作者:Mark4z5(小五)@TSRC
高悬的达摩克利斯之剑
人们在享受网络技术发展带来的便利时,鲜少能意识到头上高悬的达摩克利斯之剑——安全。层出不穷的漏洞越发多样化,这把剑高悬在我们头顶摇摇欲坠,没有什么防护手段可以一劳永逸一招制敌,任何疏忽大意都可能给黑客提供可乘之机。
然而具体到单个企业层面,自身安全事故却相对低频,且在业务层面极少有直接感知。尚未发生事故,或者说攻击没有直接造成损失,很可能会给人带来安全防护足够完善、业务数据足够安全的错觉,甚至导致防护手段逐渐落后,安全流程越发陈旧,人员意识日益懈怠。
等到那把剑真的掉落之时,一切都将为时太晚。
从大到强的试炼之路
这也解释了为什么近年来全球安全事故频发,国内外都极为重视网络安全。正如国家提出,没有网络安全就没有国家安全。网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题,是把我国从网络大国建设为网络强国的关键。
但并不是所有漏洞都能通过自动化工具检测发现。因此,国内外都在如火如荼地开展国家网络安全实战演练。中国公安部组织的护网行动集结全国优秀渗透测试工程师开展风险可控的攻击演习,美国国土安全部组织的Cyber Storm也每两年开展一次网络安全实战演练。
从大到强,网络安全实战演练必不可少。它是网络安全建设的试金石和助燃器,是检验企业安全防护水平的试炼之地。只有持续暴露网络安全防护、监测和应急处置的缺陷并优化改进,才能抵挡黑客不断变换的猛烈攻击。
那么问题来了,谁来引领这条“试炼之路”呢?
当我们谈蓝军时,我们在谈什么?
蓝军这个概念,其实军事领域早已有之。
国内蓝军扮演假想敌(即敌方部队),与红军(我方正面部队)开展实战演习,帮助红军查缺补漏,提升作战能力。网络安全红蓝对抗的概念也源自于此,通过开展APT高级持续性威胁攻击演习来全方位检验企业的安全稳健性和威胁监测及响应能力。
红军作为企业防守方,通过安全加固、攻击监测、应急处置等手段来保障企业安全,而蓝军作为攻击方,以发现安全漏洞,获取业务权限或数据为目标,利用各种攻击手段,试图绕过红军层层防护,达成既定目标。需要注意,欧美采用红队(Red Team)代表攻击方,蓝队(Blue Team)代表防守方,颜色代表正好相反,常常容易让大家搞混。
可见,当我们谈蓝军时,我们在谈的绝不仅仅只是单纯的模拟黑客,而是环环相扣的周密筹划,缜密侦查、精心设计,以及针对性的防守建议等等。
环环相扣:浅析网络安全杀伤链
想要了解蓝军的整个攻击生命周期,可以通过网络攻击杀伤链来进行:首先通过多种手段获取立足点,在此基础上通过权限提升、信息发现和横向移动扩大控制权,最后达成数据收集、窃取和篡改破坏等目的。
下面结合腾讯蓝军十多年的攻防实战演练经验,试对各个阶段的攻击手法与技术简要分析如下:
第一阶段:获取立足点
执行利用:不同环境采用不同的执行方式,在受限环境可利用系统组件或合法程序执行加载恶意代码,从而突破系统限制或隐藏自身,达到木马顺利运行的目的。比如在Windows环境使用系统内置程序PowerShell执行脚本,恶意代码仅存在于内存中,文件不落地,类似可使用的执行方式非常多。
命令控制:建立具有各种隐蔽级别的通道来操控目标设备或进入目标内网。比如通过WebShell(如Caidao、Weevely)、Reverse Shell(如Bash/Python/PowerShell)、远控木马RAT(如Cobalt Strike/Metasploit Meterpreter)、远程桌面访问软件(如TeamViewer/VNC),使用多层代理、传输加密、端口复用、Domain Fronting等方式、采用TCP/UDP/HTTP/HTTPS/DNS/ICMP/SMTP等网络协议,甚至模仿其他正常应用通信流量,做到实时监控和遥控目标设备;通过端口转发(如netsh/iptables)、Socks代理(如ssh -D)、HttpTunnel(如reGeorg)、企业VPN通道等方式穿透企业内网,突破网络边界。
防御躲避:利用检测对抗技术、攻击痕迹清除等方式逃避入侵检测、杀毒软件等安全系统的发现和追溯。比如使用肉鸡发起攻击避免暴露黑客真实IP,构造畸形请求包绕过WAF,将恶意代码注入到正常合法进程/文件内,利用白名单、反调试、无文件等手段绕过病毒检测(如使用知名企业合法数字证书给恶意程序签名),清除或破坏应用访问/系统登陆操作日志,降低行为活动频率等等。
权限维持:通过劫持合法程序、驻留系统自启动后门、创建隐藏管理员账户等方式实现长期控制,即使系统重启或重装也不会消失。比如替换系统辅助功能(如放大镜、软键盘)、劫持动态连接库、利用Windows服务启动项/Linux定时任务crontab配置随系统自启动、设置suid特权程序、安装bootkit木马、盗用原有合法账户密码等等。
第二阶段:扩大控制权
第三阶段:达成目的
具体攻击手法非常多,不是每次攻击都会涉及到方方面面。比如说攻击目的是获取某系统数据,假设该系统本身存在SQL注入漏洞,那直接从外网利用SQL注入漏洞获取数据就能达成目的,不用考虑那么多复杂的攻击手法,黑客会根据目的和现状倒推出最佳手段,而不是盲目开展。
安全演习也是如此,根据演习诉求和目的按需开展。MITRE ATT&CK攻击矩阵是一个基于全球APT组织真实入侵事件中整理出攻击战术、技术和过程的知识库,很有参考价值,不过有些操作实例不够详实,我们进行了细化和扩展,后续也会持续分享出来。
从理论到实战
古人云,纸上得来终觉浅,绝知此事要躬行。上文详述了网络攻击杀伤链,腾讯蓝军成军十余载,正是一个从理论到实战,从纸上到躬行的过程。
2016年,蓝军涉足风控安全,对腾讯前端风控安全开展多次红蓝对抗,提供大量优化建议和方向,帮助完善构建了基于前端的风控能力(腾讯防水墙了解一下)。
2018年,蓝军正式对外赋能,应数字广东、腾讯云的要求,蓝军对数字广东开展红蓝对抗演习,蓝军从远程渗透外网站点、员工钓鱼邮件攻击、抵达办公职场展开物理攻击等方面发起攻击发现多个安全风险,助力数字广东提高安全加固和防护能力。同时,在公安部去年组织的贵阳大数据及网络安全攻防演练活动中,由数字广东安全、腾讯云安全、科恩、腾讯IT、安平组成的蓝军联合团队凭借可攻可守的能力,进攻时获得了最高分,防守时保障靶标一直到演练结束都没有被攻破,成为唯一没被攻破的红色靶标,也荣获“技术创新一等奖”。
经过多年激烈的红蓝对抗演习,红蓝双方你追我赶,相互促进,公司安全防护体系有着非常大的提升,服务器安全系统(“洋葱”)、DDoS防护系统(“宙斯盾”)、Web应用防火墙(“门神”)、Web漏洞检测系统(“洞犀”)等公司安全系统的技术能力都取得了不错的提升。在腾讯产业互联网大战略下,这些系统也在进行沉淀总结,将十余年的安全积累输出到第三方用户,如联合腾讯云安全团队共同打造的大禹DDoS防护产品、护航“一部手机游云南”的洞悉产品、腾讯云红蓝对抗专家服务等,如检测覆盖网络攻击杀伤链各环节的“洋葱”对外也推出了产品化版本等。
另外在2012年成立的腾讯安全应急响应中心(TSRC),借助外部安全研究员/情报员的力量,鼓励在安全可靠的前提下和我们并肩作战,发现腾讯外网业务安全隐患和防护缺陷,至今有国内外数万名参与进来,这可以认为是腾讯蓝军的扩展延伸。在这里也非常感谢外部力量对我们的帮助。
热烈欢迎各位渗透测试/红蓝对抗专家投递简历加入我们,或者成为腾讯安全白帽,和我们一起守护亿万用户安全。
前路虽长、上下求索
网络安全的本质在对抗,对抗的本质在攻防两端能力较量,但攻防从来都是不对等的,攻击方优势远大于防御方,蓝军的存在就是帮助消灭不对等。首先,企业网络蓝军与国家级APT组织相比,在人力、物力、财力等资源投入存在非常大的悬殊,蓝军如何持续及时掌握最新APT攻击技术是非常有挑战的事情。其次,攻击场景众多以及业务需求旺盛,需要开展的演练工作非常多,人力有限的蓝军如何高效完成使命也非常有挑战。
相信未来会有更多企业建设网络蓝军,投入更多资源研究前沿APT攻击技术,以及建设更智能的蓝军自动化攻击平台提高演习效率。我们也会把实战演练中的技术心得、攻防思考等第一时间分享出来,敬请关注腾讯蓝军官方网站https://force.tencent.com/。