甲方下面找的第三方开发商针对他们去进行一个攻击，一般这类型的开发商普遍的安全意识并没多好，也可能导致源码在github、gitee、其他网盘泄漏，或通过开发商外网队业务，能进入到内网基本能拿到源码和对应和甲方联系的人员信息和其他一些敏感信息。针对能拿下对应的源码进行审计能大力出奇迹，也同时要求红队成员要有审计代码的能力。以及通过在gitlab之类的代码库当中尝试做手脚植入后门，或发送迭代（存在后门的补丁）给甲方相应的运帷人员进行更新（不过感觉周期比较长，个人还没实现过，回头有机会实现再讨论）。针对像这类型的一方面要求供应商的产品入场前需经过类似xx电力系统就需要在上架前需经过一道第三方的产品评测，安全性达标符合等保标准后才可以上线，可以防止上线前一些比较简单存在明面的漏洞被检测到，也可以防止开发商植入或者被植入后门，等保还是有一定推动安全的作用，至于作用大不大，有待考究。





抒发下一些个人于这四个月中针对攻防演练项目的浅见和跟各位师父学习到的点，不足之处还请各位师父不吝赐教，多多指点下。

目前攻防演练（红蓝对抗）普遍的项目周期都太短了，导致攻击成员没办法真正做到像国外的apt组织那般能很好的落地攻击链的每一步，也对攻击队成员的技术有更高的要求。我觉得对攻击队的要求应该更倾向能把其他国内外的apt组织所使用技巧都能落地下来模仿，延伸。这样才能让防守方成员在遇到真实的APT攻击下能有更好的应对，也能更全面的了解到自己企业目前在网络安全当中还有哪些不足点，薄弱之处会导致网络的沦陷。

总结下几个点

1.未来网络战当中最重要的一个点是发现，你只有发现了才能有办法去反击，去设坑。

2.大数据时代下能更好合理运用大数据会产生更好的防守效果，同时攻击方如果能合理利用起来，也能找到一些更好进攻点（某厂商使用0day，某厂商直接当场截获）

3.人永远是最大的漏洞

4.白名单机制需合理利用

5.信息收集占渗透工作的70%，收集的面越广进攻面越广。参考亮神那句话。

6.红队武器库的建设需根据前场人员积累的问题，形成对应的需求解决方案，工具、脚本沉淀，让后场开发二线人员赴能前场人员

7.在这类型的项目当中，很多时候能碰到的点阅少那就只能拼大家点漏洞库数量了，红队成员应在有战时尽全力打好这场仗，在没杖时准备更多的漏洞武器库，以求一击必中，毕竟现在安全设备的延伸是基于已知的安全事件，你说ai那玩意靠谱吗？也行但并不能解决大部分的0day漏洞，尤其你的0day其实并没有大范围使用。

8.未来三年，蜜罐会是个重要的产品，消耗攻击队大量的时间成本，收集攻击队相关信息，提高防守能力，溯源攻击队成员。