當(dāng)然����,藍(lán)方的成果遠(yuǎn)不止這些��,從本次對(duì)抗的結(jié)果來(lái)看�����,藍(lán)方收獲頗豐��,他們以千姿百態(tài)的攻擊繞過(guò)方式��,成功攻下六個(gè)業(yè)務(wù)系統(tǒng)不同級(jí)別的權(quán)限和大量的敏感數(shù)據(jù)���。
紅:籌謀間了然于心
雖然藍(lán)隊(duì)攻勢(shì)兇猛,但紅方早有防備��,提前對(duì)安全問(wèn)題的系統(tǒng)進(jìn)行了整改和防護(hù)���,對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行升級(jí)和部署基礎(chǔ)防護(hù)設(shè)備外�����,還主動(dòng)對(duì)業(yè)務(wù)系統(tǒng)發(fā)起了檢查��,包括:漏洞掃描�、后門檢測(cè)、弱口令檢測(cè)和環(huán)境準(zhǔn)備�����。
在此次紅藍(lán)對(duì)抗中��,紅方監(jiān)測(cè)到藍(lán)方三個(gè)小分隊(duì):Webshell狂魔�、爆破狂魔�����、木馬狂魔發(fā)起的133次攻擊事件����,紅方也成功利用各團(tuán)隊(duì)上報(bào)的攻擊事件還原了藍(lán)方的多條攻擊鏈。
攻擊鏈還原1:對(duì)C系統(tǒng)的攻擊還原
紅方成員分析了平臺(tái)產(chǎn)生的大量C系統(tǒng)攻擊告警���,包括Webshell后門訪問(wèn)�����、PHP代碼執(zhí)行漏洞��、跨站腳本攻擊等事件�����,最終將攻擊者定位到了藍(lán)方花無(wú)缺����,他以C系統(tǒng)的某文件作為突破口,利用PHP代碼執(zhí)行漏洞執(zhí)行phpinfo()函數(shù)��,隨后結(jié)合遠(yuǎn)程代碼執(zhí)行漏洞和SQL注入漏洞成功寫入Webshell����,通過(guò)andSword工具成功進(jìn)行Webshell入侵。與此同時(shí)��,紅方發(fā)現(xiàn)藍(lán)方成員張無(wú)忌也對(duì)C系統(tǒng)發(fā)起了攻擊�,攻擊方法包括:木馬后門訪問(wèn)、RCE漏洞攻擊���、暴力破解�、任意文件上傳等���,并利用暴力破解得到多個(gè)賬號(hào)密碼����。
攻擊鏈還原2:從攻擊者角度進(jìn)行攻擊還原
多個(gè)平臺(tái)產(chǎn)生了對(duì)B系統(tǒng)和F系統(tǒng)的攻擊告警日志,經(jīng)分析發(fā)現(xiàn)這些攻擊均來(lái)自兩個(gè)固定的攻擊者���。其中��,紅方通過(guò)TAM記錄的日志發(fā)現(xiàn)藍(lán)方成員張無(wú)忌和周芷若向B系統(tǒng)發(fā)起了大量的HTTP請(qǐng)求�,從記錄的HTTP訪問(wèn)日中發(fā)現(xiàn)提交的內(nèi)容極為相似���,只變換了用戶名和密碼,據(jù)此可確認(rèn)為針對(duì)B系統(tǒng)的暴力破解攻擊;同時(shí)���,還通過(guò)分析HTTP響應(yīng)內(nèi)容和響應(yīng)長(zhǎng)度可以確認(rèn)這兩位攻擊者成功爆破并得到多個(gè)賬號(hào)密碼���,并利用獲取到的賬號(hào)成功登錄了C系統(tǒng)和F系統(tǒng),因?yàn)檫@兩名攻擊者習(xí)慣用暴力破解的方式進(jìn)行攻擊�����,所以�����,紅方封二位為爆破狂魔。
攻擊鏈3:B系統(tǒng)攻擊還原
次日���,多平臺(tái)檢測(cè)到E系統(tǒng)遭受攻擊�����,通過(guò)日志分析最終鎖定攻擊者為藍(lán)方成員虛竹��。鎖定攻擊者后根據(jù)源IP發(fā)現(xiàn)����,該攻擊者在當(dāng)天便已經(jīng)對(duì)E系統(tǒng)發(fā)起過(guò)XSS攻擊�����,而告警則是藍(lán)方花無(wú)缺利用了E系統(tǒng)的任意文件上傳漏洞上傳了文件名為s.cgi的Webshell文件�����,通過(guò)分析還發(fā)現(xiàn)該Webshell的連接密碼為fh198��,在shell中存在ls/pwd等操作命令��,但通過(guò)分析HTTP訪問(wèn)日志發(fā)現(xiàn)�����,攻擊者并未對(duì)Webshell成功訪問(wèn)。此外�����,通過(guò)日志還發(fā)現(xiàn)藍(lán)方成員虛竹還對(duì)系統(tǒng)多個(gè)系統(tǒng)發(fā)起了攻擊�����,其攻擊方法多以上傳shell為主�����。
從敵人破綻中反擊
進(jìn)攻無(wú)論怎樣犀利���,反擊總會(huì)到來(lái)。紅方也并非完全采用被動(dòng)的方式進(jìn)行攻擊監(jiān)測(cè)����,也采用了主動(dòng)出擊的方式來(lái)發(fā)現(xiàn)更多的攻擊。他們通過(guò)已掌握到的信息成功抓取到藍(lán)方成員段譽(yù)的賬號(hào)�����,并利用其賬號(hào)登錄郵箱向藍(lán)方成員發(fā)送了釣魚郵件,引誘藍(lán)方入網(wǎng)����,但藍(lán)方很快發(fā)現(xiàn)自己身份已經(jīng)暴露,采取積極措施后成功避免了被紅方所利用��。
鮮衣怒馬��,逐鹿江湖����,知己知彼,攻守自如�����。兩方通過(guò)此次對(duì)抗�,深入發(fā)現(xiàn)、整改企業(yè)內(nèi)外網(wǎng)網(wǎng)絡(luò)資產(chǎn)和業(yè)務(wù)數(shù)據(jù)深層次的安全隱患�����,整合內(nèi)部安全威脅監(jiān)測(cè)發(fā)現(xiàn)能力����、應(yīng)急處置能力和安全防護(hù)能力�����,此役之后����,雙方將采取措施提高企業(yè)安全防護(hù)管理�����,完善企業(yè)安全防護(hù)技術(shù)體系�。綠盟科技可為企業(yè)客戶提供紅藍(lán)對(duì)抗服務(wù),整合攻防能力���、設(shè)備防護(hù)能力以及平臺(tái)運(yùn)營(yíng)能力�,為企業(yè)安全保駕護(hù)航��。
