當然����,藍方的成果遠不止這些�����,從本次對抗的結果來看�,藍方收獲頗豐���,他們以千姿百態(tài)的攻擊繞過方式����,成功攻下六個業(yè)務系統(tǒng)不同級別的權限和大量的敏感數(shù)據(jù)���。
紅:籌謀間了然于心
雖然藍隊攻勢兇猛�,但紅方早有防備���,提前對安全問題的系統(tǒng)進行了整改和防護����,對業(yè)務系統(tǒng)進行升級和部署基礎防護設備外�����,還主動對業(yè)務系統(tǒng)發(fā)起了檢查,包括:漏洞掃描�����、后門檢測���、弱口令檢測和環(huán)境準備。
在此次紅藍對抗中����,紅方監(jiān)測到藍方三個小分隊:Webshell狂魔、爆破狂魔�����、木馬狂魔發(fā)起的133次攻擊事件����,紅方也成功利用各團隊上報的攻擊事件還原了藍方的多條攻擊鏈。
攻擊鏈還原1:對C系統(tǒng)的攻擊還原
紅方成員分析了平臺產生的大量C系統(tǒng)攻擊告警�,包括Webshell后門訪問、PHP代碼執(zhí)行漏洞��、跨站腳本攻擊等事件,最終將攻擊者定位到了藍方花無缺���,他以C系統(tǒng)的某文件作為突破口���,利用PHP代碼執(zhí)行漏洞執(zhí)行phpinfo()函數(shù)�����,隨后結合遠程代碼執(zhí)行漏洞和SQL注入漏洞成功寫入Webshell�,通過andSword工具成功進行Webshell入侵���。與此同時����,紅方發(fā)現(xiàn)藍方成員張無忌也對C系統(tǒng)發(fā)起了攻擊,攻擊方法包括:木馬后門訪問、RCE漏洞攻擊���、暴力破解���、任意文件上傳等�����,并利用暴力破解得到多個賬號密碼�����。
攻擊鏈還原2:從攻擊者角度進行攻擊還原
多個平臺產生了對B系統(tǒng)和F系統(tǒng)的攻擊告警日志���,經分析發(fā)現(xiàn)這些攻擊均來自兩個固定的攻擊者���。其中�����,紅方通過TAM記錄的日志發(fā)現(xiàn)藍方成員張無忌和周芷若向B系統(tǒng)發(fā)起了大量的HTTP請求�����,從記錄的HTTP訪問日中發(fā)現(xiàn)提交的內容極為相似���,只變換了用戶名和密碼����,據(jù)此可確認為針對B系統(tǒng)的暴力破解攻擊;同時��,還通過分析HTTP響應內容和響應長度可以確認這兩位攻擊者成功爆破并得到多個賬號密碼���,并利用獲取到的賬號成功登錄了C系統(tǒng)和F系統(tǒng)�����,因為這兩名攻擊者習慣用暴力破解的方式進行攻擊�,所以,紅方封二位為爆破狂魔����。
攻擊鏈3:B系統(tǒng)攻擊還原
次日����,多平臺檢測到E系統(tǒng)遭受攻擊,通過日志分析最終鎖定攻擊者為藍方成員虛竹�。鎖定攻擊者后根據(jù)源IP發(fā)現(xiàn)�,該攻擊者在當天便已經對E系統(tǒng)發(fā)起過XSS攻擊����,而告警則是藍方花無缺利用了E系統(tǒng)的任意文件上傳漏洞上傳了文件名為s.cgi的Webshell文件��,通過分析還發(fā)現(xiàn)該Webshell的連接密碼為fh198�,在shell中存在ls/pwd等操作命令,但通過分析HTTP訪問日志發(fā)現(xiàn)��,攻擊者并未對Webshell成功訪問��。此外�,通過日志還發(fā)現(xiàn)藍方成員虛竹還對系統(tǒng)多個系統(tǒng)發(fā)起了攻擊����,其攻擊方法多以上傳shell為主。
從敵人破綻中反擊
進攻無論怎樣犀利���,反擊總會到來����。紅方也并非完全采用被動的方式進行攻擊監(jiān)測���,也采用了主動出擊的方式來發(fā)現(xiàn)更多的攻擊。他們通過已掌握到的信息成功抓取到藍方成員段譽的賬號,并利用其賬號登錄郵箱向藍方成員發(fā)送了釣魚郵件��,引誘藍方入網(wǎng)���,但藍方很快發(fā)現(xiàn)自己身份已經暴露���,采取積極措施后成功避免了被紅方所利用。
鮮衣怒馬��,逐鹿江湖����,知己知彼,攻守自如��。兩方通過此次對抗���,深入發(fā)現(xiàn)�、整改企業(yè)內外網(wǎng)網(wǎng)絡資產和業(yè)務數(shù)據(jù)深層次的安全隱患��,整合內部安全威脅監(jiān)測發(fā)現(xiàn)能力���、應急處置能力和安全防護能力����,此役之后,雙方將采取措施提高企業(yè)安全防護管理��,完善企業(yè)安全防護技術體系��。綠盟科技可為企業(yè)客戶提供紅藍對抗服務����,整合攻防能力、設備防護能力以及平臺運營能力�,為企業(yè)安全保駕護航。
