應對網(wǎng)絡安全問題所做的重要布局之一“HW行動”

隨著《網(wǎng)絡安全法》和《等級保護制度條例2.0》的頒布，國內(nèi)企業(yè)的網(wǎng)絡安全建設需與時俱進，要更加注重業(yè)務場景的安全性并合理部署網(wǎng)絡安全硬件產(chǎn)品，嚴防死守“網(wǎng)絡安全”底線?！癏W行動”大幕開啟，國聯(lián)易安誓為政府、企事業(yè)單位網(wǎng)絡安全護航！

云計算、移動互聯(lián)網(wǎng)、大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術的持續(xù)演進，網(wǎng)絡安全形勢變得尤為復雜嚴峻。網(wǎng)絡攻擊“道高一尺，魔高一丈”，網(wǎng)絡安全問題層出不窮，給政府、企事業(yè)單位帶來風險威脅級別升高，挑戰(zhàn)前所未有。

“HW行動”是國家應對網(wǎng)絡安全問題所做的重要布局之一。加強網(wǎng)絡安全意識，是所有單位有序地完成“HW行動”必不可少的一項基礎和必須做扎實的工作。

目前灰產(chǎn)、黑產(chǎn)環(huán)境比較復雜，很多攻擊手段已經(jīng)向云和SaaS服務方面發(fā)展，暗網(wǎng)已經(jīng)存在專業(yè)提供RaaS（勒索即服務）的服務模式，另外很多勒索攻擊軟件已經(jīng)開源，易用性得到了極大的提高，同時也大大降低了網(wǎng)絡攻擊的技術門檻。

HW行動要“立足基礎 靠前一步 全面開展”

為切實履行公安機關網(wǎng)絡安全監(jiān)管職責，提高重點單位網(wǎng)絡安全防護意識，提升關鍵信息基礎設施、重要信息系統(tǒng)防護水平。近日，多個省、直轄市、自治區(qū)的公安部門按照突出重點、分類檢查的原則，對信息系統(tǒng)進行網(wǎng)絡安全執(zhí)法專項檢查，全面開展HW專項行動。

日前，國內(nèi)專注于保密與非密領域的分級保護、等級保護、業(yè)務連續(xù)性安全和大數(shù)據(jù)安全產(chǎn)品解決方案與相關技術研究開發(fā)的領軍企業(yè)——國聯(lián)易安董事長門嘉平博士接受媒體采訪時表示：HW專項行動要做到“立足基礎、靠前一步、全面開展”。

立足基礎，提高安全意識。公安機關網(wǎng)絡安全監(jiān)管部門要重點核查政府、企事業(yè)單位的重要信息系統(tǒng)運行情況以及網(wǎng)站管理制度等。被檢查單位要以國家關鍵信息基礎設施安全防護為中心，深化網(wǎng)絡安全工作，重點加強大數(shù)據(jù)安全;要提高單位內(nèi)部員工的網(wǎng)絡安全意識，開展大數(shù)據(jù)安全等業(yè)務培訓，全面提升整體網(wǎng)絡安全防護水平。尤其要針對未按要求落實等級保護等問題的單位，要下發(fā)限期整改通知。

靠前一步，預防隱患確安全。公安機關網(wǎng)絡安全監(jiān)管部門要嚴格按照網(wǎng)絡安全執(zhí)法檢查要求，逐個單位進行檢查，對重點信息系統(tǒng)等級保護、機房網(wǎng)絡安全設施和數(shù)據(jù)保全設備的運營及應急措施進行細致的檢查，以確保網(wǎng)絡安全管理制度、公民個人信息保護制度、網(wǎng)絡安全事件應急預案等制度落實到位。對檢查中發(fā)現(xiàn)的問題門戶網(wǎng)站要堅決關停注銷，問題信息系統(tǒng)要嚴格按照《網(wǎng)絡安全法》和等保2.0要求給予通報和懲處。

全面開展，建立綠色通道。針對監(jiān)督檢查過程中發(fā)現(xiàn)的安全隱患，公安機關網(wǎng)絡安全監(jiān)管部門要向相關單位進行詳盡講解，并就如何強化重點網(wǎng)站和信息系統(tǒng)的安全措施提出整改意見和要求。同時根據(jù)工作的實際情況，盡可能開通綠色通道，在符合相關規(guī)定的前提下，簡化流程，在最短的時間內(nèi)對需要等保定級、備案、建設、測評、檢查完成整改的單位給予審核。

“網(wǎng)絡安全同擔，網(wǎng)絡生活共享”。在目前信息化社會中，社會對計算機和網(wǎng)絡的依賴越來越緊密。計算機和網(wǎng)絡在軍事、政治、經(jīng)濟和生活工作等方方面面的應用越來越廣泛。如果網(wǎng)絡安全得不到保障，將給國家各個行業(yè)的生產(chǎn)經(jīng)營、個人資產(chǎn)和隱私等方面帶來嚴重損失，從而使得關系國計民生的關鍵基礎信息系統(tǒng)，甚至國家國防安全、網(wǎng)絡空間安全面臨嚴峻挑戰(zhàn)。

對此，筆者建議：針對云安全、應用安全構建全方位的立體防護，盡快部署云安全高級防御平臺（云防平臺）。該平臺基于云服務架構的安全防御理念設計，實現(xiàn)了多租戶管理和統(tǒng)一安全防護。可以為企業(yè)提供全方位、立體安全防護。

HW行動預備工作敘述

HW攻擊隊（紅藍雙方進行精彩對決）最煩的事情：

1）防守方的密碼復雜、無復用并且保密工作較好，攻擊隊進入內(nèi)網(wǎng)后橫向的時候，發(fā)現(xiàn)甲方有一堆強密碼但是都沒規(guī)律，這種情況橫向起來比較惡心。當然了，甲方不能把密碼直接放到excel中，被攻擊隊發(fā)現(xiàn)后直接就是功虧一簣。而厲害的公司還能部署用戶硬件key，這種搞起來就麻煩了。

2）目標內(nèi)網(wǎng)一大堆蜜罐 ，你懂的 :-）

3）還有就是無腦斷網(wǎng)、斷電大法。防守方們7*24小時的看監(jiān)控（武器庫很重要，不解釋）還是比較無奈的。

紅隊攻擊的重點內(nèi)網(wǎng)系統(tǒng)：

1、OA:(重點）

泛微、致遠,金蝶,藍凌、萬戶,金和,或者自研發(fā)系統(tǒng)OA、財務系統(tǒng)

2、ERP:（重點）

Microsoft Dynamics GP

Oracle JD Edwards EnterpriseOne

金蝶-U9

用友-K/3

神舟數(shù)碼-易助

SAP ERP

Infor M3

3、重要信息節(jié)點：

email：（重點）

exchange

office 365

DC:（重點）

DC2012R2

DC2008 R2

3、web中間件：（重點）

IIS/apache/tomcat/weblogic/jboss/websphere/Nginx/FastCGI/PHPCGI/haproxy

4、編程語言：

php/java/asp.net/python

5、firewall：

華為/H3C/深信服/juniper/飛塔/思科/sonicwall/paloalto

6、交換機：

華為（重點）/H3C（重點）/CISCO/TP-LINK/D-LINK/ruijie等

7、堡壘機:

jumpserver（重點）/安恒堡壘機/綠盟/啟明星辰等

8、數(shù)據(jù)庫：

mysql(重點)

sqlserver（重點）

Oracle(重點)

以及Redis/Hbase/MongodDB/Neo4j/SQLite/Postgresql/esasticsearch

9、docker倉庫管理：

harbor

10、源代碼管理：（重點）

gitlab/SVN

11、vpn：

sanfor vpn/sonicwall/H3C/華為等

12、高性能的分布式內(nèi)存對象緩存系統(tǒng)：

memcached/Redis

13、高級消息隊列：

rabbitmq

14、開源運維監(jiān)控：

jenkins/zabbix/cacti/Nagios

15、大數(shù)據(jù)平臺：

hadoop/Spark/Zookeeper/OpenStack/Flink

16、代碼質量管理：

rebview board/sonarqube

17、企業(yè)內(nèi)網(wǎng)文檔系統(tǒng)：(重點）

conflunece

18、項目管理系統(tǒng)：（重點）

禪道/jira

19、統(tǒng)一單獨登錄：（重點）

adfs/ldap

20、容器管理：

K8S/nexus/rancher

21、虛擬化管理：

exis/Citrix XenDesktop

22、IPS/IDS繞過：（重點）

23、防病毒繞過：(重點）

奇安信/360/趨勢科技/卡巴斯基/賽門鐵克等

24、WAF繞過：（重點）

綠盟/深信服/啟明星辰/360/阿里云WAF/安全狗等

通過以上信息的校對，其實很多時候我們可以發(fā)現(xiàn)，很多資產(chǎn)都會增加攻擊面，能關停的還是要狠狠心關閉掉。尤其是內(nèi)網(wǎng)的系統(tǒng)根據(jù)我的經(jīng)驗，大都是千瘡百孔的，密碼基本不是弱口令就是高度復用，十幾個系統(tǒng)管理員密碼都是一模一樣的情況十分頻繁。所以內(nèi)網(wǎng)的合規(guī)性漏掃和手工滲透測試是必須要做好的。配合上一定量的蜜罐可以很好地降低安全風險，今年1月份win7停止進行安全補丁推送了，估計今年會出現(xiàn)很多秒win7的0day，哈哈哈。

網(wǎng)絡安全攻防演習解決方案

方案背景

方案概述

方案整體思路

目標收益

關鍵能力

方案優(yōu)勢

2020護網(wǎng)行動在即，新基建背景下業(yè)務安全的危與機

“護網(wǎng)行動”是國家應對網(wǎng)絡安全問題所做的重要布局之一。“護網(wǎng)行動”從2016年開始，隨著我國對網(wǎng)絡安全的重視，涉及單位不斷擴大，越來越多都加入到“護網(wǎng)2019”行動中，網(wǎng)絡安全對抗演練越來越貼近實際情況，各機構對待網(wǎng)絡安全需求也從被動構建，升級為業(yè)務保障剛需。

流量黑產(chǎn)蔓延成互聯(lián)網(wǎng)“毒瘤”

2020年，新冠疫情席卷全球，傳統(tǒng)企業(yè)悄然完成了一次“線上獲客方式”對“傳統(tǒng)獲客方式”的加速替代。線上獲客和營銷的本質，是通過內(nèi)容和價值獲客。隨著用戶數(shù)字化訴求逐漸強烈、企業(yè)商業(yè)模式趨向平臺化場景，以數(shù)據(jù)驅動的流量評估成為企業(yè)健康增長的核心能力。未來，線上獲客平臺和營銷方式越來越開放，新基建浪潮也帶來網(wǎng)絡黑產(chǎn)的繁榮，面對更復雜的網(wǎng)絡環(huán)境，除了擁有持續(xù)的線上營銷及獲客能力、有效的黑產(chǎn)防御手段才是保障業(yè)務持續(xù)有效增長的關鍵。

流量少、流量貴的問題成為企業(yè)業(yè)務增長難題，然而在供需關系不平衡的情況下，牟取暴利的野心也在暗中滋生。企業(yè)一面要想盡辦法提高流量增速，一面還要應對各種不斷翻新的流量欺詐。數(shù)據(jù)顯示，2019年國內(nèi)互聯(lián)網(wǎng)廣告流量欺詐高達35.3%，而這一數(shù)據(jù)仍在不斷攀升。世界廣告主聯(lián)合會( World Federation of Advertisers)預計，在未來10年內(nèi)，流量欺詐將會成為犯罪組織的第二大市場，僅次于毒品販賣。

流量黑產(chǎn)產(chǎn)業(yè)鏈

無效流量作為流量欺詐的主要來源，對于企業(yè)的業(yè)務風險表現(xiàn)在一下幾個方面。在獲取線上流量的過程中，黑產(chǎn)通過自動腳本、模擬器、設備農(nóng)場等作弊工具，偽裝成真實用戶進行激活，帶來大量偽造流量、虛假流量，使得機構蒙受推廣費用損失，以及其他衍生成本的損失。而在線上活動營銷場景中，黑產(chǎn)為拿到紅包、返現(xiàn)等營銷優(yōu)惠，使用批量假用戶冒充真實用戶，薅取活動優(yōu)惠并非法套現(xiàn)，導致運營方的活動無法觸達到真實的用戶，造成直接經(jīng)濟損失及企業(yè)聲譽下降。

惡意流量對于企業(yè)的危害還在于黑產(chǎn)利用爬蟲對企業(yè)重要數(shù)據(jù)資產(chǎn)進行惡意爬取，競爭對手刻意爬取產(chǎn)品信息、羊毛黨搜尋低價商品信息或在營銷大促前提前獲取情報尋找套利的可能、僵尸用戶對推廣的惡意點擊、為欺詐行為做賬號儲備的垃圾注冊……大量爬蟲集中訪問，會消耗大量的計算資源和帶寬，造成網(wǎng)絡應用大面積阻塞或癱瘓，并嚴重影響真實用戶的正常使用。根據(jù)年度惡意機器流量報告，世界互聯(lián)網(wǎng)流量只有57.8%是來自真人用戶，而剩余都是來自機器流量。

某某軟件方案，基于數(shù)據(jù)科學的渠道反欺詐技術，為企業(yè)提供了一套全流程、全自動監(jiān)控的業(yè)務反欺詐系統(tǒng)。在渠道營銷環(huán)節(jié)，渠道質量評估系統(tǒng)結合各行業(yè)線上營銷各類業(yè)務場景，科學、精準的選擇評估維度，實時監(jiān)測第三方流量推廣平臺，幫助企業(yè)識別虛假流量、低質量流量，甄別優(yōu)質渠道，節(jié)省推廣費用、降本增效。在惡意爬蟲防治方面，人人云圖爬蟲管理系統(tǒng)基于數(shù)據(jù)科學能力，深入學習各行業(yè)業(yè)務現(xiàn)狀，構建了一套基于負反饋的動態(tài)爬蟲管理系統(tǒng)，在不影響良性爬蟲業(yè)務的前提下，對惡意爬蟲進行識別與阻斷，降低惡意爬蟲帶來的業(yè)務欺詐行為，從而有效降低運營成本和提升競爭力。

新基建 新賽道 業(yè)務安全防護勢在必行

后疫情時代，“新基建”被廣泛視為經(jīng)濟增長新動力。面對復雜的網(wǎng)絡環(huán)境及新技術應用帶來的機遇與挑戰(zhàn)，傳統(tǒng)行業(yè)該如何構建深度融合的技術創(chuàng)新體系，打造行業(yè)科技新標桿？伴隨銷售場景的智能化、運營管理的數(shù)字化，如何在數(shù)字化轉型過程中，做好業(yè)務安全風險應對？

作者呼吁，面對快速走向產(chǎn)業(yè)化、專業(yè)化的網(wǎng)絡黑產(chǎn)，在新基建浪潮下，企業(yè)在追求新技術應用帶來的機遇同時，更應該注意新技術應用背景下，手段不斷翻新、規(guī)模不斷壯大、技術不斷更新的網(wǎng)絡黑產(chǎn)對企業(yè)業(yè)務增長帶來的安全隱患。

HW護網(wǎng)行動總結

1.HW行動

我們把整個HW行動包括前期準備分為三個部分：備戰(zhàn)期、臨戰(zhàn)期、決戰(zhàn)期。

備戰(zhàn)期:

在備戰(zhàn)期間，我們主要做了兩件事情，一是減小攻擊面，二是排查風險點。

減小攻擊面就是縮小暴露面。在這過程，客戶進行多輪的暴露面排查。首先，我們通過收集到的客戶資產(chǎn)進行爬取相關鏈接，確認是否無用頁面、無用系統(tǒng)下掛關鍵系統(tǒng)域名下，接著對于一些已經(jīng)業(yè)務需求不那么高的、無用的系統(tǒng)、閑置的服務器進行下電處理，最后對于有一定的業(yè)務需求但用戶較少的系統(tǒng)直接遷入內(nèi)網(wǎng)，通過VPN進行業(yè)務操作。通過一系列的縮小暴露面，最終客戶對外僅開放幾個端口，大大降低了攻擊面。?

在排查風險點這塊，我們主要做了兩件事，一是人工滲透測試，二是webshell排查。人工滲透測試這塊，倒是沒發(fā)現(xiàn)大的問題，就是有個系統(tǒng)的某個功能模塊存在權限漏洞，主要還是在功能提出需求的時候沒有考慮到安全問題，整個功能模塊的權限均存在問題。除了滲透測試，我們還對關鍵系統(tǒng)的服務器使用webshell排查工具進行后門排查，排查了14臺服務器，發(fā)現(xiàn)并清除2232個后門文件及10個疑似后門文件，排查發(fā)現(xiàn)的木馬文件發(fā)現(xiàn)非常多都是不可執(zhí)行的圖片馬以及攻擊者攻擊的語句被應用日志記錄的日志文件，暫無發(fā)現(xiàn)可執(zhí)行的木馬文件，應該都是早期黑客攻擊留下的文件。

臨戰(zhàn)期:

在臨戰(zhàn)初期，客戶舉行了兩場攻防演練，通過公司內(nèi)分隊對攻到從上往下發(fā)起的攻擊。這次演練發(fā)現(xiàn)了在備戰(zhàn)期所忽略的地方：在備戰(zhàn)期對風險點進行排查的時候側重于WEB漏洞而忽視了其他漏洞的滲透及驗證，導致在演練的時候被攻擊方通過中間件漏洞攻破；還有就是在備戰(zhàn)期對VPN沒有做好嚴格的把控，以致于VPN的用戶名及密碼明文存儲在APP中，被攻擊方成功反編譯出密碼，直接進入內(nèi)網(wǎng)。對于演練中發(fā)現(xiàn)的問題，我們進行以下處置：對于中間件漏洞及時升級補丁并且刪除相關被利用的war包，對中間打補丁及刪除war包的過程進行嚴格把控，對于進行的每個操作進行截圖記錄，確保每個過程都進行到位；對于VPN賬號泄露問題，賬號密碼不寫死在APP中，通過驗證碼進行VPN登錄，且將APP進行混淆，防止攻擊者通過反編譯獲取敏感信息。

客戶在臨戰(zhàn)期陸續(xù)將安全設備進行部署。針對這次HW行動，客戶對原本已有的一些安全設備進行策略優(yōu)化，同時也新增了一些安全設備。主要的類型有防御設備、監(jiān)控設備等。防御設備還是最常見的WAF、IPS，對WAF、IPS的策略進行優(yōu)化，增強設備的防御能力；監(jiān)控設備這塊就是我們自主研發(fā)了一個主機探針，主要作用就是對主機進程進行審計、webshell監(jiān)控；除了主機監(jiān)控還有就是網(wǎng)絡流量監(jiān)控設備，對監(jiān)測的流量進行分析。

決戰(zhàn)期:

在決戰(zhàn)期，最關鍵的就是應對每個安全事件的處置。

組織架構:

我們將所有的人員進行分工，主要有統(tǒng)籌組、監(jiān)控組、研判組、網(wǎng)絡處置組、應用處置組。統(tǒng)籌組主要就是對一些重大決定進行決策，統(tǒng)籌整個HW防守工作；監(jiān)控組主要就是對WAF、IPS等安全設備進行7*24小時監(jiān)控、派發(fā)、跟蹤、反饋安全威脅；研判組主要是技術支撐，對于監(jiān)控組發(fā)現(xiàn)的攻擊行為進行技術研判；網(wǎng)絡處置組主要職責就是發(fā)現(xiàn)攻擊時在防火墻上對攻擊方進行IP封鎖；應用處置組主要就是對發(fā)現(xiàn)的攻擊和漏洞進行風險處置、安全加固。

風險處置流程:

根據(jù)監(jiān)控設備告警劃分風險等級，主機探針告警高于其他安全設備告警，主機探針作為防守的最后一道防線，若主機探針發(fā)出告警，則攻擊已經(jīng)進入內(nèi)網(wǎng)，因此風險等級最高。根據(jù)風險等級不同，我們制定了兩個風險處置流程：

當收到主機探針告警，監(jiān)控人員告知應用處置人員進行風險排查確認，同時通知網(wǎng)絡處置組進行攻擊IP封鎖。應用處置組確認風險存在后，監(jiān)控組立即通知機房管理員進行斷網(wǎng)處置，隨后，由應用處置組協(xié)助監(jiān)控組進行溯源取證，并且對風險進行處置，刪除shell腳本或木馬程序。應用組處理后將結果反饋給監(jiān)控組，監(jiān)控組通知機房管理員將受攻擊服務器進行下電處理，并且將事件記錄在防御工作列表中。

當其他安全設備監(jiān)測到攻擊時，監(jiān)控組會將發(fā)起攻擊源IP告知網(wǎng)絡處置組進行封堵，同時將發(fā)現(xiàn)的告警信息發(fā)送給研判組進行研判，監(jiān)控組根據(jù)研判結果通知應用處置組進行風險排查，應用處置組將加固結果反饋給監(jiān)控組，監(jiān)控組將事件記錄在防御工作列表中。

2.總結

其實整個過程下來的話，對于斗哥來說還是頗有收獲，有些小總結和大家分享一下：?

1.明確客戶的所有開放資產(chǎn)，雖然這已經(jīng)是老話長談，但是確實也是最關鍵的，攻防從外到內(nèi)，再從外圍到靶機，還是要鎖好每個入口，因此應和客戶對于所開放的外網(wǎng)系統(tǒng)進行仔細梳理，縮小暴露面。?

2.每個環(huán)節(jié)都應進行閉環(huán)管理，不管是漏洞整改還是資產(chǎn)梳理，對于完成的每一個環(huán)節(jié)都要進行有效的管控。?

3.應急演練的重要性，對人員進行分工，提前演練真實攻防場景，明確對安全事件的處置流程，在應對安全事件發(fā)生時不會過于慌亂。

【寫在最后】

1. 整體攻防的思考

本次攻防，從規(guī)則到各方實力，都是絕無僅有的。經(jīng)常有人問，是攻擊隊厲害還是防守隊厲害？經(jīng)過我這些年的思考，還是沒有得出一個確切的結論。有時候覺得攻擊隊厲害，因為攻擊可以在非特定時間隨意發(fā)起，出其不意攻其不備，甚至手持0day指哪打哪，畢竟木桶原理決定著攻破一處即可內(nèi)部突襲；有時候又覺得防守方厲害，因為防守方擁有全部訪問流量，隨時洞察攻擊者的探測并封堵IP，也可以在主機層監(jiān)控攻擊者一舉一動，甚至部署蜜罐玩弄黑客于鼓掌之中。總之，這么些年的摸爬滾打經(jīng)驗告訴我，攻防就是這樣，道高一尺魔高一丈，一如黑客防線中說的“在攻于防的對立統(tǒng)一中尋求突破”。

2. 從攻擊方思考

在真實的攻擊行動中，一般一個目標要搞到核心系統(tǒng)根據(jù)防御程度不同，也需要1個月到半年的樣子，甚至APT要潛伏一到兩年才能拿到自己想要的數(shù)據(jù)。而此次總共給攻擊方的時間只有3個周，并且每個隊伍據(jù)說10多個目標，這也就決定了攻擊要快速、要自動化。

a) 分布式掃描器

要說快速，還是得上掃描器，但是一個掃描器速度肯定不行，再者，被發(fā)現(xiàn)攻擊行為，立馬IP被ban掉，后續(xù)就無法進行。所以，分布式掃描器在這種情況下一定是個趨勢。首先對全部目標的全端口進行一次掃描+端口識別，根據(jù)Banner快速收割一輪；

在這個過程中就會有個陷阱，比如在收集二級域名時，經(jīng)常采用字典爆破，而防守方會設置一個誘餌二級域名，把流量引入蜜罐之中，坐等攻擊方上鉤。這時就需要攻擊方們機靈一點，時刻反思這個是不是蜜罐。

對于AWVS的掃描器，還需升級到最新版，別被防御方反制，畢竟老版本掃描器自身就存在一個RCE。

b) 菜刀？蟻劍？冰蝎？

對于所有的黑客來說，菜刀肯定是一個傳奇，一直是最穩(wěn)定、最牛逼的webshell管理工具之一，但同時，菜刀也是一個最容易被發(fā)現(xiàn)的攻擊工具，畢竟流量特征太明顯了，而且一旦發(fā)現(xiàn)就100%意味著服務器已淪陷，防守方會里面下線進行深入分析。記得當初第一次見到菜刀這工具時的感覺，總結起來就是“厲害”。因為在菜刀之前，我們學習的都是先小馬后大馬的姿勢。而用了菜刀之后，我深刻理解了什么大馬小馬都無所謂，能執(zhí)行命令搞定目標的都是好馬。然后經(jīng)過了幾年的迭代，中國菜刀在國內(nèi)安全圈也是經(jīng)歷了各種風風雨雨，各種后門版滿天飛。最后鑒于其加密性能較弱，陸續(xù)出現(xiàn)了幾個替代版本，蟻劍就是很優(yōu)秀的一個項目。講真，我開發(fā)水平相對較弱，見到蟻劍才發(fā)現(xiàn)原來js也可以寫出優(yōu)秀的跨平臺客戶端應用?？墒钦接捎谄鋘odejs寫的，才導致其跟AWVS一樣，存在一個本地nodejs解析的RCE，很可能被防御方反制。再之后給我“厲害”感覺的就是冰蝎了，其雙向通信加解密的管理方式，讓諸多基于黑名單正則的防御產(chǎn)品廠商直接歇菜?？墒呛芷婀值臅r，還是有很多大量攻擊方采用菜刀、jspspy之類的原始webshell，結果被防御方輕松發(fā)現(xiàn)并清除。

不過說到最后，我有一個疑惑，為什么大家非得用webshell這種方式搞服務器呢？比如存在weblogic反序列化或者Struts2 RCE漏洞時，黑客們寫的工具還是一鍵寫入webshell這種。安全發(fā)展到今天，防御手段越來越多，各位白帽子是時候改變了。正如我之前說的，不管用什么shell工具，只要能在服務器端執(zhí)行命令，下面就肯定有更好的解決方案。我一般會使用命令方式加載自己的二進制版遠控來操作?，F(xiàn)在的二進制遠控不像以前還要生成exe用菜刀上傳，在命令行下執(zhí)行，現(xiàn)在基本都可以做到類似mshta或者powershell的一句話直接動態(tài)上線，并且基于TCP/UDP協(xié)議的命令執(zhí)行、文件管理。這樣的好處：一是穩(wěn)定，二是完全繞過那些基于黑名單的流量分析設備。類似metasploit的腳本payload反彈的meterpreter，但是msf特征明顯，也容易被殺，所以我個人估計后面攻防還是會發(fā)展到類似cobalt strike之類的工具對抗上。

c) 水坑&魚叉

針對水坑或者魚叉攻擊來講，可以想象到肯定大量的攻擊隊伍采用這種方法進行攻擊，攻擊手法多基于郵件進行?，F(xiàn)在假想成攻擊隊伍，我會首先在github上搜索一波，舉個例子：https://github.com/search?q="4dogs.cn"+password&type=Code,注意域名要加上雙引號進行精準匹配。在翻到一個可登陸的郵箱后，去通信錄導出所有聯(lián)系人方式，進而進行簡單的口令爆破；在這些操作還沒拿到有用密碼的情況下，就可以根據(jù)組織結構進行定點攻擊了。高級點的用瀏覽器0day，沒有0day的也可以直接發(fā)宏病毒，注意要編個理由并且加密發(fā)送，防止被沙箱抓樣本。

假如沒有有用的郵箱賬號，也可以用搜索引擎收集郵箱，再根據(jù)規(guī)則，加載中國姓名top500字典進行組合，總歸能抓到一兩個用弱口令的。

如果還是什么都沒有，也可以使用swaks一類直接偽造成admin發(fā)送釣魚郵件。

對于防御方來講，最厲害的莫過于直接關停外網(wǎng)郵箱了。次之，可以派人隨時查看登錄日志，及時發(fā)現(xiàn)異地登錄爆破情況。對于有錢的甲方，可以通過流量鏡像，對附件進行沙箱判定。

d) 內(nèi)網(wǎng)滲透，還是要了解業(yè)務

在突破邊界進入內(nèi)網(wǎng)后，剩下的主要是內(nèi)網(wǎng)滲透了。內(nèi)網(wǎng)滲透可以簡單分為橫向滲透和縱向滲透。內(nèi)網(wǎng)滲透的實質和關鍵是信息收集，通過不停的突破系統(tǒng)拿到更多的權限，而更多的權限帶來更多的信息，最終在信息和權限的螺旋迭代下，拿到目標的最高權限。

對于有域的環(huán)境，一般目標時拿下域控，而在本次攻擊中卻恰好爆發(fā)了一個直接打域控的0day，這就容易多了。但是即使一鍵拿下域控權限，還是要回到信息收集的本質上，要在海量的終端里篩選出自己的目標數(shù)據(jù)在哪臺機器里，還是需要一些技巧的。

而不管是什么環(huán)境，我個人感覺阻礙攻擊隊伍進行內(nèi)網(wǎng)滲透的主要原因還是對目標業(yè)務的了解程度。比如電力行業(yè)的16字方針，很多時候搞到邊界系統(tǒng)后，ipconfig一看是10段的，以為進了個大內(nèi)網(wǎng)，而實際情況是那只是冰山一角而已?？v向突破還有很長很長的路要走。再者，假如對電信行業(yè)、金融行業(yè)不了解，進到內(nèi)網(wǎng)肯定也是一臉懵。這也是內(nèi)網(wǎng)滲透耗費精力的原因。

e) 0day的優(yōu)劣勢

在本次演習中，陸續(xù)發(fā)現(xiàn)了大量的0day，印象里有七八個，0day具體細節(jié)可以參考各大公眾號之前的報到。這里只討論下針對0day的問題。

從0day的內(nèi)容和數(shù)量上來講，護網(wǎng)結束后我感覺什么系統(tǒng)都有漏洞，并且有一種想去挖幾個留著的沖動，奈何工作雜事太多，先擱置一下吧。

對于攻擊方來講，手握0day是指哪打哪的一個有效支撐。從漏洞類型上，基本覆蓋web、網(wǎng)絡、操作系統(tǒng)等等方面。針對國內(nèi)的網(wǎng)絡安全現(xiàn)狀，講真，我對那些商業(yè)應用真的不報任何安全的奢望。對于國企和政府來講，自有系統(tǒng)大都是外包廠商開發(fā)，而這些外包開發(fā)者，大部分不懂安全，甚至sql注入是啥都不知道，更別說防御框架漏洞了。所以對于攻擊者來講，去攻擊一個客戶廣泛的廠商，拿到一個0day即可攻下其相關的所有目標，收益非常高。但同時也要明白，現(xiàn)在0day的生存期非常之短。10年前，我們一個0day可以用半年都沒被人發(fā)現(xiàn)，而在這次演習中，0day的生存期可能只有半個小時，因為防守方發(fā)現(xiàn)shell就會溯源，進而預警。不過排除這次防守方7*24小時的有效監(jiān)控，在真實情況下，0day的生存周期可能不超過一周。所以我認為，當前網(wǎng)絡環(huán)境中，0day大量存在，但使用非常謹慎。至于防守方怎么防御0day，請看后面的內(nèi)容。

3. 從防守方考慮

整體來講，防守方都是從“事前排查”、“事中監(jiān)控”、“事后溯源”三個方面進行防御的。根據(jù)我的觀察，國企安全防御能力一般弱于互聯(lián)網(wǎng)公司；而國企和政府單位的投入普遍高于互聯(lián)網(wǎng)公司。導致了演習前大量的“人販子”到處求人駐場的問題，一度炒到每人每天上萬元。下面從幾個方面分析這次防守方的經(jīng)驗和教訓。

a) 防御過度問題

這次演習的意義和重要性，甲方自己應該更明白，這里不再描述。而正是由于防御方的重視，出現(xiàn)了大量的防御過度現(xiàn)象：一是在開始前的大量系統(tǒng)關停，二是對于互聯(lián)網(wǎng)IP的大量封禁。大量的關停本質上是掩耳盜鈴，在護網(wǎng)結束后依舊面臨各類外部攻擊者的威脅。希望存在這類情況的廠商，還是能從根源上排查漏洞，加固系統(tǒng)，對系統(tǒng)采取必要的防護措施。

針對惡意封禁IP的情況，雖然體現(xiàn)了防守方及時發(fā)現(xiàn)攻擊的能力，但同時，也影響了正常業(yè)務的運行，特別是一封一個B段的情況。各位甲方還是考慮下從根源解決問題。

b) 應急排查

對于事前的應急排查，甲方大都采用臨時購買人工滲透服務的方式進行，毫不客氣地說，他們買到的一部分是在校大學生，或者培訓機構的實習生。即使錢給夠了，去的是個滲透大師，也會因為內(nèi)網(wǎng)漏洞太多，無法完全覆蓋。舉個例子：假如給我一個系統(tǒng)，我大概需要一上午分析每個端口，每個業(yè)務接口的安全性，進而給出一個完整的測試報告。我基本上可以保證我測試過的系統(tǒng)短時間內(nèi)不會出大問題。但是假如給我一個B段，告訴我3天完成，那我就只能模擬橫向內(nèi)網(wǎng)滲透，masscan先來一些端口，wvs掃描一輪，然后一批一批的去看。這種模式就決定了無法完全覆蓋全部業(yè)務系統(tǒng)。即使時間夠，那對于新增的業(yè)務又怎么辦？

那針對這種情況該怎么辦？我一直給我的客戶普及的一個想法：內(nèi)網(wǎng)漏洞不要指望短時間內(nèi)購買一次服務就完全解決了。針對漏洞隱患的工作必須常態(tài)化開展：一是上資產(chǎn)管控手段，對內(nèi)網(wǎng)所有的服務器，通過主動掃描、被動流量分析等手段進行搜集，實時監(jiān)控內(nèi)網(wǎng)到底開了多少端口，每個端口運行什么服務，應用是什么版本；二是解決遺留問題，對內(nèi)網(wǎng)既有的框架漏洞、弱口令漏洞，進行專項整治。相信通過本次護網(wǎng)，原來沒搞過安全的防守方，在部署安全設備后發(fā)現(xiàn)了大量的永恒之藍、木馬受控等遺留問題。建議大家用幾周時間集中解決一類問題，循環(huán)下去即可解決遺留的全部問題；三是建立新業(yè)務上線審查流程，對于新上線的業(yè)務系統(tǒng)，必須通過第三方安全測評，只有拿到安全測評報告的才允許上線。

c) 重邊界、輕內(nèi)網(wǎng)的防御策略

這次的防守方普遍是重邊界、輕內(nèi)網(wǎng)防御，造成了一旦邊界被破，內(nèi)網(wǎng)整體垮掉的風險。而這個情況在我入行時就普遍存在。安全發(fā)展到今天，實在是說不過去。去年看到了Google提出的0信任網(wǎng)絡，感覺是個趨勢，一度想轉行做0信任網(wǎng)絡的布道者，雖然普及還有一段路，但是我還是希望大家可以轉變思維，一定不要認為我在內(nèi)網(wǎng)就是安全的。萬一哪天被黑，可能影響的就是國家利益，帶來的就是社會動蕩。

d) 威脅情報系統(tǒng)的意義

首先，針對這次攻擊，各種原有IOC情報基本無效，比如惡意域名庫、惡意IP庫等，因為攻擊方使用的都是新的域名和IP，這也是黑名單做安全的尷尬。但是同時要感謝安全廠商們的威脅情報庫，讓更多的國企、政府單位認識到了自己內(nèi)網(wǎng)辦公電腦有很多已經(jīng)被控制。

e) 面對0day攻擊的無力感

面對0day攻擊，理論上誰都扛不住，但是實際是這樣么？仔細想想并非如此，首先，面對0day真正扛不住的是以黑名單為基礎的安全設備，包括waf類、態(tài)勢感知類、IDS類等。而這些安全設備，又確確實實是各大廠商的首選安全監(jiān)控設備，一旦這些設備沒報警，那基本啥都干不了，這也是防守方們7*24小時防守但其實大部分時間無所事事的原因。

首先，對于web 0day的防御，完全可以采用openrasp類防御方法，從根源上防止各類web漏洞攻擊。如果有想購買商業(yè)版rasp方案的同學，可以勾兌下我哦。

其次，對于網(wǎng)絡0day和系統(tǒng)0day，我們可以采用EDR手段進行防御，在終端上裝上agent，在agent上采用白名單策略，對于無關的進程啟動和危險命令直接報警或阻斷。想起來我們四年前做過的一個產(chǎn)品叫麒麟衛(wèi)士，可以說是國內(nèi)首款EDR雛形了，可是去賣的時候發(fā)現(xiàn)大家對于需要安裝agent的做法都耿耿于懷，不敢裝。四年過去了，相信后面會有更多的人接受EDR帶來的安全改變。

f) 蜜罐

這次演習的一大亮點就是很多防御方采用了蜜罐的方式進行誘捕和攻擊引流。要說蜜罐做得好，那是真的很有用。我理想中的蜜罐應當是完全仿真，而不是動態(tài)針對部分服務的仿真。同時可以具備反制的功能，一是可溯源攻擊者真實身份，二是可利用AWVS或者蟻劍這類黑客工具自己的漏洞反向攻擊攻擊者。相信后面會有大量的優(yōu)秀產(chǎn)品脫穎而出。不過防守方真的真實部署后，可能半年也捕獲不到一次有效攻擊，畢竟這次是演習，平時黑客攻擊還是少。不過安全就是如此，防患于未然。

編輯：黃飛

?