從攻守日誌看網路江湖的快意恩仇

網路江湖門派眾多，路由派、交換派、無線派、閘道器派…，其中紅方和藍方兩派特立獨行，不為爭奪霸主之位，只為了切磋攻防技藝，常常開展紅藍對決。藍方以控制業務、盜取機密資訊為目標，用最接近真正APT的攻擊方式，挑戰紅方最真實的網路防護能力。紅方則需要通過分析網路流量還原藍方攻擊鏈，雙方在確保業務平穩執行的前提下，以企業真實網路環境開展實兵對決。

小生不才，偶入江湖一樓，目睹紅藍兩派刀光劍影，你來我往，好不快哉。

各路招式匆匆記錄在冊，若他日參與其中，或攻或守，豈不是能輕車熟路？

藍：顧盼間乾坤倒轉

特殊弱口令

藍方某小隊通過對收集的資訊進行分析，發現多個目標系統存在暴力破解威脅，結合以姓名作為使用者名稱的系統特性，較多公司員工使用公司名稱及其變形作為密碼的習慣，編寫弱口令字典併成功爆破得到約20個賬號。憑藉這些賬號，逐一登入多個內網目標，獲取到多份敏感資料，並利用這些賬號得到多個Web系統的管理員許可權。

賬號劫持

在攻擊時藍方發現C系統版本老舊，存在一個遠端程式碼執行漏洞。利用這個漏洞藍隊成功寫入了一句話木馬，分析檔案時又發現該系統存在弱口令賬號，利用弱口令成功切換賬號並完成提權操作，最終順利拿下伺服器，為了防止許可權丟失，還為root賬號新增了公鑰以備不時之需。

但藍方並沒有因為拿下系統許可權而減弱攻勢，而是利用其作為跳板做進一步的攻擊。C系統存在一個登入頁面，藍方在Web登入頁面中新增了Javascript程式碼，使每個使用者通過Web登入時將使用者名稱、密碼傳送給攻擊者，利用了C系統登入劫持，藍方嗅探到多個內網賬號密碼。成功登入大量系統，其中包括核心系統，從中發現了大量核心資料和資源管理賬號密碼。

虛機克隆

藍方對賬號劫持中獲取的賬戶繼續分析，發現部分賬號在某些系統具有較高許可權。藍方使用某獲取的賬號登入內部倉庫管理業務。通過分析發現該平臺可以基於快照建立虛擬機器。藍方一頓操作刀光劍影，使用修改後的管理員密碼登陸了克隆G系統獲取到該系統管理的所有倉庫。

當然，藍方的成果遠不止這些，從本次對抗的結果來看，藍方收穫頗豐，他們以千姿百態的攻擊繞過方式，成功攻下六個業務系統不同級別的許可權和大量的敏感資料。

紅：籌謀間瞭然於心

雖然藍隊攻勢凶猛，但紅方早有防備，提前對安全問題的系統進行了整改和防護，對業務系統進行升級和部署基礎防護裝置外，還主動對業務系統發起了檢查，包括：漏洞掃描、後門檢測、弱口令檢測和環境準備。

在此次紅藍對抗中，紅方監測到藍方三個小分隊：Webshell狂魔、爆破狂魔、木馬狂魔發起的133次攻擊事件，紅方也成功利用各團隊上報的攻擊事件還原了藍方的多條攻擊鏈。

攻擊鏈還原1：對C系統的攻擊還原

紅方成員分析了平臺產生的大量C系統攻擊告警，包括Webshell後門訪問、PHP程式碼執行漏洞、跨站指令碼攻擊等事件，最終將攻擊者定位到了藍方花無缺，他以C系統的某檔案作為突破口，利用PHP程式碼執行漏洞執行phpinfo()函式，隨後結合遠端程式碼執行漏洞和SQL隱碼攻擊漏洞成功寫入Webshell，通過andSword工具成功進行Webshell入侵。與此同時，紅方發現藍方成員張無忌也對C系統發起了攻擊，攻擊方法包括：木馬後門訪問、RCE漏洞攻擊、暴力破解、任意檔案上傳等，並利用暴力破解得到多個賬號密碼。

攻擊鏈還原2：從攻擊者角度進行攻擊還原

多個平臺產生了對B系統和F系統的攻擊告警日誌，經分析發現這些攻擊均來自兩個固定的攻擊者。其中，紅方通過TAM記錄的日誌發現藍方成員張無忌和周芷若向B系統發起了大量的HTTP請求，從記錄的HTTP訪問日中發現提交的內容極為相似，只變換了使用者名稱和密碼，據此可確認為針對B系統的暴力破解攻擊；同時，還通過分析HTTP響應內容和響應長度可以確認這兩位攻擊者成功爆破並得到多個賬號密碼，並利用獲取到的賬號成功登入了C系統和F系統，因為這兩名攻擊者習慣用暴力破解的方式進行攻擊，所以，紅方封二位為爆破狂魔。

攻擊鏈3：B系統攻擊還原

次日，多平臺檢測到E系統遭受攻擊，通過日誌分析最終鎖定攻擊者為藍方成員虛竹。鎖定攻擊者後根據源IP發現，該攻擊者在當天便已經對E系統發起過XSS攻擊，而告警則是藍方花無缺利用了E系統的任意檔案上傳漏洞上傳了檔名為s.cgi的Webshell檔案，通過分析還發現該Webshell的連線密碼為fh198，在shell中存在ls/pwd等操作命令，但通過分析HTTP訪問日誌發現，攻擊者並未對Webshell成功訪問。此外，通過日誌還發現藍方成員虛竹還對系統多個系統發起了攻擊，其攻擊方法多以上傳shell為主。

從敵人破綻中反擊

進攻無論怎樣犀利，反擊總會到來。紅方也並非完全採用被動的方式進行攻擊監測，也採用了主動出擊的方式來發現更多的攻擊。他們通過已掌握到的資訊成功抓取到藍方成員段譽的賬號，並利用其賬號登入郵箱向藍方成員傳送了釣魚郵件，引誘藍方入網，但藍方很快發現自己身份已經暴露，採取積極措施後成功避免了被紅方所利用。

鮮衣怒馬，逐鹿江湖，知己知彼，攻守自如。兩方通過此次對抗，深入發現、整改企業內外網網路資產和業務資料深層次的安全隱患，整合內部安全威脅監測發現能力、應急處置能力和安全防護能力，此役之後，雙方將採取措施提高企業安全防護管理，完善企業安全防護技術體系。綠盟科技可為企業客戶提供紅藍對抗服務，整合攻防能力、裝置防護能力以及平臺運營能力，為企業安全保駕護航。