一、背景

1.HVV行動簡介

HVV行動是國家應(yīng)對網(wǎng)絡(luò)安全問題所做的重要布局之一。從2016年開始，隨著我國對網(wǎng)絡(luò)安全的重視，演習(xí)規(guī)模不斷擴(kuò)大，越來越多的單位都加入到HVV行動中，網(wǎng)絡(luò)安全對抗演練越來越貼近實際情況，各機(jī)構(gòu)對待網(wǎng)絡(luò)安全需求也從被動構(gòu)建，升級為業(yè)務(wù)保障剛需，而2023年的國家HVV目前已經(jīng)結(jié)束。

HVV一般分為紅藍(lán)兩隊，也稱為紅藍(lán)對抗，紅隊為攻擊隊，藍(lán)隊為防守隊。剛開始，藍(lán)隊會有初始分值，一旦被攻擊成功就會扣除相應(yīng)的分。而每年對于藍(lán)隊的要求都逐漸嚴(yán)格起來，2020年以前藍(lán)隊只要能發(fā)現(xiàn)攻擊就能加分，或者把扣掉的分補(bǔ)回來。但是從2021開始，藍(lán)隊必須滿足及時發(fā)現(xiàn)、及時處置以及還原攻擊鏈才能少扣分，從而避免提前出局。

2.HVV痛點分析

面對一年一度的國家HVV一定不可掉以輕心，正所謂大意失荊州，前車之鑒比比皆是！參加HVV的相關(guān)行業(yè)通常會涉及到海量的資產(chǎn)信息，而且其系統(tǒng)的業(yè)務(wù)線比較廣泛，所屬IT資產(chǎn)無法在HVV開始時做到百分百收斂，在正式HVV期間白班日均工作時間會超過14小時。除此之外，還可能會存在但不限于以下相關(guān)風(fēng)險：

(1) 公網(wǎng)資產(chǎn)存在漏洞，對外開放非必要的調(diào)試環(huán)境、測試環(huán)境與API接口，缺少定時進(jìn)行產(chǎn)品升級，沒有時刻關(guān)注企業(yè)所使用到的相關(guān)開源組件、商用軟件安全性；

(2) 公網(wǎng)業(yè)務(wù)系統(tǒng)缺乏全面滲透測試，業(yè)務(wù)變更和新業(yè)務(wù)上線前沒有進(jìn)行深入的滲透測試；

(3) 內(nèi)網(wǎng)資產(chǎn)的歷史高危漏洞未及時進(jìn)行修復(fù)，若攻擊者突破邊界即可任意進(jìn)行橫向移動，對于云上內(nèi)網(wǎng)安全的脆弱性，沒有建立嚴(yán)格的安全管理制度及審批流程；

(4) 將“第三方、子公司、分支機(jī)構(gòu)”直接視為可信實體，缺乏對交互流量的監(jiān)控；

(5) 缺乏合理的安全設(shè)備部署，比如WAF、網(wǎng)頁防篡改、郵件網(wǎng)關(guān)、APT、HIDS、EDR等，沒有或很少對安全規(guī)則優(yōu)化，消除誤報，貼合業(yè)務(wù)；

(6) 缺乏提升數(shù)據(jù)、代碼泄漏管控和檢測的能力（如Github、Gitlab、Gitee等平臺代碼、數(shù)據(jù)泄漏檢測）；

(7) 離職人員權(quán)限及賬號回收機(jī)制存在問題，交接材料通過外部網(wǎng)盤進(jìn)行傳輸，賬號權(quán)限回收不徹底，比如云服務(wù)器和OSS的AKSK權(quán)限未能刪除；

(8) 沒有或缺乏辦公網(wǎng)南北向流量安全審計，以及東西向網(wǎng)絡(luò)阻斷設(shè)備，安全部門應(yīng)急響應(yīng)不能馬上聯(lián)系到責(zé)任人進(jìn)行止損；

(9) 沒有統(tǒng)一使用內(nèi)部辦公軟件進(jìn)行協(xié)同，而大規(guī)模使用有道云筆記、百度云盤、向日葵、飛書、釘釘、企業(yè)微信、QQ等可能導(dǎo)致數(shù)據(jù)泄露的平臺。

二、藍(lán)隊視角技戰(zhàn)法

1.防守籌備

安全團(tuán)隊?wèi)?yīng)根據(jù)HVV攻擊的活動特點，針對甲方相關(guān)業(yè)務(wù)系統(tǒng)面臨的關(guān)鍵風(fēng)險，制定有效的技術(shù)防護(hù)及檢測方案，包含以云上東西向感知、辦公網(wǎng)南北向全流量威脅情報監(jiān)控檢測和高風(fēng)險業(yè)務(wù)系統(tǒng)收斂三個維度。云上東西向感知，部署蜜罐，通過與業(yè)務(wù)同網(wǎng)絡(luò)部署蜜罐，實現(xiàn)對失陷主機(jī)橫向掃描探測、漏洞利用的捕獲，從而可以快速定位失陷主機(jī)并阻止橫向攻擊。辦公網(wǎng)南北向，全流量對接威脅情報系統(tǒng)，實現(xiàn)辦公網(wǎng)出入流量威脅關(guān)聯(lián)，標(biāo)記黑、白、灰三種IP情報，并由專業(yè)安全工程師進(jìn)行分析，對定向釣魚、惡意軟件、挖礦等行為進(jìn)行監(jiān)測和捕獲，最終建立全方位、多層次的縱深防御體系。

在演練開始之前，通過掃描器對甲方域名、IP進(jìn)行安全漏洞掃描，結(jié)合滲透測試，對檢測出的部分高優(yōu)先級漏洞進(jìn)行整理統(tǒng)計，相關(guān)檢測列表于HVV前提交給相關(guān)負(fù)責(zé)人通知各業(yè)務(wù)線進(jìn)行修復(fù)，有效消除相關(guān)安全風(fēng)險。通過對甲方線上系統(tǒng)和供應(yīng)鏈進(jìn)行分析，盤查可能存在0Day、1Day漏洞的應(yīng)用系統(tǒng)以及權(quán)限過大的后臺管理系統(tǒng)，包括但不限于OA、財務(wù)、人事、法務(wù)等，并通過WAF側(cè)白名單予以評估辦公網(wǎng)以外的請求，同時避免遭受無法預(yù)測的0Day、1Day及弱口令等問題導(dǎo)致的安全事件。另外，對甲方單位的內(nèi)網(wǎng)系統(tǒng)進(jìn)行全面掃描探測，對問題系統(tǒng)進(jìn)行上報，督促業(yè)務(wù)組進(jìn)行整改，減小攻擊者在內(nèi)網(wǎng)系統(tǒng)橫向的風(fēng)險。劃分不同VPC，將需要隔離的資源從網(wǎng)絡(luò)層面分開，結(jié)合安全組的細(xì)粒度資源管控能力，使用ACL功能實現(xiàn)更精細(xì)化的VPC內(nèi)子網(wǎng)隔離。

國家HVV允許攻擊者進(jìn)行釣魚、水坑等攻擊手段，為進(jìn)一步提升甲方員工安全意識，針對全員發(fā)送釣魚郵件，對被成功釣魚員工進(jìn)行專項安全意識培訓(xùn)，在職場內(nèi)張貼相關(guān)海報等操作。同時開展釣魚宣講活動，對郵件、電話、WiFi、身份偽裝和Bad USB等常見釣魚手段進(jìn)行分析，打出一套漂亮的反釣魚安全意識提升組合拳，大大減少因此帶來的安全風(fēng)險。通過網(wǎng)絡(luò)架構(gòu)評估，明確整體網(wǎng)絡(luò)安全域劃分，梳理域間/域內(nèi)訪問控制關(guān)系，評估攻擊面及入侵防護(hù)情況，最終實現(xiàn)網(wǎng)絡(luò)隔離及攻擊面收斂，有效對抗來自外部和內(nèi)部的攻擊。

2.檢測響應(yīng)

通過15×24小時應(yīng)急處置分析風(fēng)險，搭建自動化防御體系，匯總分析安全設(shè)備的日志，并根據(jù)業(yè)務(wù)場景進(jìn)行分析建模并對行為進(jìn)行打分，與檢測阻斷類產(chǎn)品如防火墻、IPS、WAF等聯(lián)動提升檢測準(zhǔn)確率，與蜜罐類產(chǎn)品聯(lián)動有效助益對攻擊者的溯源與反制。聯(lián)動Web應(yīng)用防火墻/CDN等邊界設(shè)備對威脅情報中的問題IP進(jìn)行秒級自動封禁，減輕人工分析成本，將有限的人員注意力轉(zhuǎn)移到更需要關(guān)注處理的事件中并降低響應(yīng)時間。從更高維度的視角打通不同安全產(chǎn)品、不同防護(hù)階段、不同防護(hù)位置信息交換的壁壘，掌握單點攻擊全網(wǎng)可知的防守主動權(quán)。

此外，釣魚/社工攻擊仍作為一種重要的攻擊手法被大范圍使用，尤其是當(dāng)防守方正面防線十分堅固的情況下，通過釣魚/社工的方式進(jìn)行邊界突破往往成為首選，我們也已經(jīng)觀測到不少安全防護(hù)水平較高的行業(yè)和企業(yè)因此被攻擊成功，而很多防守方正苦于缺少有效的檢測和防護(hù)手段。針對新型釣魚木馬攻擊手法分析，除了比較常規(guī)的加載器 + CobaltStrike載荷外，我們發(fā)現(xiàn)3個比較新穎的手法，比如白文件Patch免殺、控制流平坦化混淆和Hook改變Beacon C2。而比較典型的CobaltStrike木馬主要是采用域前置和云函數(shù)轉(zhuǎn)發(fā)來隱藏C2地址的方法。因此，在靜態(tài)特征檢測上，我們將高頻釣魚關(guān)鍵詞添加進(jìn)內(nèi)網(wǎng)郵件安全類產(chǎn)品的關(guān)鍵詞列表中進(jìn)行風(fēng)險提醒，并對來自于外部的郵件添加警告標(biāo)識。在動態(tài)特征檢測上，對于使用云函數(shù)機(jī)制通信的CobaltStrike木馬，可以直接封禁或隔斷相關(guān)域名；對于使用域前置機(jī)制進(jìn)行通信的CobaltStrike木馬，因為一般無法直接獲取攻擊者的域名或IP等標(biāo)識，因此需要根據(jù)其具體的流量轉(zhuǎn)發(fā)機(jī)制進(jìn)行攔截。

在發(fā)現(xiàn)攻擊事件后，藍(lán)隊首先應(yīng)確定攻擊來源，是不是員工內(nèi)部誤操作；然后確定是攻擊的話，將問題主機(jī)與內(nèi)網(wǎng)隔離；接著應(yīng)根據(jù)安全防護(hù)設(shè)備、安全監(jiān)測設(shè)備產(chǎn)生的告警信息、樣本信息等，結(jié)合各種情報系統(tǒng)追蹤溯源。條件允許時，可通過部署誘捕系統(tǒng)反制攻擊隊攻擊終端，做到追蹤溯源、防守反制。

3.溯源反制

在HVV期間，為了能夠使甲方單位獲得更多的分?jǐn)?shù)和更高的排名，我們也采取但不限于以下技術(shù)分析手段來進(jìn)行溯源反制：

(1) IP定位：通過IP反查域名并獲得whois信息、IP端口掃描、反向滲透服務(wù)器、根據(jù)IP定位物理地址；

(2) ID追蹤：通過搜索引擎、社交平臺、技術(shù)論壇和社工庫獲取攻擊者的身份；

(3) 攻擊程序分析：利用多種在線云沙箱分析釣魚樣本，結(jié)合手工提取樣本特征；

(4) 蜜罐：獲取攻擊者的主機(jī)信息、瀏覽器信息和真實IP，對攻擊源攻擊者進(jìn)行畫像分析，甚至反制；

(5) 批量上線釣魚馬：因為云函數(shù)在請求目標(biāo)時會自動調(diào)用不同可用區(qū)的IP地址，所以在虛擬機(jī)中不斷發(fā)送上線和會話請求，在CobaltStrike一次性上線大量IP會讓紅隊直接無法分辨；

(6) 消耗云函數(shù)額度：雖然云函數(shù)能夠隱藏C2，但是就是訪問是需要計費的，所以可以使用腳本惡意盜刷紅隊的額度，導(dǎo)致其木馬無法上線；

(7) 虛假上線：重放心跳包進(jìn)行上線，但是紅隊無法執(zhí)行任何命令，也可以向攻擊隊dnslog發(fā)送垃圾流量，混淆紅隊視野；

(8) 反向釣魚紅隊：在甲方公網(wǎng)和內(nèi)網(wǎng)處均部署蜜罐，利用代理工具和攻擊程序的漏洞來獲取紅隊主機(jī)權(quán)限，比如使用Clash RCE、蟻劍和冰蝎RCE、Git和SVN泄露利用工具的反制等。

三、總結(jié)提升

智能新型技術(shù)的廣泛應(yīng)用，信息基礎(chǔ)架構(gòu)層面變得更加復(fù)雜，傳統(tǒng)的安全思路已越來越難以適應(yīng)安全保障能力的要求。必須通過新思路、新技術(shù)、新方法，從體系化的規(guī)劃和建設(shè)角度，建立縱深防御體系架構(gòu)，整體提升面向?qū)崙?zhàn)的防護(hù)能力。從應(yīng)對實戰(zhàn)角度出發(fā)，對甲方現(xiàn)有安全架構(gòu)進(jìn)行梳理，以安全能力建設(shè)為核心思路，面向主要風(fēng)險重新設(shè)計政企機(jī)構(gòu)整體安全架構(gòu)，通過多種安全能力的組合和結(jié)構(gòu)性設(shè)計，建立起能夠具備實戰(zhàn)防護(hù)能力、有效應(yīng)對高級威脅、持續(xù)迭代演進(jìn)提升的安全防御體系。

四、參考文章

[1] http://www.hackdig.com/04/hack-311372.htm

[2] https://xz.aliyun.com/t/11625

[3] https://www.secrss.com/articles/45476

[4] https://mp.weixin.qq.com/s/vXJaRd6Ce1MmkzKniJnyMw

審核編輯 黃宇