2024HW紅隊視角下的防御體系突破

第一 什么是紅 第二 第三 第四 第五 紅隊眼中的防守弱點 第一 什么是紅備同時執(zhí)行的多角度、混合、對抗性的模擬攻擊；通過實現(xiàn)系統(tǒng)提權(quán)、控制業(yè)務(wù)、獲取數(shù)據(jù)等目標(biāo)，來發(fā)現(xiàn)系統(tǒng)、技術(shù)、人員和基礎(chǔ)架構(gòu)中存在的網(wǎng)絡(luò)安全隱紅隊人員并不是一般意義上的電腦黑客。因為黑客往往以攻破系統(tǒng)，獲取利益為目標(biāo)；而紅隊則是以發(fā)現(xiàn)系統(tǒng)薄弱環(huán)節(jié)，提升系統(tǒng)安全性為目標(biāo)。此外，對于一般的黑客來說，只要發(fā)現(xiàn)某一種攻擊方法可以有效地達成目標(biāo)，通常就沒有必要再去嘗試其他的攻擊方法和途徑；但紅隊的目標(biāo)則是要盡可能地找出系統(tǒng)中存在的所有安全問題，因此往往會窮盡已知的“所有”方法來完成攻擊。換句話說，紅隊人員需要的是全面的攻防能力，而不僅僅是一兩招很牛的黑客技術(shù)。透測試通常是按照規(guī)范技術(shù)流程對目標(biāo)系統(tǒng)進行的安全性測試；而紅隊攻擊一般只限定攻擊范圍和攻擊時段，對具體的攻擊方法則沒有太多限制。滲透測試過程一般只要驗證漏洞的存在即可，而紅隊攻擊則要求實際獲取系統(tǒng)權(quán)限或系統(tǒng)數(shù)據(jù)。此外，滲透測試一般都會明確要求禁止使用社工手段（通過對人的誘導(dǎo)、欺騙等方法完成攻擊），而紅隊則可以在一定范圍內(nèi)不會嚴格限定紅隊的攻擊手法，但所有技術(shù)的使用，在演習(xí)實踐中，紅隊通常會以3人為一個戰(zhàn)斗小組，1人為組長。組長通常是紅隊中綜合能力最強的人，需要較強的組織意識、應(yīng)變能力和豐富的實戰(zhàn)經(jīng)橫向移動（利用一臺受控設(shè)備攻擊其他相鄰設(shè)備）、面性的。紅隊成員不僅要會熟練使用各種黑客工具、分析工具，還要熟知目標(biāo)系統(tǒng)及其安全配置，并具備第二 紅隊的攻擊并非是天馬行空的撞大運，而是一個有章可循、科學(xué)合理的作戰(zhàn)過程。一般來說，紅隊的工作可分為三個階段：情報收集、建立據(jù)點和橫向移動。我們也常將這個三個階段稱為紅隊工作的“三板當(dāng)紅隊專家接到目標(biāo)任務(wù)后，并不會像滲透測試那樣在簡單收集數(shù)據(jù)后直接去嘗試各種常見漏洞，而是先去做情報偵察和信息收集工作。收集的內(nèi)容包括組織架構(gòu)、IT資產(chǎn)、敏感信息泄露、供應(yīng)商信息等各個方面。組織架構(gòu)包括單位部門劃分、人員信息、工作職能、下屬單位等；IT資產(chǎn)包括域名、IP地址、C段、開放端口、運行服務(wù)、WEB中間件、WEB應(yīng)用、移動應(yīng)用、網(wǎng)絡(luò)架構(gòu)等；敏感信息泄露包括代碼泄露、文檔信息泄露、郵箱信息泄露、歷史漏洞泄露信息等方面；供應(yīng)商信息包括相關(guān)合同、系統(tǒng)、軟件、硬件、代碼、服務(wù)、人員等相關(guān)信息。掌握了目標(biāo)企業(yè)相關(guān)人員信息和組織架構(gòu)，可以快速定位關(guān)鍵人物以便實施魚叉攻擊，或確定內(nèi)網(wǎng)橫和利用提供數(shù)據(jù)支撐；掌握企業(yè)與供應(yīng)商合作相關(guān)信息，可為有針對性開展供應(yīng)鏈攻擊提供素材。而究竟是要社工釣魚，還是直接利用漏洞攻擊，抑或是從供應(yīng)鏈下手，一般取決于哪塊是安全防護的薄弱環(huán)節(jié)，在找到薄弱環(huán)節(jié)后，紅隊專家會嘗試利用漏洞或社工等方法去獲取外網(wǎng)系統(tǒng)控制權(quán)限，一般稱之為“打點”或撕口子。在這個過程中，紅隊專家會嘗試繞過WAF、IPS、殺毒軟件等防護設(shè)備或軟件，用最少的流量、最小的動作去實現(xiàn)漏洞利用。通過撕開的口子，尋找和內(nèi)網(wǎng)聯(lián)通的通道，再進一步進行深入滲透，這個由外到內(nèi)的過程一般稱之為縱向滲透，如果沒有找到內(nèi)外聯(lián)通的DMZ區(qū)（DemilitarizedZone，隔離區(qū)），紅隊專家會繼續(xù)撕當(dāng)紅隊專家找到合適的口子后，便可以把這個點作為從外網(wǎng)進入內(nèi)網(wǎng)的根據(jù)地。通過frp、ewsocks、reGeorg等工具在這個點上建立隧道，形成從外網(wǎng)到內(nèi)網(wǎng)的跳板，將它作為實施內(nèi)網(wǎng)滲透的堅實據(jù)點。若權(quán)限不足以建立跳板，紅隊專家通常會利用系統(tǒng)、程序或服務(wù)漏洞進行提權(quán)操作，以獲得更高權(quán)限；若據(jù)點是非穩(wěn)定的PC機，則會進行持久化操作，保證PC機重啟后，據(jù)點依然可以在線。開展進一步信息收集和情報刺探工作。包括收集當(dāng)前計算機的網(wǎng)絡(luò)連接、進程列表、命令執(zhí)行歷史記錄、數(shù)據(jù)庫信息、當(dāng)前用戶信息、管理員登錄信息、總結(jié)密碼規(guī)律、補丁更新頻率等信息；同時對內(nèi)網(wǎng)的其他開放應(yīng)用等情況進行情報刺探。再利用內(nèi)網(wǎng)計算機、服務(wù)器不及時修復(fù)漏洞、不做安全防護、同口令等弱對于含有域的內(nèi)網(wǎng)，紅隊專家會在擴大戰(zhàn)果的同時去尋找域管理員登錄的蛛絲馬跡。一旦發(fā)現(xiàn)某臺服務(wù)器有域管理員登錄，就可以利用Mimikatz等工具去嘗試獲得登錄賬號密碼明文，或者Hashdump工具去導(dǎo)出NTLM哈希，繼而實現(xiàn)對域控服務(wù)器的滲透控制。器權(quán)限、OA維管理平臺權(quán)限、統(tǒng)一認證系統(tǒng)權(quán)限、域控權(quán)限等位置，嘗試突破核心系統(tǒng)權(quán)限、控制核心業(yè)務(wù)、獲取核第三 套路、總結(jié)了一些經(jīng)驗：有后臺或登錄入口的，會盡量嘗試通過弱口令等方式進入系統(tǒng)；找不到系統(tǒng)漏洞時，會嘗試社工釣魚，從人開展突破；有安全防護設(shè)中；針對藍隊防守嚴密的系統(tǒng)，會嘗試從子公司或供應(yīng)鏈來開展工作。建立據(jù)點過程中，會用多種手段多紅隊專家們關(guān)注的重點。實際工作中，通過脆弱口令很多企業(yè)員工用類似zhangsan、zhangsan001、zhangsan123、zhangsan888這種賬號拼音或其簡單變形，或者123456、888888、生日、身份證后6位、手機號后6位等做密碼。導(dǎo)致通過信息收集后，生成簡單的密碼字典進行枚舉即可攻陷郵箱、OA等賬號。碼，其密碼早已經(jīng)被泄露并錄入到了社工庫中；或者針對未啟用SSO驗證的內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)，均習(xí)慣使用同一套賬戶密碼。這導(dǎo)致從某一途徑獲取了其賬戶密碼后，通過憑證復(fù)用的方式可以輕而易舉地登錄到此員工所使用的其他業(yè)務(wù)系統(tǒng)中，為打開新的攻擊面提供很多通用系統(tǒng)在安裝后會設(shè)置默認管理密碼，然而有些管理員從來沒有修改過密碼，如admin/admin、test/123456、admin/admin888等密碼廣泛存在于內(nèi)外網(wǎng)系統(tǒng)后臺，一旦進入后臺系統(tǒng)，便有很大可能性獲得服務(wù)器控制權(quán)限；同樣，有很多管理員為了管理方便，用同一套密碼管理不同服務(wù)器。當(dāng)一臺服務(wù)器被攻陷并竊取到密碼后，進而可以擴展至多臺服務(wù)器甚至造成域控制器淪陷的風(fēng)險。怎么執(zhí)行；在一臺計算機上怎樣執(zhí)行，在另外一臺計算機也同樣執(zhí)行。但人卻會犯各種各樣的錯誤，同一名員工在不同情況下的同一件事情上可能會犯不同的錯誤，不同的員工在同一情況的同一件事情上也可能會犯不同錯誤。很多情況下，當(dāng)紅隊專家發(fā)現(xiàn)搞系統(tǒng)很多員工對接收的木馬、釣魚郵件沒有防范意識。紅隊專家可針對某目標(biāo)員工獲取郵箱權(quán)限后，再通過此郵箱發(fā)送釣魚郵件。大多數(shù)員工由于信任內(nèi)部員工發(fā)出的郵件，從而輕易點擊了夾帶在釣魚郵件中的惡意附件。一旦員工個人電腦淪陷，紅隊專家可以員工PC作為跳板實施橫向內(nèi)網(wǎng)滲透，繼而攻擊目標(biāo)系統(tǒng)或其他系統(tǒng)、甚至攻擊域控制器導(dǎo)致內(nèi)網(wǎng)淪陷。當(dāng)然，社工不僅僅局限于使用電子郵件，通過客服系統(tǒng)、聊天軟件、電話等方式有時也能取得不錯的司，所采用的就是通過客服系統(tǒng)反饋客戶端軟件存在問題無法運行，繼而向客服發(fā)送了木馬文件，最終木馬上線后成功控制了該公司核心系統(tǒng)，就是一個經(jīng)典的案例。有時，黑客會利用企業(yè)中不太懂安全的員工來打開局面，譬如給法務(wù)人員發(fā)律師函、給人力資源一旦控制了相關(guān)員工計算機，便可以進一步實施信息收集。譬如大部分員工為了日常計算機操作中的系統(tǒng)地址以及賬號密碼的文檔；此外大多數(shù)員工也習(xí)慣使用瀏覽器的記住密碼功能，瀏覽器記住密碼功能的。紅隊在導(dǎo)出保存的密碼后，可以在受控機上建立在有藍隊防守的紅隊工作中，有時總部的網(wǎng)站防守得較為嚴密，紅隊專家很難直面硬鋼，撬開進入內(nèi)網(wǎng)的大門。此種情況下，通常紅隊不會去硬攻城門，紅隊實戰(zhàn)中發(fā)現(xiàn)，絕大部分企業(yè)的下屬子公司之間，以及下屬公司與集團總部之間的內(nèi)部網(wǎng)絡(luò)均未進行有效隔離。很多部委單位、大型央企均習(xí)慣使用單獨架設(shè)一條專用網(wǎng)絡(luò)來打通各地區(qū)之間的內(nèi)網(wǎng)連接，但同時又忽視了針對此類內(nèi)網(wǎng)的安全建設(shè)，缺乏足夠有效的網(wǎng)絡(luò)訪問控制，導(dǎo)致子公司、分公司一旦被突破，紅隊可通過內(nèi)網(wǎng)橫向滲透直接攻擊到集團總部，例如A子公司位于深圳，B子公司位于廣州，而總部位于北京。當(dāng)A子公司或B子公司被突破后，都可以毫無阻攔地進入到總部網(wǎng)絡(luò)中來；而另外一種情況，A與B子公司可能僅需要訪問總部位于北京的業(yè)務(wù)系統(tǒng)，而A與B不需要有業(yè)務(wù)上的往來，理論上應(yīng)該限制A與B之間的網(wǎng)絡(luò)訪問。但實際情況是，一條專線內(nèi)網(wǎng)通往全國各地，一處淪陷可以導(dǎo)致處處淪陷。另外大部分企業(yè)對開放于互聯(lián)網(wǎng)的邊界設(shè)備較為信任，如VPN系統(tǒng)、虛擬化桌面系統(tǒng)、郵件服務(wù)系統(tǒng)等?？紤]到此類設(shè)備通常訪問內(nèi)網(wǎng)的重要業(yè)務(wù)，為了避免影響到員工的正常使用，企業(yè)沒有在其傳輸通道上增加更多的防護手段；再加上此類系統(tǒng)多會集成統(tǒng)一登錄，一旦獲得了某個員工的賬號密碼，就可以通譬如開放在內(nèi)網(wǎng)邊界的郵件服務(wù)通常缺乏審計、也未采用多因子認證，員工平時通過郵件傳送大量內(nèi)網(wǎng)的敏感信息，如服務(wù)器賬戶密碼、重點人員通訊錄等；當(dāng)掌握員工賬號密碼后，在郵件中所獲得的信紅隊工作一般不會大規(guī)模使用漏洞掃描器。目前主流的WAF、IPS等防護設(shè)備都有識別漏洞掃描器的能力，一旦發(fā)現(xiàn)后，可能第一時間觸發(fā)報警或阻斷IP。因此信息收集和情報刺探是紅隊工作的基礎(chǔ)，在數(shù)據(jù)積累的基礎(chǔ)上，針對性地根據(jù)特定系統(tǒng)、特定平臺、特定應(yīng)用、特定版本，去尋找與之對應(yīng)的漏洞，編寫可薄弱，基本上不具備對這種針對性攻擊進行及時有效發(fā)現(xiàn)和阻止攻擊行為的能力。導(dǎo)致即便系統(tǒng)被入侵，紅隊獲取到目標(biāo)資料、數(shù)據(jù)后，被攻擊單位尚未感知到入侵行為。此外由于安全人員技術(shù)能力薄弱，無法實現(xiàn)對攻擊行為的發(fā)現(xiàn)、識別，無法給出有效的攻擊阻斷、漏洞溯源及系統(tǒng)修復(fù)策略，導(dǎo)致在攻擊發(fā)生的紅隊專家在工作中，通常不會僅僅站在一個據(jù)點上去開展?jié)B透工作，而是會采取不同的Webshell、后門，利用不同的協(xié)議來建立不同特征的據(jù)點。因為大部分應(yīng)急響應(yīng)過程并不能溯源攻擊源頭，也未必能分析完整攻擊路徑，缺乏聯(lián)動防御。藍隊在防護設(shè)備告警時，大部分僅僅只處理告警設(shè)備中對應(yīng)告警IP的服務(wù)器，而忽略了對攻擊鏈的梳理，導(dǎo)致盡管處理了告警，仍未能將紅隊排除在內(nèi)網(wǎng)之外，紅隊的據(jù)點可以快速“死灰復(fù)燃”；如果某些藍隊成員專業(yè)程度不高，缺乏安全意識，導(dǎo)致如針對Windows服務(wù)器應(yīng)急運維的過程中，直接將自己的磁盤通過遠程桌面共享掛載到被告警的服務(wù)器上行為，反而可以給紅隊進一步攻第四 古人帶兵打仗講三十六計，而紅隊實戰(zhàn)亦是一個攻防對抗的過程，同樣是人與人之間的較量，需要出謀劃策、斗智斗勇。在這個過程中，有著“勾心斗角”、“爾虞我詐”，也有著勇往直前、正面硬剛。為此，我們精選了幾個小案例，以三十六計為題向大家展現(xiàn)紅隊的常見攻擊手法。江山，而釣魚攻擊則是社工中的最常使用的套路。釣魚攻擊通常具備一定的隱蔽性和欺騙性，不具備網(wǎng)絡(luò)技術(shù)能力的人通常無法分辨內(nèi)容的真?zhèn)危欢槍μ囟繕?biāo)及群體精心構(gòu)造的魚叉釣魚攻擊則可令具備一定系統(tǒng)。通過前期踩點和信息收集發(fā)現(xiàn)，目標(biāo)企業(yè)外網(wǎng)開放系統(tǒng)非常少，也沒啥可利用的漏洞，很難通過打不過還是讓他們通過網(wǎng)上搜索以及一些開源社工庫中收集到一批目標(biāo)企業(yè)的工作人員郵箱列表。掌握這批郵箱列表后，小D便根據(jù)已泄露的密碼規(guī)則、123456、888888等常見弱口令、用戶名密碼相同，或用戶名123這種弱口令等生成了一份弱口令字典。利用hydra等工具進行爆破，成功破解一名員工的郵箱密碼。附件：操作流程附件：操作流程補充小D線，打開了附件?？刂屏烁嗟闹鳈C，繼而便控制了目標(biāo)的角色和特點來構(gòu)造。譬如在查看郵件過程中，尊敬的各位領(lǐng)導(dǎo)和同事,發(fā)現(xiàn)釣魚郵件事件,內(nèi)部bat等……下為檢測程序……附件：檢測程序通過不斷地獲取更多的郵箱權(quán)限、系統(tǒng)權(quán)限，根在有藍隊（）參與的實戰(zhàn)攻防工作中，尤其是有藍隊排名或通報機制的工作中，紅隊與藍隊通常會產(chǎn)生對抗。IP封堵與繞過、WAF攔截與繞過、Webshell查殺與免殺，紅藍之間通常會開展一場沒有硝煙的戰(zhàn)爭。小Y和所帶領(lǐng)的團隊就遭遇了這么一次：剛剛創(chuàng)建的跳板幾個小時內(nèi)就被阻斷了；剛剛上傳的Webshell過不了幾個小時就被查殺了。紅隊打到哪兒，藍隊就根據(jù)流量威脅審計跟到哪，不厭其煩，團隊始終在目標(biāo)的外圍打轉(zhuǎn)。流量威脅審計的天然弱點，以及藍隊有可能出現(xiàn)的人員數(shù)量及技術(shù)能力不足等情況，制定了一套聲東擊西洞的系統(tǒng)，正面大流量進攻某個系統(tǒng)，吸引火力，側(cè)為此，小Y團隊先通過信息搜集發(fā)現(xiàn)目標(biāo)企業(yè)的某個外網(wǎng)WEB應(yīng)用，并通過代碼審計開展漏洞挖掘工作，成功發(fā)現(xiàn)多個嚴重的漏洞。另外發(fā)現(xiàn)該企業(yè)的一個營銷網(wǎng)站，通過開展黑盒測試，發(fā)現(xiàn)存在文件上傳漏洞。小Y將團隊兵分兩路，除自己外的所有其他成員主攻營銷網(wǎng)站，準(zhǔn)備了許多分屬不同A段的跳板，不在乎是否被發(fā)現(xiàn)，也不在乎是否封堵，甚至連漏洞掃描器都上了，力求對流量威脅分析系統(tǒng)開啟一場規(guī)模浩大的“分布式拒絕服務(wù)”，讓藍隊的防守人員忙于分析和應(yīng)對；而自己則悄無聲息地用不同的IP和瀏覽器指紋特征對WEB應(yīng)用網(wǎng)站開展?jié)B透，力求用最少的流量拿下通過這樣的攻擊方案，小Y團隊同時拿下營銷網(wǎng)站和WEB應(yīng)用網(wǎng)站，但在營銷網(wǎng)站的動作更多，包括關(guān)閉殺軟、提權(quán)、安置后門程序、批量進行內(nèi)網(wǎng)掃描等眾多敏感操作；同時在WEB應(yīng)用網(wǎng)站利用營銷網(wǎng)站上很快營銷網(wǎng)站就被藍方下線了，藍隊開始根據(jù)流量開展分析、溯源和加固工作；而此時小Y已經(jīng)在WEB應(yīng)用網(wǎng)站上搭建了frpsocks代理，內(nèi)網(wǎng)橫向滲透拿下多臺服務(wù)器，使用了多種協(xié)議木馬，備份多個通道穩(wěn)固權(quán)限，以防被防守方發(fā)現(xiàn)或直接踢出局。接續(xù)的幾天服務(wù)器權(quán)限再未丟失，繼續(xù)后滲透拿下域管理員、域控制器，最終拿下目標(biāo)權(quán)限，工控設(shè)備權(quán)限等核心目息中心的員工郵件看到，藍隊此時依舊在對營銷網(wǎng)站產(chǎn)生的數(shù)據(jù)報警做分析和上報防守戰(zhàn)果等工作，然而其實在紅隊工作過程當(dāng)中，也碰到過很多奇葩的事情：譬如有藍隊將整個網(wǎng)站的首頁替換成了一張截圖；有的將所有數(shù)據(jù)傳輸接口全部關(guān)閉了，然后采用網(wǎng)系統(tǒng)能關(guān)的都關(guān)了，甚至連郵件系統(tǒng)都做了策略，為此，小H團隊通過充分信息收集后，決定采取“李代桃僵”的策略：既然母公司不讓搞，那么就去搞子公司。然而工作過程中發(fā)現(xiàn)，子公司也做好了防護，而且基本上也關(guān)個遍。一不做，二不休，子公司不讓于是，小H團隊從孫公司下手，利用sql注入+命令執(zhí)行漏洞成功進入(孫公司A)DMZ區(qū)。繼續(xù)后滲透、內(nèi)網(wǎng)橫向移動控制了孫公司域控、DMZ服務(wù)器。在(孫公司A)穩(wěn)固權(quán)限后，嘗試搜集最終目標(biāo)內(nèi)網(wǎng)信息、子公司信息，未發(fā)現(xiàn)目標(biāo)系統(tǒng)信息。但發(fā)現(xiàn)(孫公司A)可以連通(子公司B)。小H決定利用(孫公司A)內(nèi)網(wǎng)對(子公司B)展開攻擊。利用tomcat弱口令+上傳漏洞進入(子公司B)內(nèi)網(wǎng)域，利用該服務(wù)器導(dǎo)出的密碼在內(nèi)網(wǎng)中橫向滲透，繼而拿下(子公司B)多臺域服務(wù)器，并在殺毒服務(wù)器獲取到域管理員賬號密碼，最終獲取(子公司B)域控制器權(quán)限。在(子公司B)內(nèi)做信息收集發(fā)現(xiàn)：（目標(biāo)系統(tǒng)x）托管在（子公司C），（子公司C）單獨負責(zé)運營維護，而(子公司B)內(nèi)有7名員工與（目標(biāo)系統(tǒng)x）存在業(yè)務(wù)往來，7名員工大部分時間在（子公司C）辦公，但辦公電腦資產(chǎn)屬于(子公司B)，加入(子公司B)的域，且辦公電腦經(jīng)常帶回(子公司B)。根據(jù)收集到的情報信息，小H團隊以(子公司B)內(nèi)用域權(quán)限在其電腦種植木馬后門。待其接入（子公司目標(biāo)系統(tǒng)x）管理員電腦，繼而獲取（目標(biāo)系統(tǒng)x）管或者漏洞測試手冊，按照規(guī)范去做就能完成任務(wù)。紅隊的工作永遠是具有隨機性、挑戰(zhàn)性、對抗性的。在工作過程中，總會有各種出其不意的情況出現(xiàn)，只有能夠隨機應(yīng)變，充分利用出現(xiàn)的各種機遇，才能最終小P團隊通過挖掘目標(biāo)企業(yè)OA系統(tǒng)的0Day漏洞，繼而獲得了Webshell權(quán)限。然而腳跟還沒站穩(wěn)，藍隊的管理員便發(fā)現(xiàn)了OA系統(tǒng)存在異常，對OA系統(tǒng)應(yīng)用及數(shù)據(jù)庫進行了服務(wù)器遷移，同時修復(fù)了漏洞。本來是個很悲傷的事情，然而小P測試發(fā)現(xiàn)：藍隊雖然對OA系統(tǒng)進行了遷移并修復(fù)了漏洞，但是居然沒有刪除全部Webshell后門腳本。部分后門腳本仍然混雜在OA程序中，并被重新部署在新的服務(wù)器。攻擊隊依然可以連接之前植入的Webshell，順利提權(quán)，拿到拿到服務(wù)器權(quán)限后，小P團隊發(fā)現(xiàn)藍隊的管理員居然連接到OA服務(wù)器進行管理操作，并將終端PC磁盤全部掛載到OA服務(wù)器中?！凹葋碇?，則安之”，小P發(fā)現(xiàn)這是一個順手牽羊的好機會。小P團隊小心翼翼地對管理員身份及遠程終端磁盤文件進行確認，并向該管理員的終端磁盤寫入了自啟動后門程序。經(jīng)過了一天的等待，藍隊管理員果然重啟了終端主機，后門程序上線。在獲取到管理員的終端權(quán)限后，小P很快發(fā)現(xiàn)，該管理員為單位運維人員，主要負責(zé)內(nèi)部網(wǎng)絡(luò)部署、服務(wù)器運維管理等工作。該管理員使用MyBase工具對重要服務(wù)器信息進行加密存儲，攻擊隊通過鍵盤記錄器，獲取了MyBase主密鑰，繼而對MyBase數(shù)據(jù)文件進行了解密，最終獲取了包括VPN、堡壘機、虛擬化管理平臺等關(guān)鍵系統(tǒng)的賬號及口令?；脚_中，定位到演習(xí)目標(biāo)系統(tǒng)的虛擬主機，并順利在有明確重點目標(biāo)的實戰(zhàn)攻防演習(xí)中，通常藍隊都會嚴防死守、嚴陣以待，時時刻刻盯著從外網(wǎng)進來的所有流量，不管你攻還是不攻，他們始終堅守在那留。此時，從正面硬剛顯然不劃算，紅隊一般會采取暗度陳倉的方式，繞過藍隊的防守線，從其他沒有防小M團隊在確定攻擊目標(biāo)后，對目標(biāo)企業(yè)的域名、ip段、端口、業(yè)務(wù)等信息進行收集，并對可能存在漏洞目標(biāo)進行嘗試性攻擊。結(jié)果發(fā)現(xiàn)大多數(shù)目標(biāo)要么是都已關(guān)閉，要么是使用高強度的防護設(shè)備。在沒有0day且時間有限情況下，小M決定放棄正面突破，采取暗度陳倉策略。附屬業(yè)務(wù)分布情況，目標(biāo)業(yè)務(wù)覆蓋了香港、臺灣、韓國、法國等地，其中香港包