參考文章地址:

https://www.freebuf.com/articles/network/256580.html

國內藍軍概念起源于軍事紅藍對抗演練，習慣上將我方正面部隊稱之為紅軍，攻擊方則為藍軍。國外則正好反過來，用Red team代表攻擊方，Blue Team代表防守方。

回到網絡安全領域，2016年，《網絡安全法》頒布，規定：關鍵信息基礎設施的運營者應“制定網絡安全事件應急預案，并定期進行演練”。之后公安部領導了轟轟烈烈的HW行動，深刻影響了整個網絡安全行業，各家大公司也紛紛成立自己的紅藍團隊， 紅藍對抗演練蔚然成風。

滴滴安全藍軍團隊成立于2018年，主要負責全局風險兜底和感控策略的檢驗。本文介紹了傳統攻防演練的一些流程方法和攻擊思路，大家一起探討下.

一、演練的流程方法

1.1 演練方案

正如打仗需要制定作戰方案，一場好的攻防對抗也需要制定周密的演練方案

首選明確演練要素

演練對象：明確目標演練時間：按時完成演練人員：合理分配

其次制定演練計劃

識別可能的攻擊路徑制定演練計劃任務拆解

最后確認演練報備

預判可能的風險有風險操作進行提前報備

1.2? 演練策略

總結了幾個演練策略

攻彼之短

目標能否被攻破，只取決于最短板，標桿建的再高也沒用重點關注高危服務、敏感端口、第三方框架等作為突破口

力求深度

攻擊不求全，而在于精與深抓住一個點應持續往下滲透，擴大戰果

隱匿行蹤

制備防查殺武器腳本，隱藏自身IP等避開反入侵監控，選擇攻擊時機

1.3? 演練技術-信息搜集

知已知比，百戰不殆。在不清楚目標的情況下，搜集盡可能多的信息，比如

系統信息：域名、IP段、APP、小程序、開放端口、指紋、中間件、WEB框架、網絡架構等人員組織：郵箱、姓名、手機號、職務、組織架構、辦公場所等上下游： 供應鏈、合作方、分公司、威脅情報等

信息搜集的方式方法有：

工商備案查詢： whois、企查查Goole hack： 如site:didichuxing.com子域名采集： subDomain、wydomain、http://phpinfo.me/domain端口掃描：同網段掃描、旁站掃描指紋識別：whatsweb、nmap、http://www.yunsee.cn信息泄露：github、百度網盤情報系統：微步在線、exploit-db第三方搜索： soda、fofa、zooeye

1.4 演練技術-邊界突破

首先通過對外網站、APP、小程序入手，找到可能的漏洞與突破口。然后是社工釣魚等特殊手段。

總結分為以下幾類：

傳統邊界滲透：系統漏洞、github泄露等0day 攻擊：CVE列表、最新Poc 等釣魚社工： 竊取密碼、魚叉攻擊等近源攻擊： 職場尾隨、wifi 破解等

1.5 演練技術-橫向滲透

橫向滲透技術，僅羅列了部分常見的技術：

內網代理： lcx、frp、socks代理、nc弱口令掃描：ssh、rdp、mysql、mssql、ftp、vnc常見高風險服務：jenkins、k8s、hadoop yarn、weblogic、zabbix共享/未授權訪問：nfs、rsync、elasticsearch、redis常用服務：wiki、git、jira、oa、mail域滲透：IPC$、PTH、PTT、hash dump提權：MFS、數據庫提權、系統漏洞提權、啟動項敏感信息搜集：配置文件、緩存的憑據、數據文件、日志文件C2遠控： cobalt strike、Empire

1.6 演練評判

如何評價演練是否成功，外部安全競賽等強對抗場景采用了計分制。比如獲取了一臺服務器、一個員工賬號、核心服務的數據權限各分別得多少分。相應的，防守方若發現了入侵行為，溯源到攻擊者，也有相應得分。通過得分的多少作為演練質量的指標。

公司內部的紅藍演練其實是合作和對抗并存的關系，不一定非得分個高低。重要的是復盤總結，查漏補缺，共同提升公司的安全水位。

同行們也整理出了一些公司內部紅藍對抗可用的指標，如

攻擊成功率：

例如外網滲透能否突破邊界域滲透能否拿下域控

攻擊覆蓋率：

覆蓋多少種攻擊的方法覆蓋多少業務線

攻擊被發現率：

理論覆蓋占實際檢測的比例能否躲避反入侵監控

二、部分專項演練思路

2.1 釣魚演練

安全技術不斷提高，想直接從外網突破還是有困難的，有一定運氣的成分。當無計可施的時候，試試釣魚吧，系統可以做到100%安全，但員工意識確是最大的變數。

滴滴每年都會進行多起釣魚演練， 嚴重的時候釣魚成功率可以達到10%，經過近年的安全教育，員工意識已經有了大幅度提升。

滴滴的釣魚演練主要分為3類：

新員工釣魚， 所有新入職員工的第一周，都會收到釣魚郵件的洗禮。因為數據顯示，新員工的安全意識是最薄弱的，如果中招，則會自動發送教育警示郵件。部門釣魚演練，一般是聯合部門共同發起，發送對象為部門所有員工， 由于發送量比較大，需要提前加好白名單。紅藍釣魚， 目的是對抗性質，一般每次需要變換點花樣，觀察實際的成功率，以檢驗員工的安全意識、校驗反釣魚檢測策略。

2.2 域滲透

實現域內用戶、計算機、目錄的統一管理的服務器稱之為域控。如同堡壘機之于生產網，域控也是辦公網的核心服務。不同的是，堡壘機的實現方式多種多樣，域控確是唯一選擇。也正是如此，國內外的網絡安全界才積累出了各種域滲透的奇淫巧技。

初略總結，大體有幾個思路吧：

0day漏洞： 域控作為成熟的產品，但還是會有嚴重的漏洞產生，近年來還是不斷有0day爆出，遠的有MS14-068，去年有exchange ssrf搞域控方法流出，今年又有CVE-2020-1472出現，每一次0day出現都可以搞一波域控。域共享： 域共享內有可能存儲各類的敏感信息、密碼腳本 等等，多找找，興許會有所發現。傳統系統漏洞：有些域控可能不重視安全或者加固沒到位，導致出現管理缺陷、服務混部等通過傳統漏洞滲透進服務器系統，迂回路徑：實際域滲透中，采用迂回的案例比較多，通過拿下辦公網其他服務器， 導出服務器上的所有密碼，然后奇跡般發現這里面也有域控管理員的密碼， 順利登錄域控服務器。

2.3 主機agent

內網服務安全性一般都比較薄弱， 因為有限的安全測試資源往往優先投入到外網防御，內網一般是覆蓋薄弱的地方，也因此存在著安全盲區。

部分內網服務會大規模部署（比如超過100臺），這類公共服務一般以主機agent的形式部署到生產網服務器中，甚至會集成到系統鏡像中。如果存在安全問題，即會影響成百上千的服務器，安全風險就會被成百上千倍的放大。

列舉幾類常見的主機agent場景：

運維監控agent： 開源的如zabbix 和 nagios， 拿zabbix來說，我們知道在后臺可以直接下發命令執行任務，拿到后臺權限也就等于控制了所有服務器。運維發布agent：開源的如 saltstack 和 ansible等，saltstack今年也有爆出0day 漏洞， 大點的公司一般有自研的運維系統，但也會有很多問題，主要考慮幾點，內置后門，默認口令，認證繞過等等，分析清楚通信過程之后， 可以嘗試繞過控制端直接向agent發送命令。大數據agent：大數據需要采集日志，各種日志類型的不同導致采集agent也是多樣而迥異的，采集類型也分實時采集和離線采集。比如mysql采集agent ?canel、開源的flume、阿里的LogHub、自研agent等。安全HIDS： HIDS作為主機安全agant，承擔著搜集信息和監控主機行為的重任。今年HW集中爆發了一波安全設備的0day , 讓我們看到因購買了安全設備而淪陷的例子，未來如果哪家因HIDS被攻破，相信也不是笑話。

總結

以上是生活随笔為你收集整理的【蓝队攻防演练思路】From 滴滴蓝军的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。