两周前开始的红蓝演习,到这周已经全部结束了。说说我的一些看法吧
一、红蓝对抗
红队主要集中在北京,5支队伍,20个人,用的是5G网络。
蓝队主要集中在上海,40多人的队伍。
红队具体分工我不是很清楚,但是蓝队拥有监控组、溯源组,溯源组内部也分为溯源和溯源反制。
我被分配至溯源组,可以得分,也可以对攻击者进行反制。
红队在开始前两天的攻击达到了非常频繁的程度,监控组监控到了大量的攻击行为,肉鸡的数量也非常之多。这时候溯源组要及时更新攻击IP的信息,掌握最新、最全的IP。然后进行批量地打POC,对肉鸡进行反抓取。
溯源组也需要在前两天进行快节奏反攻击,最快速拿到肉鸡的shell和system权限,并留好隐蔽性较强的后门,这次我就犯了一次比较严重的失误,当我拿下服务器的shell或者高权限的账号时,没有及时清理自己的入侵痕迹。结果往往是晚上拿下来的权限,结果后门第二天早晨就被红队清理掉了。
得到的教训:
一、溯源反制也要拥有和红队一样的警惕意识。将历史命令、登录痕迹、所有的操作日志全部清理掉,留下后门之后,比如什么冰蝎马、一句话木马更是首先清理掉。
二、最快速地留下高隐秘性的后门或者监控程序。维系好权限,做好隐藏,红队一般会在凌晨的时候选择攻击,当拥有后门之后,第一时间把监控程序放置在肉鸡当中,并做好进程隐藏,发现登录时,第一时间将IP登录情况反馈至邮箱或者任何可以接收到的地方。
在一开始红队的攻击会比较频繁,因为这时红队手里的肉鸡数量最多,随着一段时间蓝队监控组不断地对非法IP进行封禁,红队的攻击节奏也会慢慢缓下来。
前期红队主要是使用fofa等网络空间引擎、或者爬虫对公司资产进行信息收集,遇到登录界面会进行弱口令爆破等行为,由于肉鸡数量多,手里资本比较多,所以红队也会在前一段时间进行最快速的攻击,进入系统 => shell => 提权 => 横向渗透,外部的扫描也不会停顿,可以为最核心的攻击做好掩护。
但是在这个过程当中,蓝军,尤其对于溯源组是没有办法直接摸清红队的攻击节奏,溯源反制的目标很简单,就是找到谁在攻击,无论你红队攻击的战况如何,你是使用哪个服务器攻击,只要我最终抓到你,我就可以得分。
我认为溯源反制,一定要快、准、狠、地进行前、中渗透,像红队一样攻击。就像一个猎人,前期披荆斩棘拿下权限,中期打点挖陷阱做好诱饵,后期守株待兔等待鱼上钩。
红队则不同、前渗透、后渗透全部要快准狠,做好隐秘性的同时,进一步进行内网横、纵向渗透,言而总之,大概总结就是:攻击、准确地攻击、隐秘的攻击,打枪的不要。
###二、回归自身
随着一段时间高强度的红蓝演练,也发现了自身的一些薄弱点。
分为是身体、技术、精神的薄弱点,逐个分析。
####1、身体的薄弱点:
一天下来高强度的工作之后,人会变得懒散、精神涣散,不想动,到了晚上也会睡不着、精神容易呆滞。
所以下班之后,锻炼是不能够停下来的,游泳和无氧运动轮换着来,运动是强制的。
每周3-4次游泳、3-4次健身器械。
没有体魄,精神容易萎靡,精神萎靡做什么事都是白搭。
2、技术的薄弱点
- 建立自己的武器库(已经在准备着了,关注最新的漏洞POC和文章),这非常之重要!
- 后期留后门部分是我的知识薄弱点,8说了,肉鸡那么多,要练习。
- 编写监控程序、进行进程隐藏。
3、精神的薄弱点
阅读不能停,睡前30分钟。没有阅读、不看书,精神会容易枯竭。
三、改进和计划
不再喜欢固定、死板的计划了。
到了什么时间点,就干什么事情。
我的计划就是没有计划,把自己要做的事情一天天重复,就会成为习惯,在你想做一件事情又懒得做的时候,试着逼自己一下。
然后把做的不好的地方进行记录,后面还会反思的。
就像我记开门密码和单词一样,我从来不刻意去记,那样很痛苦。但是如果每天都需要使用,每天都有一个信念支撑着你的时候,你不会忘记你要做什么。
做好记录、定期反思、不断覆盘就是我的计划。
