问题:hv v对甲方真的有用吗?
在hv v过程中,有一些甲方的防御措施简单粗暴,安全设备上有一丁点儿攻击特征就在防火墙上做拦截封禁IP,再有就是从一些威胁情报平台获取到一些IP之后也开始进行防火墙上阻断,这在很大程度上能避免攻击,但这种简单粗暴的防御并不能达到很好的“长期”效果,hv v结束,这种“防御”效果随之结束,因此很多人会说hvv就是乙方安全公司的“狂欢”(来自乙方的攻击队和来自乙方的防守队一起赚甲方的钱),但我觉得不完全是,至少通过这个演练或多或少会增加领导和绝大数员工的网络安全意识,能够一定程度提高攻击者的攻击门槛,攻防本来就是这样,没有绝对的安全,能抵挡住绝大多数的攻击才是“现实”目标,至于防御APT这种就要看企业的对安全的重视情况以及投入时间精力及资金力度了。
以下是我就在今年hv v期间红蓝两队的一些注意事项的感想,仅供参考:D
1. 不要使用常用的工具如 cs、earthworm、psexec、frp等特征明显的工具,这些都已经被流量监测设备NTA、IPS等监测的到特征,可以换成等价的小众流量加密的工具或者考虑一下修改代码去除特征(如某安全设备frp流量告警分析https://mp.weixin.qq.com/s/3xWvPuLZtaUUJVol4cSbRA)。
2. 域名和ip免杀 域名的话使用一些大厂的域名(可以上传文件的大厂),如download.microsoft.com\download.qq.com\qianxin.com\alibaba.com类似这样,域名的时候前面不能使用自己身份注册的。
3. 使用的工具一定要做免杀处理。Webshell有静态免杀、动态免杀和流量免杀都需要考虑到。其中流量查杀的时候文件名也很重要,一定要按照特定的系统生成特定的文件名(如/OEMS-C-TCP/TCPServlet 、Kmf/charts/timeSeries、js?然后修改htaccess解析规则、会经常访问的文件然后稍微修改下路径?),不要引起安全人员的注意,而且流量一定不要密集,post传送的数据一定要加密。此外流量免杀里面尽量不要使用tcp,可以使用udp、dns、icmp等协议,流量要加密,安全设备一般检测不到加密流量。
4. 外网不要用扫描器,动静太大,而且稍微有攻击payload都会封禁,策略非常严格,除非有0day,否则不建议从暴露的外网资产作为入口。
5. 规定攻击队晚上不允许攻击,但晚上还是攻击队的黄金时间,相对来说晚上蓝队的发现和处置能力要差很多。
6. Web攻击的时候,可以加一些字段迷惑蓝队,x-forwarded-for、x-realIP等,注意自己的referer,不要从fofa、shodan、zoomeye等跳转过来进行访问渗透等。
7. 一定不要用自己的手机号去注册用户的网站,使用验证码的场景可以使用接码平台。
8. 注意蜜罐!!!(因为蓝队报告攻击方的攻击行为能得到对应分数,所以现在的蓝队也会使用蜜罐来捕获攻击者的行为,尤其安全做的很好的单位如果有特别明显的漏洞利用,那么很大概率就是蜜罐了),一定使用干净的虚拟机进行渗透,即使踩了蜜罐也没关系,ma的蜜罐可以自定义 像是有cms的、模拟安全厂商设备页面的(xxx运维管理平台)、ssh、rdp、mysql服务的,发现蜜罐的web服务都是http的 而非https,所以遇到这种要留心,当然还有像是weblogic、tomcat等服务蜜罐。
9. 进入内网之后
1. 建议还是使用钓鱼进入内网,钓鱼要做免杀处理,很多大单位有终端防护软件,但这些相对个人版的360还是弱点儿,免杀做起来也没那么难。
2. 进入之后不要有大动作,不要使用fsacn类的工具,而是应该尽可能多的去进行本机的信息搜集,如系统的账号密码、浏览器的历史访问记录、浏览器书签,用户办公经常使用的网站,基本上一个职员的电脑上包含了企业里最常用的系统,运气好的话打到运维人员的电脑,整个单位基本就沦陷了。
3. 还有就是利用这个人的电脑模拟这个用户正常的去访问一些站点,动作一定要小,能不打payload尽量就不要打,可以在这个用户的电脑抓包进行流量分析,或者以这个受害机作为跳板,本地抓包分析,这样做还有一个好处就是一些内网安全设备有些管理员为了减少告警数量,可能对这些源IP有可能做了加白,这个时候就好干活了。
1. 关于分析研判,首先可以通过拉取一段时间(包括hv v前)IP进行流量分析,看流量是之前就有还是hvv期间刚出现的,如果是之前就有的,很大概率是误报,如果是最近才有,那就需要进行进一步分析,数据包提取,wireshark本地分析,全流量回溯、威胁情报查询等进行研判。
2. 提前准备好hv v反制的手段,例如burpsuite反制、蚁剑反制、布置蜜罐机器(如hr机器,提前放置好如doc文件,让攻击者下载打开)、模拟仿真系统诱导安装插件vpn等等。
3. 提前检测各个设备流量是否正常,策略是否开启正常(通过模拟攻击进行测试)
4. 制定安全事件应急机制,责任分配到人。
5. 企业要有全流量设备,方便在事件发生之后进行回溯,个人感觉科莱的全流量还不错
以上就是这次参加hvv的个人感想,参加今年的hv v累的半死,yq原因在帝都呆了一个月之久,回来休息了好一阵子,今天终于想起来写下个人的一些感想权当个人笔记,如果你也有一些其它感想,也欢迎大家和我一起交流讨论,加我v wangkai-sec 拉你入群交流。