勿安芯网盾 2022年实网攻防次练 蓝队防守指南 01101010111010101010101107 TTIOOTOT1 1010101011100 LOLMOH 安芯网盾（北京）科技有限公司 101101 目录 Part1．实网攻防演练概述 Part2．红队典型攻击手段 Part3.2022 年攻击手段TOP5预测 TOP1 无文件钓鱼 TOP2 弱密码利用 TOP3 内存马攻击 9 TOP4 AD 域攻击 .10 TOP5 Oday/nday 漏洞利用攻击 11 Part4.蓝队防守能力核心要点 .13 1、准备阶段 13 2、攻防预演 .14 3、正式对抗 .14 4、复盘总结 14 Part5.2022 年蓝队防守能力进阶指南 15 1．无文件攻击防护 .15 无文件钓鱼专项方案 ..15 2.漏洞利用攻击防护 .16 3.内存马攻击防护 16 4.域控攻击防护 17 5.红队工具防御 19 Part6．典型实战演练案例 .20 1．某大型集团实战案例 20 1.1 漏洞利用攻击 20 1.2 无文件钓鱼 .21 2.某政府机构演练案例 .21 3、其它案例, .22 3.1 浏览器 0day 漏洞案例分析 22 3.2 Apache Log4j 漏洞利用 23 .24 附2021年实网攻防演练战绩 Part7．关于安芯网盾 .25 即刻咨询：400-900-6609 25 Part1. 实网攻防演练概述 网络安全的本质是对抗，对抗的本质是攻防双方能力的角逐。2016年出台的《网络安全法》中三十 四条、三十九条、五十三条多次提出：关键信息基础设施的运营者和网信部门应“制定网络安全事件 应急预案，并定期进行演练”。 2016年，由公安机关组织开展首次全国性的实网攻防演练，主要是公安机关组织红队对目标系统进 行集中攻击，检验防守方关键系统的防护能力及指导网络安全建设，此后每年举办一次为期2～3周的 攻防演练，并以积分的形式确定防守方排名。 2020年信安标委WG7小组发布的《网络安全事件应急演练通用指南》给网络安全演练提供了具体 指导，通过演练对参与单位的网络安全事件处置流程进行检验，通过对各单位演练情况进行总结并制 定考核奖惩机制，达到改善提升和监督整改应急处置工作的目的。 攻防演练是国家应对网络安全问题所做的重要布局之一，也是对重点的关键基础设施行业单位网络安 全能力的一次“大阅兵”，通过暴露隐患、查缺补漏，提升日常的防范意识，增强关键信息基础设施 安全防护能力。目前参与的机构众多，包括公安部、政府单位、事业单位、国企单位、名企单位等， 攻击手段越来越高级，攻防演练开始以真刀真枪的对抗行为走向实战化。 表12016年-2021年实网攻防演练行动介绍 时间 涉及范围 演练要点 参与单位的业务系统有网络应急响应预案，要求定期做演 公安部、民航局、国家电网3家事业 2016 练，对攻击者没有过多的要求，同时演练的基础设施基本上 单位参与。 是内网系统，对业务系统对外访问有严格的限制。 政府部门开始参与进来，对外访问的政府网站成为了本阶段 国家旅游局、北京市药监局、北京自 攻击的重点，对比2016年，这次网站不能关闭，当然也存 来水集团、北京教育考试院、中国人 2017 在被攻击时拔网线的情况，但是攻击方确实能发现很多Web 寿、中科院、央视网、首汽租车、安 漏洞拿下网站，这期间也涌现出了一大批专用安全产品和解 贞医院、小米科技等。 决方案。 新增企事业单位参与，这个阶段才出现了真正有价值的攻击 部分国有企事业单位及其他重点单 团队，防守单位需要防攻击、防破坏、防泄露和防重大网络 2018 位，约51家防守单位。 安全事故，双方采取“背靠背”的方式，即事先不通知，攻 击目标和攻击手段也不明确。 工信、安全、武警、交通、铁路、民 参与单位大大增加，攻击方把精力都放到社会工程学、新型 2019 航、能源、新闻广电、电信运营商 免杀木马、Oday使用等攻击手段。 等，约120家防守单位。 除了政府部门、国企事业单位、所有 信息安全基础设施的承载平台出现了一些变化，很多企业的 2020 商业银行，新增公有云、物联网相关 系统已经上公有云、物联网平台，因此云平台的防御能力也 企业加入，约130家防守单位。 受到关注和重视。 1 受到新冠疫情影响，在线办公带来的供应链安全威胁也在增 加。2021年的实战演练规则更为复杂，攻击团队开始利用 规模和范围持续增加，超过200余家 2021 自动化工具，内存马攻击、邮件钓鱼等攻击手段高频出现。 防守单位。 防守侧引入自主防御战略，有部分创新型厂商开始推出 Oday 漏洞防御、内存马防护的方案。 安芯网从成立的第二年就开始参与实网攻防演习，帮助防守方提供成胁检测能力和 防护策略，一是提供内存安全产品，在主机端帮助防守方建设针对 Oday/nday 清润利 用攻击、无文件攻击的防得能力，弥补在未知成胁防护方面的不足；二是提供现场位守， 于安芯网质安全专家团队在行业十多年的攻防对抗经验，以及应急而应独家工人 PCHunter，帮助防守方对攻击信应进行快速溯源分析和处量。此外，安芯网质考于对 过去演练中出现的防护病点，在 2020 年、2021 年先后推出了业内发的域控安全防 护解决方案、内存马防护解决方案，帮助防守方抵得演练中出现的高频攻击事件，获和 客户感谢信。 内存马攻击 域控服务器 防护解决方案 防护解决方案 图1安芯网盾域控安全防护解决方案、内存马防护解决方案手册封面图 2 Part2. 红队典型攻击手段 孙子兵法中讲“知己知彼，百战不殆”，在信息安全攻防对抗中同样适用。在实战攻防演练中，防守 方想要获得好成绩，除了要拥有红队攻击视角，还得熟悉攻击的套路，这样才能有效采取各种预防措 施或者应急响应方案，使红队攻击难以奏效甚至实现反制。 红队在实战演练中的技战术首要目标是边界突破和内网渗透。在边界突破阶段，红队通过信息摸查寻 找网络边界突破口，实现攻击打点，建立持续、稳定的攻击跳板。一旦跳板建立，红队进而转向第二 阶段，即内网渗透阶段。内网渗透阶段利用多项复合的攻击技术，对同网段内的设备不断进行横向渗 透，并利用业务连接关系不断向核心网络进行入侵，最终拿下目标系统。 表2红队典型攻击手段 攻击阶段 子阶段 攻击方式 典型攻击手段 NSlookup/多地址 Ping DNS 查询 子域名查询 邮件订阅反查 真实 IP SSL证书探测 HTTP标头比对 F5 LTM 解码 第三平台(Fofa/Shodan/Censys) 摸查阶段 遍历得到Web管理后台地址 服务信息 Web 服务 banner (Nmap、 Fscan) Google Hack 边界突破 Google/GitHub/网盘/文库 云主机AccessKey 敏感信息 目标网站信息泄露/SVN/GitLab 网站备份文件 社工库 (组织架构/个人信息) 开发框架分析 上传点分析 业务逻辑分析 准备阶段 业务分析 Web请求分析 JS 分析 系统开发商分析 WAF产品识别（WAFWOOF） 3 弱口令字典制备 攻击准备 WAF绕过准备 框架Struts2/Shiro ApachelSolr/Tika/Axis/Shiro 业务组件 中间件|Weblogic/Tomcat/Spring/WAS/Jboss/Jekins/ 漏洞利用 RabbitMO/Glassfish 数据库|ElasticSearch/Redis/MySql/MSsql 邮件类|Coremail/Exchange/PHPMailer 项目管理类|Jira/禅道/Pingcode 攻击打点 第三方软 办公类|通达OA/致远OA/泛微OA/金蝶OA/Zimbra 件漏洞 运维类 JCitrix/Jumpserver/Zabbix/Cacti/Nagios/Webmin/Sangfor Vpn Office宏钓鱼/DOCX文档远程模板注入执行宏 钓鱼攻击 CS克隆网站钓鱼/假网站钓鱼/CS鱼叉钓鱼 Ink快捷方式钓鱼 Wesng/Powerup UAC 绕过 系统漏洞提权 DI 注入 Windows 注册表键提权 AccessToken 窃取 烂土豆 权限提升 Psexec提权 内核漏洞提权 linux-exploit-suggester Suid 提权 Linux 内网渗透 Sudo 提权 DirtyCow/DirtyPipe 当前权限及内核版本 本机网络配置信息 本机信息 本机历史信息 (历史命令、历史登录) 收集 本机动态信息（应用、网络链接、杀软、外联、计划任务、注册 表) 信息收集 机器名及组、域信息 内网端口扫描 网内信息 内网服务Banner 收集 内网服务识别（堡垒机、文件共享、数据库、网安设备、打印 机) 4