从进攻和防守日志看河流和湖泊的网络

发布者:上海IT外包来源:http://www.lanmon.net点击数:452

有许多网络河流和湖泊,路线派对,交换方,无线政党,网关......其中红色和蓝色政党是独立的,他们不争夺霸权。他们只想学习进攻和防守技巧,并经常进行红色和蓝色的对抗。 Blue的目标是控制业务和窃取机密信息。它使用最接近真实APT的攻击方法来挑战Red最真实的网络保护功能。红方需要通过分析网络流量来恢复蓝色攻击链。在保证业务顺利运行的前提下,双方在企业真实的网络环境中进行实际的军事对抗。
小生没有天赋。我在河流和湖泊的一楼。我目睹了红色和蓝色剑的两把剑。你来找我,所以我不开心。
所有的行程都是匆忙记录的,如果他参与其中,或者攻击或防守,是不是很容易习惯呢?
蓝色:期待扭转局面
特殊的弱密码
通过对所收集信息的分析,蓝方团队发现多个目标系统存在暴力威胁。结合名称作为用户名的系统特征,更多公司员工使用公司名称及其变体作为密码习惯来编写弱密码。该词典成功地被抨击以获得大约20个帐户。使用这些帐户,您可以逐个登录多个Intranet目标,获取多个敏感数据,并使用这些帐户获取多个Web系统的管理员权限。
帐户劫持
在攻击发生时,Blue发现C系统版本很旧,并且存在远程执行代码漏洞。使用此漏洞,蓝队成功地写了一句木马。在分析文件时,它发现系统有一个弱密码帐户。使用弱密码,帐户已成功切换,授权操作已完成。最后,服务器已成功获取。为了防止权限丢失,root帐户添加了一个公钥以供将来使用。
然而,蓝方没有削弱攻势,因为它取得了系统许可,但却将其作为进一步攻击的跳板。 C系统中有一个登录页面。蓝方将Javascript代码添加到Web登录页面,以便每个用户在通过Web登录时向攻击者发送用户名和密码。使用C系统登录劫持,蓝方嗅探更多。 Intranet帐户密码。成功登录到大量系统,包括核心系统,从中发现了大量核心数据和资源管理帐户密码。
虚拟机克隆
蓝方继续分析帐户劫持中获得的帐户,发现某些帐户在某些系统中拥有更高的权限。蓝方使用获取的帐户登录内部仓库管理服务。分析发现该平台可以基于快照创建虚拟机。蓝方操作刀和阴影,并使用修改后的管理员密码登录克隆G系统以获取系统管理的所有仓库。当然,蓝方的结果远不止这些。从这次对抗的结果来看,蓝方已经获得了很多钱。他们使用各种攻击来绕过六个业务系统中不同级别的权限和大量敏感数据。 。
红色:这个计划很清楚
虽然蓝队的进攻非常激烈,但红党已经做好了准备。它提前整顿和保护了安全系统,升级了业务系统并部署了基本的保护设备,并积极启动对业务系统的检查,包括:漏洞扫描。 ,后门检测,弱密码检测和环境准备。
在这场红蓝色对抗中,红方监视了三支蓝调小队:由Webshell狂人,爆破狂人和特洛伊狂人发起的133次攻击。红方也成功恢复了每支队伍报告的攻击事件。蓝色的多个攻击链。
攻击链恢复1:C系统攻击减少
红党成员分析了该平台产生的大量C系统攻击警报,包括Webshell后门访问,PHP代码执行漏洞,跨站点脚本攻击等,最后将攻击者定位到蓝方。他使用C系统的文件作为文件。突破,使用PHP代码执行漏洞来执行phpinfo函数,然后使用远程执行代码漏洞和SQL注入漏洞成功编写Webshell,并通过andSword工具成功执行Webshell入侵。与此同时,红方发现蓝党成员张无忌也对C系统发动了攻击。攻击方法包括:木马后门访问,RCE漏洞攻击,暴力攻击,任意文件上传等,并使用暴力破解获取多个帐户密码。
从进攻和防守日志看河流和湖泊的网络
攻击链恢复2:从攻击者的角度进行攻击恢复
多个平台为B和F系统生成攻击警报日志。这些攻击由两名固定攻击者分析。其中,红方通过TAM日志发现蓝党员张无忌和周伟若向B系统发起了大量的HTTP请求。从记录的HTTP访问日提交的内容非常相似,只更改了用户名和密码。被确认为对B系统的暴力攻击;同时,通过分析HTTP响应内容和响应长度,可以确认两个攻击者成功爆破并获得多个帐户密码,并使用获取的帐户成功登录到C系统和F.系统,因为两个攻击者习惯以蛮力的方式进行攻击,所以红方将两人密封为爆破狂人。
从进攻和防守日志看河流和湖泊的网络
攻击链3:B系统攻击恢复
第二天,多平台检测到E系统受到攻击,最后通过日志分析将攻击者锁定为蓝方成员。攻击者被锁定后,根据源IP,攻击者已经在同一天对E系统发起了XSS攻击,并且警报是蓝方利用E系统的任何文件上传漏洞上传了文件名为s.cgi。通过分析,Webshell文件还发现Webshell连接密码为fh198,shell中有ls/pwd操作命令,但通过分析HTTP访问日志,攻击者无法成功访问Webshell。另外,通过日志,还发现蓝方成员还对系统的多个系统发起了攻击,攻击方法主要基于上传shell。从进攻和防守日志看河流和湖泊的网络
反击敌人的瑕疵
无论进攻多么尖锐,反击总会来临。 Red在攻击检测中并非完全被动,但也使用主动攻击来发现更多攻击。他们通过已经获得的信息成功获取了蓝党成员的声誉帐户,并使用他们的帐户登录邮箱向蓝党成员发送钓鱼邮件,诱使蓝方进入网络,但蓝方迅速发现他的身份已暴露无遗。采取积极措施后,红党成功避免了这一措施。
新鲜的衣服,愤怒的马匹,跟踪河流和湖泊,了解自己,相互了解,进攻和防守。通过这种对抗,双方彻底发现并纠正了企业内外网络资产和业务数据的深层次安全风险,并整合了内部安全威胁监控和发现能力,应急响应能力和安全防护能力。此次活动结束后,双方将采取措施,完善企业安全防护管理,完善企业安全防范技术体系。绿盟科技可以为企业客户提供红蓝对抗服务,集成攻防能力,设备保护能力和平台运营能力,保障企业安全。
IT外包
>
400-635-8089
立即
咨询
电话咨询
服务热线
400-635-8089
微信咨询
微信咨询
微信咨询
公众号
公众号
公众号
返回顶部