一、背景

1.HVV行動(dòng)簡(jiǎn)介

HVV行動(dòng)是國(guó)家應(yīng)對(duì)網(wǎng)絡(luò)安全問(wèn)題所做的重要布局之一。從2016年開(kāi)始，隨著我國(guó)對(duì)網(wǎng)絡(luò)安全的重視，演習(xí)規(guī)模不斷擴(kuò)大，越來(lái)越多的單位都加入到HVV行動(dòng)中，網(wǎng)絡(luò)安全對(duì)抗演練越來(lái)越貼近實(shí)際情況，各機(jī)構(gòu)對(duì)待網(wǎng)絡(luò)安全需求也從被動(dòng)構(gòu)建，升級(jí)為業(yè)務(wù)保障剛需，而2023年的國(guó)家HVV目前已經(jīng)結(jié)束。

HVV一般分為紅藍(lán)兩隊(duì)，也稱為紅藍(lán)對(duì)抗，紅隊(duì)為攻擊隊(duì)，藍(lán)隊(duì)為防守隊(duì)。剛開(kāi)始，藍(lán)隊(duì)會(huì)有初始分值，一旦被攻擊成功就會(huì)扣除相應(yīng)的分。而每年對(duì)于藍(lán)隊(duì)的要求都逐漸嚴(yán)格起來(lái)，2020年以前藍(lán)隊(duì)只要能發(fā)現(xiàn)攻擊就能加分，或者把扣掉的分補(bǔ)回來(lái)。但是從2021開(kāi)始，藍(lán)隊(duì)必須滿足及時(shí)發(fā)現(xiàn)、及時(shí)處置以及還原攻擊鏈才能少扣分，從而避免提前出局。

2.HVV痛點(diǎn)分析

面對(duì)一年一度的國(guó)家HVV一定不可掉以輕心，正所謂大意失荊州，前車之鑒比比皆是！參加HVV的相關(guān)行業(yè)通常會(huì)涉及到海量的資產(chǎn)信息，而且其系統(tǒng)的業(yè)務(wù)線比較廣泛，所屬IT資產(chǎn)無(wú)法在HVV開(kāi)始時(shí)做到百分百收斂，在正式HVV期間白班日均工作時(shí)間會(huì)超過(guò)14小時(shí)。除此之外，還可能會(huì)存在但不限于以下相關(guān)風(fēng)險(xiǎn)：

(1) 公網(wǎng)資產(chǎn)存在漏洞，對(duì)外開(kāi)放非必要的調(diào)試環(huán)境、測(cè)試環(huán)境與API接口，缺少定時(shí)進(jìn)行產(chǎn)品升級(jí)，沒(méi)有時(shí)刻關(guān)注企業(yè)所使用到的相關(guān)開(kāi)源組件、商用軟件安全性；

(2) 公網(wǎng)業(yè)務(wù)系統(tǒng)缺乏全面滲透測(cè)試，業(yè)務(wù)變更和新業(yè)務(wù)上線前沒(méi)有進(jìn)行深入的滲透測(cè)試；

(3) 內(nèi)網(wǎng)資產(chǎn)的歷史高危漏洞未及時(shí)進(jìn)行修復(fù)，若攻擊者突破邊界即可任意進(jìn)行橫向移動(dòng)，對(duì)于云上內(nèi)網(wǎng)安全的脆弱性，沒(méi)有建立嚴(yán)格的安全管理制度及審批流程；

(4) 將“第三方、子公司、分支機(jī)構(gòu)”直接視為可信實(shí)體，缺乏對(duì)交互流量的監(jiān)控；

(5) 缺乏合理的安全設(shè)備部署，比如WAF、網(wǎng)頁(yè)防篡改、郵件網(wǎng)關(guān)、APT、HIDS、EDR等，沒(méi)有或很少對(duì)安全規(guī)則優(yōu)化，消除誤報(bào)，貼合業(yè)務(wù)；

(6) 缺乏提升數(shù)據(jù)、代碼泄漏管控和檢測(cè)的能力（如Github、Gitlab、Gitee等平臺(tái)代碼、數(shù)據(jù)泄漏檢測(cè)）；

(7) 離職人員權(quán)限及賬號(hào)回收機(jī)制存在問(wèn)題，交接材料通過(guò)外部網(wǎng)盤進(jìn)行傳輸，賬號(hào)權(quán)限回收不徹底，比如云服務(wù)器和OSS的AKSK權(quán)限未能刪除；

(8) 沒(méi)有或缺乏辦公網(wǎng)南北向流量安全審計(jì)，以及東西向網(wǎng)絡(luò)阻斷設(shè)備，安全部門應(yīng)急響應(yīng)不能馬上聯(lián)系到責(zé)任人進(jìn)行止損；

(9) 沒(méi)有統(tǒng)一使用內(nèi)部辦公軟件進(jìn)行協(xié)同，而大規(guī)模使用有道云筆記、百度云盤、向日葵、飛書、釘釘、企業(yè)微信、QQ等可能導(dǎo)致數(shù)據(jù)泄露的平臺(tái)。

二、藍(lán)隊(duì)視角技戰(zhàn)法

1.防守籌備

安全團(tuán)隊(duì)?wèi)?yīng)根據(jù)HVV攻擊的活動(dòng)特點(diǎn)，針對(duì)甲方相關(guān)業(yè)務(wù)系統(tǒng)面臨的關(guān)鍵風(fēng)險(xiǎn)，制定有效的技術(shù)防護(hù)及檢測(cè)方案，包含以云上東西向感知、辦公網(wǎng)南北向全流量威脅情報(bào)監(jiān)控檢測(cè)和高風(fēng)險(xiǎn)業(yè)務(wù)系統(tǒng)收斂三個(gè)維度。云上東西向感知，部署蜜罐，通過(guò)與業(yè)務(wù)同網(wǎng)絡(luò)部署蜜罐，實(shí)現(xiàn)對(duì)失陷主機(jī)橫向掃描探測(cè)、漏洞利用的捕獲，從而可以快速定位失陷主機(jī)并阻止橫向攻擊。辦公網(wǎng)南北向，全流量對(duì)接威脅情報(bào)系統(tǒng)，實(shí)現(xiàn)辦公網(wǎng)出入流量威脅關(guān)聯(lián)，標(biāo)記黑、白、灰三種IP情報(bào)，并由專業(yè)安全工程師進(jìn)行分析，對(duì)定向釣魚、惡意軟件、挖礦等行為進(jìn)行監(jiān)測(cè)和捕獲，最終建立全方位、多層次的縱深防御體系。

在演練開(kāi)始之前，通過(guò)掃描器對(duì)甲方域名、IP進(jìn)行安全漏洞掃描，結(jié)合滲透測(cè)試，對(duì)檢測(cè)出的部分高優(yōu)先級(jí)漏洞進(jìn)行整理統(tǒng)計(jì)，相關(guān)檢測(cè)列表于HVV前提交給相關(guān)負(fù)責(zé)人通知各業(yè)務(wù)線進(jìn)行修復(fù)，有效消除相關(guān)安全風(fēng)險(xiǎn)。通過(guò)對(duì)甲方線上系統(tǒng)和供應(yīng)鏈進(jìn)行分析，盤查可能存在0Day、1Day漏洞的應(yīng)用系統(tǒng)以及權(quán)限過(guò)大的后臺(tái)管理系統(tǒng)，包括但不限于OA、財(cái)務(wù)、人事、法務(wù)等，并通過(guò)WAF側(cè)白名單予以評(píng)估辦公網(wǎng)以外的請(qǐng)求，同時(shí)避免遭受無(wú)法預(yù)測(cè)的0Day、1Day及弱口令等問(wèn)題導(dǎo)致的安全事件。另外，對(duì)甲方單位的內(nèi)網(wǎng)系統(tǒng)進(jìn)行全面掃描探測(cè)，對(duì)問(wèn)題系統(tǒng)進(jìn)行上報(bào)，督促業(yè)務(wù)組進(jìn)行整改，減小攻擊者在內(nèi)網(wǎng)系統(tǒng)橫向的風(fēng)險(xiǎn)。劃分不同VPC，將需要隔離的資源從網(wǎng)絡(luò)層面分開(kāi)，結(jié)合安全組的細(xì)粒度資源管控能力，使用ACL功能實(shí)現(xiàn)更精細(xì)化的VPC內(nèi)子網(wǎng)隔離。

國(guó)家HVV允許攻擊者進(jìn)行釣魚、水坑等攻擊手段，為進(jìn)一步提升甲方員工安全意識(shí)，針對(duì)全員發(fā)送釣魚郵件，對(duì)被成功釣魚員工進(jìn)行專項(xiàng)安全意識(shí)培訓(xùn)，在職場(chǎng)內(nèi)張貼相關(guān)海報(bào)等操作。同時(shí)開(kāi)展釣魚宣講活動(dòng)，對(duì)郵件、電話、WiFi、身份偽裝和Bad USB等常見(jiàn)釣魚手段進(jìn)行分析，打出一套漂亮的反釣魚安全意識(shí)提升組合拳，大大減少因此帶來(lái)的安全風(fēng)險(xiǎn)。通過(guò)網(wǎng)絡(luò)架構(gòu)評(píng)估，明確整體網(wǎng)絡(luò)安全域劃分，梳理域間/域內(nèi)訪問(wèn)控制關(guān)系，評(píng)估攻擊面及入侵防護(hù)情況，最終實(shí)現(xiàn)網(wǎng)絡(luò)隔離及攻擊面收斂，有效對(duì)抗來(lái)自外部和內(nèi)部的攻擊。

2.檢測(cè)響應(yīng)

通過(guò)15×24小時(shí)應(yīng)急處置分析風(fēng)險(xiǎn)，搭建自動(dòng)化防御體系，匯總分析安全設(shè)備的日志，并根據(jù)業(yè)務(wù)場(chǎng)景進(jìn)行分析建模并對(duì)行為進(jìn)行打分，與檢測(cè)阻斷類產(chǎn)品如防火墻、IPS、WAF等聯(lián)動(dòng)提升檢測(cè)準(zhǔn)確率，與蜜罐類產(chǎn)品聯(lián)動(dòng)有效助益對(duì)攻擊者的溯源與反制。聯(lián)動(dòng)Web應(yīng)用防火墻/CDN等邊界設(shè)備對(duì)威脅情報(bào)中的問(wèn)題IP進(jìn)行秒級(jí)自動(dòng)封禁，減輕人工分析成本，將有限的人員注意力轉(zhuǎn)移到更需要關(guān)注處理的事件中并降低響應(yīng)時(shí)間。從更高維度的視角打通不同安全產(chǎn)品、不同防護(hù)階段、不同防護(hù)位置信息交換的壁壘，掌握單點(diǎn)攻擊全網(wǎng)可知的防守主動(dòng)權(quán)。

此外，釣魚/社工攻擊仍作為一種重要的攻擊手法被大范圍使用，尤其是當(dāng)防守方正面防線十分堅(jiān)固的情況下，通過(guò)釣魚/社工的方式進(jìn)行邊界突破往往成為首選，我們也已經(jīng)觀測(cè)到不少安全防護(hù)水平較高的行業(yè)和企業(yè)因此被攻擊成功，而很多防守方正苦于缺少有效的檢測(cè)和防護(hù)手段。針對(duì)新型釣魚木馬攻擊手法分析，除了比較常規(guī)的加載器 + CobaltStrike載荷外，我們發(fā)現(xiàn)3個(gè)比較新穎的手法，比如白文件Patch免殺、控制流平坦化混淆和Hook改變Beacon C2。而比較典型的CobaltStrike木馬主要是采用域前置和云函數(shù)轉(zhuǎn)發(fā)來(lái)隱藏C2地址的方法。因此，在靜態(tài)特征檢測(cè)上，我們將高頻釣魚關(guān)鍵詞添加進(jìn)內(nèi)網(wǎng)郵件安全類產(chǎn)品的關(guān)鍵詞列表中進(jìn)行風(fēng)險(xiǎn)提醒，并對(duì)來(lái)自于外部的郵件添加警告標(biāo)識(shí)。在動(dòng)態(tài)特征檢測(cè)上，對(duì)于使用云函數(shù)機(jī)制通信的CobaltStrike木馬，可以直接封禁或隔斷相關(guān)域名；對(duì)于使用域前置機(jī)制進(jìn)行通信的CobaltStrike木馬，因?yàn)橐话銦o(wú)法直接獲取攻擊者的域名或IP等標(biāo)識(shí)，因此需要根據(jù)其具體的流量轉(zhuǎn)發(fā)機(jī)制進(jìn)行攔截。

在發(fā)現(xiàn)攻擊事件后，藍(lán)隊(duì)首先應(yīng)確定攻擊來(lái)源，是不是員工內(nèi)部誤操作；然后確定是攻擊的話，將問(wèn)題主機(jī)與內(nèi)網(wǎng)隔離；接著應(yīng)根據(jù)安全防護(hù)設(shè)備、安全監(jiān)測(cè)設(shè)備產(chǎn)生的告警信息、樣本信息等，結(jié)合各種情報(bào)系統(tǒng)追蹤溯源。條件允許時(shí)，可通過(guò)部署誘捕系統(tǒng)反制攻擊隊(duì)攻擊終端，做到追蹤溯源、防守反制。

3.溯源反制

在HVV期間，為了能夠使甲方單位獲得更多的分?jǐn)?shù)和更高的排名，我們也采取但不限于以下技術(shù)分析手段來(lái)進(jìn)行溯源反制：

(1) IP定位：通過(guò)IP反查域名并獲得whois信息、IP端口掃描、反向滲透服務(wù)器、根據(jù)IP定位物理地址；

(2) ID追蹤：通過(guò)搜索引擎、社交平臺(tái)、技術(shù)論壇和社工庫(kù)獲取攻擊者的身份；

(3) 攻擊程序分析：利用多種在線云沙箱分析釣魚樣本，結(jié)合手工提取樣本特征；

(4) 蜜罐：獲取攻擊者的主機(jī)信息、瀏覽器信息和真實(shí)IP，對(duì)攻擊源攻擊者進(jìn)行畫像分析，甚至反制；

(5) 批量上線釣魚馬：因?yàn)樵坪瘮?shù)在請(qǐng)求目標(biāo)時(shí)會(huì)自動(dòng)調(diào)用不同可用區(qū)的IP地址，所以在虛擬機(jī)中不斷發(fā)送上線和會(huì)話請(qǐng)求，在CobaltStrike一次性上線大量IP會(huì)讓紅隊(duì)直接無(wú)法分辨；

(6) 消耗云函數(shù)額度：雖然云函數(shù)能夠隱藏C2，但是就是訪問(wèn)是需要計(jì)費(fèi)的，所以可以使用腳本惡意盜刷紅隊(duì)的額度，導(dǎo)致其木馬無(wú)法上線；

(7) 虛假上線：重放心跳包進(jìn)行上線，但是紅隊(duì)無(wú)法執(zhí)行任何命令，也可以向攻擊隊(duì)dnslog發(fā)送垃圾流量，混淆紅隊(duì)視野；

(8) 反向釣魚紅隊(duì)：在甲方公網(wǎng)和內(nèi)網(wǎng)處均部署蜜罐，利用代理工具和攻擊程序的漏洞來(lái)獲取紅隊(duì)主機(jī)權(quán)限，比如使用Clash RCE、蟻劍和冰蝎RCE、Git和SVN泄露利用工具的反制等。

三、總結(jié)提升

智能新型技術(shù)的廣泛應(yīng)用，信息基礎(chǔ)架構(gòu)層面變得更加復(fù)雜，傳統(tǒng)的安全思路已越來(lái)越難以適應(yīng)安全保障能力的要求。必須通過(guò)新思路、新技術(shù)、新方法，從體系化的規(guī)劃和建設(shè)角度，建立縱深防御體系架構(gòu)，整體提升面向?qū)崙?zhàn)的防護(hù)能力。從應(yīng)對(duì)實(shí)戰(zhàn)角度出發(fā)，對(duì)甲方現(xiàn)有安全架構(gòu)進(jìn)行梳理，以安全能力建設(shè)為核心思路，面向主要風(fēng)險(xiǎn)重新設(shè)計(jì)政企機(jī)構(gòu)整體安全架構(gòu)，通過(guò)多種安全能力的組合和結(jié)構(gòu)性設(shè)計(jì)，建立起能夠具備實(shí)戰(zhàn)防護(hù)能力、有效應(yīng)對(duì)高級(jí)威脅、持續(xù)迭代演進(jìn)提升的安全防御體系。

四、參考文章

[1] http://www.hackdig.com/04/hack-311372.htm

[2] https://xz.aliyun.com/t/11625

[3] https://www.secrss.com/articles/45476

[4] https://mp.weixin.qq.com/s/vXJaRd6Ce1MmkzKniJnyMw

審核編輯 黃宇