藍軍（Blue Team）的價值是站在攻擊者的位置從實戰角度協助防守方發現問題，避免防守方在進行安全建設時以自我為中心紙上談兵，所謂以攻促防是也。藍軍的實戰經驗很重要，本文即是騰訊藍軍團隊兩位經常參與各類紅藍對抗賽事成員的經驗之談，歡迎與大家探討。

　　近年來各種大規模的紅藍對抗賽事方興未艾，攻防實戰受到了更多的重視。紅隊和藍隊的打法逐漸提升并趨于成熟，已不再是單方面的攻擊與防御，而演變為攻防博弈和幾乎不限手法的對抗演習。與傳統的滲透測試相比，這種高強度的紅藍對抗有著明顯不同，甚至較量的不僅僅是技法，而包括戰術打法、心態與體力的考驗。

　　溯源與反溯源

　　溯源讓演習得以攻守互換，是防守方的重要工作之一。演習攻擊方并不能毫無顧忌的肆意輸出，首先需要考慮的是隱藏自身，這也讓演習更加貼近于真實的攻擊行動。這里討論的溯源并不只是停留在分析攻擊手法和定位來源IP上，更進一步需要關聯到真實的行為人，所以攻擊方使用匿名資源變得非常必要：

　　VPN、匿名代理

　　純凈的滲透環境、虛擬機

　　匿名郵箱、手機號、VPS等

　　純凈的移動設備、無線設備等

　　實名的資源變得不太可靠，這并不是夸張，防守方通過各種途徑可以反查到攻擊者的蹤跡，甚至動用“社工”等攻擊手段，包括不限于博客、實名認證的社交賬號、手機號、服務器等等。在攻防基礎設施相對完善的前提下，很多溯源與反溯源的對抗會下沉到細節層面，比如攻擊隊員通過社交工具傳遞目標可疑URL時，如果誤點擊通過系統默認的瀏覽器打開，則可能會被JSONP蜜罐捕獲社交賬號或者被抓到真實出口IP。當然這也對防守方的溯源分析能力是一個考驗，從海量攻擊數據中提取出有效的關鍵信息。現在大量的蜜罐等主動防御手段起到了不錯的效果，需要注意的是蜜罐本身安全措施也需要隔離得當，避免造成安全隱患。

　　作為應對，攻擊方必須使用純凈的專用滲透環境進行攻擊，完全與日常工作環境區分開來，并做測試環境的定期還原。在識別蜜罐之后，可以通過投喂大量臟數據，甚至偽造一個反向蜜罐，誘導防守方進入并誤導溯源或者消耗防守方的精力，這也是防守方需要甄別和解決的問題，在演習行動的過程中，溯源與反溯源的故事一直在繼續。

　　數據儲備

　　圈定時間的演習對抗跟真實世界的攻擊還是有一定區別的，防守方有相對充足的時間提前修筑防御工事，比如收斂外網的入口、關閉不重要的業務網站、限制關鍵系統的訪問來源、降低安全設備攔截閾值等，甚至不惜降低用戶體驗以提升安全性。而攻擊方由于演習前目標未知，在戰時狀態下再臨時進行信息搜集和掃描探測效果必然會有一定折扣，并且很容易被攔截和封禁，往往很難定位到關鍵的資產。

　　此時，全網數據和被動信息搜集就會變得非常有價值，比如DNS歷史解析記錄、Whois歷史信息、歷史端口開放情況、網絡流量信息等等，這些數據可以幫助你：

　　找出網站真實IP，挖掘相鄰網段、繞過安全設備

　　判斷目標是否為蜜罐

　　定位內網IP和系統

　　定位關鍵的應用系統

　　另外對于集團型目標，企業關系錯綜復雜，企業信息的數據儲備則有助于快速定位關鍵目標，如天眼查、企查查、備案信息等。對于集團來說，不同領域的控股子公司，以及他們的孫公司往往差異很大，與目標系統不一定網絡可通。通過控股關系，可以優先篩選出一批離目標系統較近的資產列表。另外通過采購公告、版權聲明、專利、軟件著作權、知識產權列表，也可能可以直接定位到目標系統的研發單位，特別是對一些有自己IT支撐單位的目標集團。

　　0day儲備

　　大規模演習項目時間緊、任務重、人力有限，效率非常重要。常規突破手段無法完全滿足需求，在對目標組織結構沒有詳細了解的情況下，正面硬剛的路徑會很長，光是突破邊界、摸清內網狀態，判斷是否連通靶標就需要花費較長時間。此時攻擊關鍵的基礎設施：郵件系統、OA系統、VPN系統、企業知識庫、域控、集中管控等系統的價值則非常大。一個有效的0day則可以節省數天時間，至少可以直接獲得一個外網的有效突破口，起到事半功倍的效果。譬如拿到OA系統可以摸清目標集團的組織架構，定位靶標系統位置，郵箱和VPN則更不用多說，從今年陸續曝出的0day數量也略見一斑。

　　對于防守方來說，從行為檢測上看，其實0day并沒有那么可怕，即使遭遇0day攻擊，主機上的對抗也會回到基本面上，比如：Webshell、惡意命令、反彈Shell、端口掃描、黑客工具、端口轉發、提權、C2通信等等，這里就要求防守方超越IoC和傳統黑特征的束縛，不依賴對特定漏洞利用的先驗知識，而全面基于行為數據進行建模，從而擁有發現和識別通過未知漏洞突破的惡意活動檢測能力。對于完善的縱深防御體系來說，抓住端點上的蛛絲馬跡，可能在攻擊者嘗試執行探測命令時就可以告警了，甚至可以用蜜罐捕獲0day。攻擊隊的0day利用也需要深思熟慮，識別繞過蜜罐，并盡量趨向于合法操作，比如添加賬號，而不是執行黑命令或者直接反彈Shell。

　　工具儲備

　　工欲善其事必先利其器，對于攻擊隊來說，需要將所使用的到的工具進行免殺處理。C2載荷常見的處理方式包括域前置、ShellcodeLoader、加殼，也包括合法的軟件簽名等等，除了對木馬進行免殺之外，滲透過程中也盡量不直接使用公開的工具，至少重新編譯或者消除已知的文件特征，否則防守方通過最簡單的IoC匹配就能成功告警。

　　一個典型場景：當挖掘到一個潛在的上傳漏洞，并且花費時間繞過了WAF，結果上傳了一個一句話木馬，很可能會直接觸發主機層面的Webshell文件告警，導致功虧一簣。內網滲透中的端口轉發、掃描、密碼抓取等工具也是同理。當然也看到目前滲透工具廣泛的使用了無文件的攻擊方式，如進程注入、從內存加載。Net程序集、向Java Servlet容器中動態注冊字節碼等等，顯著提升了惡意工具執行的隱蔽性。另外，一些工程化的工具，比如郵件內容批量分析、通訊錄提取等等，也會提升相當效率，節省寶貴時間。

　　相對應的從防守角度來說，無論是C2通信、橫向移動、掃描，即使繞過端點檢測系統，流量中也難免會留下蛛絲馬跡，并且無文件的程序最終也會執行命令，所以除了靜態文件檢測外，還可以嘗試通過RASP、流量取證分析、行為數據流等方式從多個維度發現潛在的攻擊行為。

　　弱口令與字典

　　橫亙在攻擊者與目標企業內部資源之間的非常直接的因素就是賬號，當不必要的業務都下線關站之后，一個可以進入在線業務系統的賬號變得非常珍貴，比如域賬號、WiFi賬號、郵箱賬號、員工OA賬號、管理后臺賬號等等。除了考驗攻擊隊的信息搜集能力之外，各種字典的合理性和命中率就可以在攻擊隊之間拉開一定的差距，常見的字典比如：用戶名字典、針對性的密碼字典、網站目錄字典、參數字典等等。一個好字典發揮的作用很可能超出預期，哪怕是邊界網絡設備的弱口令，也可能會打開直達內網的通路。

　　爆破賬號時如果可以對用戶名、密碼分開爆破是最好的，在通過各種途徑獲取到一批用戶后，可以以密碼為維度進行密碼噴射爆破。對于Web系統來說，可能會遇到驗證碼增加爆破成本和難度，這里可以調用打碼平臺的API，傳統圖片驗證碼的識別率已經相當高了。

　　對于防守方來說，需要建模檢測廣度優先的密碼噴射爆破行為及賬號異常登錄行為。另外可以將驗證碼升級為更加智能的下一代行為驗證碼，增加人機設備識別、滑動驗證碼等措施來有效防止爆破。

　　分工配合

　　大規模紅藍對抗有逐漸類軍事化對抗的趨勢，全局上要求攻擊方具有更組織化的分工與合作，像社工釣魚、近源滲透、無線入侵等入口也需要提前安排部署。大體上人員技能可以分為：

　　信息搜集、數據分析

　　外網滲透

　　內網滲透、域滲透

　　逆向分析

　　釣魚社工

　　近源滲透

　　漏洞利用、0day挖掘

　　報告編寫

　　其他的技能點還包括安全設備繞過、數據庫利用、網絡設備利用、木馬免殺、持久化、工具與協同平臺支持等等。對于項目來說，報告編寫往往是展現成果最直接的環節，報告的細節、側重點需要盡可能貼近項目要求或者比賽規則，是比較繁雜而不可或缺的工作。

　　作為防守方，為了應對全方位的攻擊手法，除了常規防御外，加派安保人員防范近源滲透也不失為防御體系的一環。

　　以上是筆者一些粗淺的觀察，僅當拋磚引玉。攻擊和防守的博弈需要靠技術和經驗，同時也是個體力活。言知之易，行之難，如何在有限時間內達成目標？合理的分工協同與工作節奏非常重要，攻防過程中需要保持良好的心態與清晰的思路，沉著冷靜避免失誤。道阻且長，行則將至，攻防雙方均需砥礪前行。