兩週前開始的紅藍演習,到這周已經全部結束了。說說我的一些看法吧
一、紅藍對抗
紅隊主要集中在北京,5支隊伍,20個人,用的是5G網絡。
藍隊主要集中在上海,40多人的隊伍。
紅隊具體分工我不是很清楚,但是藍隊擁有監控組、溯源組,溯源組內部也分爲溯源和溯源反制。
我被分配至溯源組,可以得分,也可以對攻擊者進行反制。
紅隊在開始前兩天的攻擊達到了非常頻繁的程度,監控組監控到了大量的攻擊行爲,肉雞的數量也非常之多。這時候溯源組要及時更新攻擊IP的信息,掌握最新、最全的IP。然後進行批量地打POC,對肉雞進行反抓取。
溯源組也需要在前兩天進行快節奏反攻擊,最快速拿到肉雞的shell和system權限,並留好隱蔽性較強的後門,這次我就犯了一次比較嚴重的失誤,當我拿下服務器的shell或者高權限的賬號時,沒有及時清理自己的入侵痕跡。結果往往是晚上拿下來的權限,結果後門第二天早晨就被紅隊清理掉了。
得到的教訓:
一、溯源反制也要擁有和紅隊一樣的警惕意識。將歷史命令、登錄痕跡、所有的操作日誌全部清理掉,留下後門之後,比如什麼冰蠍馬、一句話木馬更是首先清理掉。
二、最快速地留下高隱祕性的後門或者監控程序。維繫好權限,做好隱藏,紅隊一般會在凌晨的時候選擇攻擊,當擁有後門之後,第一時間把監控程序放置在肉雞當中,並做好進程隱藏,發現登錄時,第一時間將IP登錄情況反饋至郵箱或者任何可以接收到的地方。
在一開始紅隊的攻擊會比較頻繁,因爲這時紅隊手裏的肉雞數量最多,隨着一段時間藍隊監控組不斷地對非法IP進行封禁,紅隊的攻擊節奏也會慢慢緩下來。
前期紅隊主要是使用fofa等網絡空間引擎、或者爬蟲對公司資產進行信息收集,遇到登錄界面會進行弱口令爆破等行爲,由於肉雞數量多,手裏資本比較多,所以紅隊也會在前一段時間進行最快速的攻擊,進入系統 => shell => 提權 => 橫向滲透,外部的掃描也不會停頓,可以爲最核心的攻擊做好掩護。
但是在這個過程當中,藍軍,尤其對於溯源組是沒有辦法直接摸清紅隊的攻擊節奏,溯源反制的目標很簡單,就是找到誰在攻擊,無論你紅隊攻擊的戰況如何,你是使用哪個服務器攻擊,只要我最終抓到你,我就可以得分。
我認爲溯源反制,一定要快、準、狠、地進行前、中滲透,像紅隊一樣攻擊。就像一個獵人,前期披荊斬棘拿下權限,中期打點挖陷阱做好誘餌,後期守株待兔等待魚上鉤。
紅隊則不同、前滲透、後滲透全部要快準狠,做好隱祕性的同時,進一步進行內網橫、縱向滲透,言而總之,大概總結就是:攻擊、準確地攻擊、隱祕的攻擊,打槍的不要。
###二、迴歸自身
隨着一段時間高強度的紅藍演練,也發現了自身的一些薄弱點。
分爲是身體、技術、精神的薄弱點,逐個分析。
####1、身體的薄弱點:
一天下來高強度的工作之後,人會變得懶散、精神渙散,不想動,到了晚上也會睡不着、精神容易呆滯。
所以下班之後,鍛鍊是不能夠停下來的,游泳和無氧運動輪換着來,運動是強制的。
每週3-4次游泳、3-4次健身器械。
沒有體魄,精神容易萎靡,精神萎靡做什麼事都是白搭。
2、技術的薄弱點
- 建立自己的武器庫(已經在準備着了,關注最新的漏洞POC和文章),這非常之重要!
- 後期留後門部分是我的知識薄弱點,8說了,肉雞那麼多,要練習。
- 編寫監控程序、進行進程隱藏。
3、精神的薄弱點
閱讀不能停,睡前30分鐘。沒有閱讀、不看書,精神會容易枯竭。
三、改進和計劃
不再喜歡固定、死板的計劃了。
到了什麼時間點,就幹什麼事情。
我的計劃就是沒有計劃,把自己要做的事情一天天重複,就會成爲習慣,在你想做一件事情又懶得做的時候,試着逼自己一下。
然後把做的不好的地方進行記錄,後面還會反思的。
就像我記開門密碼和單詞一樣,我從來不刻意去記,那樣很痛苦。但是如果每天都需要使用,每天都有一個信念支撐着你的時候,你不會忘記你要做什麼。
做好記錄、定期反思、不斷覆盤就是我的計劃。
