书名:内网攻防实战图谱:从红队视角构建安全对抗体系
ISBN:978-7-115-68097-6
本书由人民邮电出版社发行数字版。版权所有,侵权必究。
您购买的人民邮电出版社电子书仅供您个人使用,未经授权,不得以任何方式复制和传播本书内容。
我们愿意相信读者具有这样的良知和觉悟,与我们共同保护知识产权。
如果购买者有侵权行为,我们可能对该用户实施包括但不限于关闭该帐号等维权措施,并可能追究法律责任。
著 朱俊义 李国聪 皇智远
审 王一川 孔韬循
责任编辑 傅道坤
人民邮电出版社出版发行 北京市丰台区成寿寺路11号
邮编 100164 电子邮件 315@ptpress.com.cn
网址 http://www.ptpress.com.cn
读者服务热线:(010)81055410
反盗版热线:(010)81055315
在护网行动、攻防演练等实战场景中,内网安全已然成为决定对抗胜负的关键阵地,各类新型攻击手段层出不穷,给防御方带来严峻挑战。本书从红队攻击的基本原理到实际操作,系统梳理内网安全体系中红队所需的核心要点,力求为读者打造一本内容丰富、实用性强的内网安全攻防学习图谱,助力应对实战中的复杂挑战。
全书共分13章,涵盖了内网安全中的核心主题,其中主要包括红队初探、基础设施建设、信息收集、终端安全对抗、隔离穿透、数据传输技术、权限提升、横向移动、权限维持、域安全、Exchange安全、钓鱼投递技术以及痕迹清理等。
本书内容全面实用,涵盖了攻防演练中涉及的各种技术,并配有大量的实验演示,可帮助读者通过实际操作来巩固所学知识。本书尤其适合奋战在护网行动、网络攻防演练一线的网络安全从业者,无论是红队攻击人员、蓝队防御人员还是红蓝对抗中的协调统筹者,都能从中获取贴合实战需求的技术指引与策略参考。
随着网络安全威胁的持续升级,国家对信息安全的重视程度日益提升,保护国家与企业信息安全已成为国家战略的重要组成部分。内网安全作为信息安全的核心领域,是攻防对抗中最复杂、最具挑战性的环节之一。本书聚焦内网安全领域,通过系统梳理前沿技术与实战经验,助力从业人员提升内网安全防护与反制能力,为落实国家信息安全战略、守护国家和企业信息安全提供有力支撑。
——公安部第一研究所网络攻防实验室主任 管磊
当前,网络安全风险已深度嵌入经济社会运行的各个领域,持续侵蚀数字时代的发展根基。本书提炼的实战攻防技术,是提升安全人才能力、强化社会数字信任的关键支撑与实用工具,其价值在于以经济学思维优化全域防御体系,为筑牢国家经济安全防线、赢得战略博弈主动权提供核心支撑。
——经济学博士、陕西省政协常委 霍炳男
网络安全已成为国家安全和发展的关键支柱,同时也是各领域必须应对的严峻挑战。内网安全技术作为网络安全的重要分支,其研究与应用具有重大现实意义。本书内容丰富、实用性强,通过深入浅出的讲解,帮助从业人员深化对网络安全的认知,提升其实战技能,为培养高素质专业人才奠定基础。这对于强化网络安全建设、提升国家信息安全与网络空间治理水平具有积极推动作用。
——中国指挥与控制学会网安专委会副主任 刘毅
在信息化时代,内网安全的重要性愈发凸显。本书系统阐释内网安全攻防技术的原理与方法,深入剖析多种关键技术,不仅为读者构建了全面的内网安全知识体系,更为电子数据取证提供了多维度思路。对于加强内网安全建设、筑牢信息安全防线而言,本书具有重要的实践价值。
——电子信息现场勘验应用技术公安部重点实验室技术主管 王鲲
本书内容源自作者在长期攻防对抗中积累的实战经验,旨在以实战视角系统呈现真实的攻防技术。从攻击环境搭建到内网权限维持、横向渗透,本书由浅入深地解析红队攻击路线的关键技术细节,为网络安全从业人员提供了一本清晰易懂的“红队工作指导书”。
——国家信息技术安全研究中心金融安全事业部攻防负责人 孙英东
随着实网攻防演练的深入推进,各大企事业单位不断完善安全基础设施,内网逐步采用集群设备统一管理,并部署各类EDR安全设备,内网渗透门槛持续提高。本书详细讲解了内网渗透中的终端对抗、网络穿透与横向移动等核心内容,全面阐述内网攻防要点,并以实战方式呈现最新横向技术,是值得读者反复查阅的实用指南。
——国家特种计算机工程技术研究中心安全专家 吴鉴文
本书立足实战视角,系统拆解内网渗透的完整攻击链与反制核心,同时融入大量前沿攻防理论与真实战例,让技术逻辑与实战场景紧密结合。企业安全团队可借此铸就铜墙铁壁般的纵深防御体系,锻造攻防兼备的核心能力。本书不仅是技术指南,更是让防御者站在攻击者肩上思考的不可多得的实战宝典。
——唯品会首席安全官 杨文峰
本书从攻防对抗的角度出发,结合工具实操与实战案例,生动呈现了漏洞利用与安全对抗中的复杂场景。作者通过独到的理解,为读者提供了全新的突破思路——在夯实基础知识的同时,引导读者对安全技术进行深度探究。这种沉浸式的内容呈现,将给读者带来独特的安全学习体验。
——德国电信咨询公司中国区CoE安全风险与合规经理 杨麟
本书以红队视角构建知识体系,系统展现了内网安全攻防的核心逻辑与实战方法。本书内容贴近实战,逻辑清晰,可操作性强,是企业安全建设人员、红队人员和其他安全研究人员的重要参考读物。
——唯品会安全运营总监 姚想良
在信息化时代,网络安全是国家安全的重要组成部分,也是企业发展的核心保障。本书站在攻击角度,介绍了丰富的实战知识与技巧,为企业内网安全防御提供了清晰指导,对企业信息安全保护具有重要参考价值。强烈推荐给所有关注网络安全的企业与个人。
——内蒙古万邦信息安全科技有限公司总经理、OWASP内蒙古负责人 呼和
本书是内网渗透领域的实用佳作,为安全专业人员提供了发现与利用内网漏洞的详尽指导。本书涵盖内网渗透的多种技术、工具与技巧,并强调红队渗透测试的思维方式与方法论,构建了完整的渗透测试流程与策略。无论读者是新手还是资深专业人士,都能从中获得有价值的知识与洞见。
——腾讯云鼎实验室安全总监 李鑫
本书系统梳理了内网安全的核心概念与关键技术,涵盖信息收集、漏洞利用、权限提升、横向移动等全流程环节,并通过实际案例剖析攻防策略,为读者呈现内网安全领域的最佳实践。无论是红队新手还是寻求进阶的安全人员,都能从中汲取养分。强烈推荐给所有关注内网安全与渗透测试领域的读者。
——美图秀秀信息安全负责人 李浩
本书内容丰富,实用性强,涵盖内网安全攻防的关键技术与方法。无论读者是网络安全从业人员,还是安全爱好者,都能通过本书理解网络安全攻防的实现原理与应用场景,全面提升攻防能力。
——天融信网空对抗中心总监 郭厚坛
本书通过深入剖析内网渗透测试案例,全面覆盖终端对抗、网络穿透、横向移动等关键技术,以实战视角详解最新内网攻防技巧,为内网安全学习者提供了极具参考价值的实践指南。
——某央企攻防研究中心前总监 陈锐坚
在数字化时代,数据安全已成为各国政府与企业的首要关切。本书作为一本深入探讨内网红队攻防的实用指南,提供了全面的技术指导,可帮助读者了解内网攻击手段与防御策略。本书尤其对最新的AD域漏洞与Microsoft Exchange安全问题进行了深度剖析,并给出解决方案,为读者提供了前瞻性视角。无论是中国的信息安全从业人员,还是全球范围内的安全从业人员,本书都值得一读。
——360漏洞云副总经理,HackingClub联合创始人 TNT
在攻防对抗级别持续升级的当下,红队生存环境愈发严峻,而业界恰缺乏此类详尽的技术对抗指南。本书内容翔实,知识覆盖面广,堪称网络安全领域极具实战价值的实用宝典。
——顺丰蓝军负责人 张博贤
跨境电商的全球业务版图如同精密齿轮,一次内网渗透可能引发安全惨案,受到当地法律法规处罚。本书以“全域对抗”视角重构攻防体系——从终端权限维持、AD域漏洞利用到网络穿透与横向移动,深度耦合多数大企业的真实业务场景。这是一本网络安全新人、红队攻防新人、甲乙方安全建设者都适合阅读的内网安全攻防指南。
——SHEIN代码审计与安全测试负责人 钟伟鹏
这是一本内容全面、实用性强的网络安全著作。作者以通俗易懂的语言,系统讲解信息收集、终端对抗、网络穿透、横向技巧、AD域漏洞分析等知识,并辅以丰富的实战案例与演示。本书可帮助读者掌握网络安全领域的核心技术与方法,提升攻防水平。
——清远市网络空间安全工程技术研究开发中心负责人 郭锡泉博士
从安全从业人员的视角来看,内网横向失陷的范围与网络安全事件的紧急程度、危害程度直接相关。随着近十年企业数字化转型的推进,企业内网安全已成为重中之重,如何高效提升内网防御能力始终是行业焦点。本书系统梳理了内网攻防对抗的前沿理论与成熟经验,结合实践案例分析,既能帮助企业管理层理解内网安全的价值,也能助力从业者提升横向渗透水平。
——凌日实验室创始人 王峻邦
若以红队视角阅读本书,你定会为其中的攻击手法、思路与切入角度惊叹不已。在对抗场景中,那些新奇的策略与技法,总能从极端环境里发掘出看似无从下手的突破点——这既是黑客探索精神的生动写照,更是扎实技术功底与广博知识面的有力证明。翻开本书,你将能深入领略多样对抗思路与手法,洞悉红队如何突破层层阻碍直取目标的逻辑,从容应对工作与技术研究中遇到的各类极端情境。
——上海计算机软件开发技术中心网安所安全研究员/T00LS版主 李复星
本书对传统攻击手段与工具进行了创新性拓展,并将新兴技术与工具灵活应用于实战场景。本书深刻诠释了红队的本质与目标,展现了如何以隐蔽高效的方式突破防线,在对抗中思考,在博弈中突破,值得每一位安全从业者学习借鉴。
——安永全球有限公司 周涛
纵观全球,美国、以色列及欧洲地区推出的NIST、Cybok等主流框架,为安全有生力量的建设奠定了基础,红队行动(redteaming)已成为关注焦点,然而国内尚未形成对应的体系化内容。本书的出版,恰好填补了红队行动框架(redteaming framework)方面的空白,是体系化理解红队的绝佳参考。
——资深海外网络安全专家 杨劲松
本书深入浅出地讲解了内网攻防的核心技术并提供了实用工具与策略。此外,还分析了最新网络安全威胁与趋势,帮助读者及时做好防范准备。作者以深厚的专业积累,将复杂技术概念转化为通俗语言,展现了对内网攻防技术的深刻理解。本书值得每一位安全从业者研读。
——顺丰科技 曾毅
朱俊义:现就读于广州大学黄埔方班,曾为绿盟科技平行实验室研究员,获得全国大学生信息安全竞赛(CISCN)等多个国家级、省级赛事奖项,并参与多次省部级、国家级网络安全攻防演练对抗。目前研究方向为强化学习、安全垂域大模型应用等。
李国聪(李木):唯品会蓝军,曾任天融信网空对抗中心安全研究员,多次参与省部级、国家级网络安全攻防演练对抗以及大型企业红队评估等工作;曾受邀于互联网安全大会(ISC)、HackingClub 等多个平台发表议题演讲。目前专注于安全开发生命周期建设、企业安全建设。
皇智远(陈殷):御数维安团队负责人、呼和浩特市公安局网络安全专家、中国电子劳动学会专家委员会成员,多年网络安全从业经验,曾受邀于ISC、FreeBuf网络安全创新大会(FCIS)等多个平台发表议题演讲;译有《API攻防:Web API安全指南》《EDR逃逸的艺术:终端防御规避技术全解》;目前专注于安全开发和网络对抗技术的研究落地。
王一川:西安理工大学计算机科学与工程学院教授、网络空间安全研究院执行院长,博士生导师。此外,还担任陕西省网络计算与安全技术重点实验室副主任、陕西省“四主体一联合”网络对抗智能化校企联合研究中心主任、陕西省计算机学会网络空间安全专委会秘书长等职务。曾主持国家自然科学基金等多项科研项目,发表SCI检索论文60余篇,授权发明专利30余项。当前致力于网络空间安全技术攻关与人才培养,研究成果广泛应用于央企及大型互联网平台。
孔韬循(K0r4dji):网络安全行业专家、中国网络空间安全人才教育联盟专家讲师,曾先后任职于中国电子信息产业集团有限公司、三六零数字安全科技集团有限公司、杭州安恒信息技术股份有限公司等多家企业,工作聚焦两大核心领域:人才生态建设,涵盖课程设计、师资培养等;安全运营与技术实践,涉及渗透测试、应急响应、重保值守及支撑全流程的项目管理等。同时,还担任过多场网络安全大赛及行业大会的主持人与解说员,深度参与赛事及会议的知识转化,并辅助相关单位精准筛选和推荐优秀网络安全技术人才。
在攻防博弈持续升级的数字战场,红队视角下的对抗推演已成为检验安全防护体系的核心标尺。本书源于我对攻防技术的沉淀与实践案例的积累,既是对既往攻防项目的系统复盘,亦是对未来安全范式的前瞻思考。作为申博期间的心血之作,章节字里行间不仅承载着攻防技术脉络,更凝结着我求学从业以来的热爱与情怀。
特别感谢导师王乐教授,您的悉心栽培是我成长路上的可靠助力。感谢组员张晨晖、詹如风、陈婵、胡荣鑫,你们的支持协作是构建本书实验环境以及最终成稿不可或缺的助力。衷心感谢其他作者以及人民邮电出版社傅道坤编辑团队的付出,本书的顺利付梓离不开大家的努力与汗水。
特别感谢我的家人,在我求学的道路上一直给予支持,让我能全心专注于学习。
本书凝聚了众人的心血,希望本书能为红队从业者深化攻击维度的认知,或为安全防御体系建设者拓维破局提供思路。
——朱俊义
面对日益高级的威胁模型与攻击路径,唯有主动出击、以攻促防,才能真正构筑稳固的安全防线。2022年,我从天融信网空对抗中心(攻防实验室)离职后,便开始酝酿本书的写作。这一过程中,与陈殷在多个红队项目中积累的长期合作,以及其间不断的理念碰撞,也为本书的创作提供了重要启发与支撑。本书既是对过往技术积累的一次整理,也是一段面向未来的探索起点,更是我们在沉淀期携手打造的成果。
衷心感谢在我初入网络安全行业时给予无私帮助与鼓励的前辈与朋友:陈桂平、赖品行、李晓灿、吴华杰、吴鉴文、吴伟炫、余灿泽和朱杰,感谢你们一路同行。感谢曾经并肩作战的伙伴们,他们(按拼音顺序)包括但不限于:Bea1ee、陈德豪、陈東、格林、黄涛、李嘉涛、李君颐、李照洋、李文瑜、刘嘉荣、刘瀚文、孙丰晟、Tao、谭谦剑、v_ghost、Wep、吴焕亮、严宇、张开楠、张小吵、钟伟鹏。
特别感谢我的父母、李梅珍以及廖美妮,在我求学、成长、写作的每一个阶段,始终给予我无限的理解、包容与支持。感谢陈锐坚、郭厚坛、郭锡泉、李鑫、TNT、王峻邦、吴鉴文、杨文峰、曾毅、张博贤、钟伟鹏等专家(按拼音顺序)对本书的认可以及推荐。
本书的完成,凝聚了太多人的智慧与心力。如果说它能为读者带来一点启发或助益,那其中也一定有你们每一个人默默的支持与成全。
——李国聪
在数字技术快速演进的当下,网络安全的边界也在不断被重新定义。红队攻防的价值,正是在于帮助我们发现并修复体系中的薄弱环节,从而推动整体安全能力的持续提升。
2023年除夕夜,万家团圆之际,我和李木仍在线上讨论书稿的章节安排和内容取舍。从业以来,我们受多家企业委托开展红队评估行动,在一次次实战中看到了数字化体系中真实存在的安全风险短板,于是决定把部分可公开的知识和方法整理出来,与更多人分享。
衷心感谢在本书写作过程中给予巨大支持与鼓励的朋友与家人(按拼音顺序):窦冰玉、呼和、霍炳男、冀伟、李国聪、李颖波、罗骏璋、田果、王根生、王杰、王鲲、王一川、吴焕亮、杨劲松、张腾。
特别感谢我的家人,始终给予我无条件的支持与包容,是你们让我心无旁骛地追寻热爱的方向。
感谢人民邮电出版社的傅道坤老师,在内容打磨、结构策划与专业细节上给予了悉心指导,为本书的完成提供了坚实保障。
感谢管磊、呼和、霍炳男、李复星、李浩、刘毅、孙英东、王鲲、杨麟、杨劲松、周涛等多位行业内外专家(按拼音顺序)对本书的认可与大力推荐。
愿本书能够为更多红队研究者与安全从业者带来启发。也愿我们都能在各自的安全事业之路上,步步为营,心怀热忱。
——皇智远
网络安全是当今时代的重要话题之一。在过去的几十年里,互联网的发展和普及给我们带来了无数的好处,但也带来了越来越多的网络安全威胁。网络安全威胁不仅对个人和企业造成了极大的经济损失,也对国家安全和社会稳定造成了不同程度的影响。
随着互联网技术的发展,网络安全威胁也变得越来越复杂和难以预测。网络攻击者的攻击手段不断升级和变化,以往的安全防御措施已经无法满足现代网络安全的需求。网络安全问题已经成为各个行业和领域必须面对、解决的问题。而攻防演练与护网行动作为检验和提升网络安全防护能力的实战化载体,其重要性愈发凸显——它们通过模拟真实攻击场景,暴露防御体系的薄弱环节,推动企业和机构从“被动防御”向“主动对抗”转型,是锤炼安全团队实战能力、筑牢网络安全防线的关键抓手。
在攻防演练和护网行动中,内网安全往往是对抗的核心战场。内网作为组织核心数据和业务系统的承载地,一旦被突破,极易引发系统性安全风险。许多高级攻击正是通过渗透内网、横向移动、窃取敏感信息等方式造成重大损失,因此内网安全的防护与对抗能力,直接决定了整个网络安全体系的稳固程度。
本书是一本以红队为视角的网络安全图书,而红队视角的价值正在于从攻击方的思维出发,深入剖析内网攻击的路径、手法与逻辑。这种视角能够帮助读者跳出传统防御的局限,更精准地预判攻击意图、识别潜在风险,进而构建更具针对性的防御体系。本书旨在通过对网络安全基本原理、威胁和攻击手段、安全防御技术和实践经验的介绍,帮助读者全面认识网络安全的重要性,深入了解红队攻击和防御的基本原理、策略和技术,提高网络安全防护能力,更好地理解红队攻击的本质,提高自身的安全水平,达到以攻促防的目的。
本书共分为13章,内容由浅入深,从基础到实战,涵盖了内网安全实战领域的相关知识。
● 第1章,红队初探:主要介绍网络攻防演习概念、红队评估和常见的攻击模型,以及一些常见的APT组织及其攻击手法。
● 第2章,基础设施建设:围绕C2架构的设计、渗透测试工具Cobalt Strike的部署与应用,以及内网实验环境的搭建进行讲解。
● 第3章,信息收集:介绍了如何在Windows和Linux环境中收集信息,包括使用不同的方法进行信息收集,以及凭证获取技术和自动化分析技术。大量的数据源意味着更大的攻击面,细致的信息收集往往能为我们打开通往核心目标的捷径。
● 第4章,终端安全对抗:主要讲解Windows和Linux系统下的安全对抗方法,包括绕过用户账户控制(UAC)、进程注入、使用 C#执行攻击载荷、绕过杀软检测、绕过安全策略等。对红队人员来说,绕过终端设备的限制是必备技能,掌握此类技术可以让红队在整个工作周期中畅通无阻。
● 第5章,隔离穿透:主要探讨如何穿透网络隔离以实现对受保护资源的访问。本章围绕多种流行的工具对常见隧道和代理技术进行细致的介绍,同时给出了命令行界面下进行的数据压缩技术,以及利用C2、系统、云OSS进行数据传输的方法。
● 第6章,数据传输技术:聚焦于红队在复杂环境下如何高效、安全地传输数据,涉及文件分割、压缩、编码与混淆传输方法,并介绍了 certutil、BITSAdmin工具和云平台(如OSS、OneDrive)等在隐匿通信中的应用。
● 第7章,权限提升:主要介绍如何在Windows和Linux下,通过多种方法利用漏洞和配置错误提升访问权限,从而获取更高级别的系统控制。本章包含了大量的手工测试和自动化测试案例,可为读者提供借鉴与参考。
● 第8章,横向移动:讨论如何在网络中进行横向移动,涉及使用密码喷洒、IPC、WnRM和DCOM等多种自动化技术以扩大在内网的攻击范围,获取更多的目标权限。
● 第9章,权限维持:主要介绍在获得权限后如何保持对目标系统的控制,以实现持续化控制。
● 第10章,域安全:主要讲解域环境下的红队测试点,其中涉及域安全模型、身份认证(如NTLM、Kerberos等认证技术)、常见域漏洞分析与利用、域提权等知识。
● 第11章,Exchange安全:对内网中流行的Microsoft Exchange邮件服务器架构体系、常见漏洞分析和漏洞利用等多个方面进行了详细讲解。
● 第12章,钓鱼投递技术:讲解钓鱼邮件的构造、伪造手段、邮件批量发送机制、诱饵文档制作、宏木马与恶意LNK文件生成技巧,同时介绍网页钓鱼与社工页面仿真技术。
● 第13章,痕迹清理:介绍红队在行动后清除作案痕迹的手段,包括Windows和Linux下的日志清理、命令记录删除、事件查看器清洗等,旨在避免被蓝队溯源。
本书具有如下几个方面的特色。
● 全面性:本书涵盖内网安全攻防领域的多个方面,包括信息收集、权限提升、终端安全对抗、AD域漏洞分析、Microsoft Exchange安全专题等与红队相关的内容。不同层次与水平的读者都可以从本书中获得所需的知识和技能。
● 实用性:本书以实用性为核心主旨,配备大量的实验、演示和练习,以确保读者通过实际操作巩固所学知识,并深入了解网络安全的实践应用。本书还介绍了一系列实用的技术和工具,通过这些技术与工具的合理使用,可有效地应对网络安全威胁和漏洞。
● 易读性:本书在写作中刻意弱化专业术语与复杂技术概念的堆砌,转而以简洁直白的语言拆解网络安全知识,帮助读者轻松理解并掌握内网攻防的核心要点与实操技能。
本书适合以下几类人群阅读。
● 网络安全从业人员:本书提供了深入的内网安全攻防技术和实践经验,为网络安全从业人员(如网络安全工程师、攻防对抗人员、护网人员、安全运维人员等)提供了有益的信息和参考。
● 网络管理员:作为企业和机构中网络系统与应用的管理人员,网络管理员需要掌握一定的网络安全知识和技能,以便保护内网安全。
● 安全爱好者和学生:对网络安全感兴趣的爱好者和学生可从本书中获得网络安全的基本知识和技能,更好地了解内网安全攻防。
尽管本书经过了精心的编辑和校对,但是难免会有错误和遗漏之处。如果读者在阅读本书的过程中发现了任何问题,欢迎通过下面的方式联系我们。
● dnsil@qq.com(李国聪,微信公众号“黑白天实验室”)
● polaric@vip.qq.com(皇智远,微信公众号“过度遐想”)
若你在学习过程中需要本书相关的参考资料、实验室环境搭建指南或代码示例等支持,欢迎随时联系我们。我们将竭力提供所需协助,助力你更好地理解与运用书中知识技能,并会尽快回复以解决你的问题。感谢你对本书的支持与信任。
本书提供如下资源:
● 本书思维导图;
● 异步社区7天VIP会员。
要获得以上资源,您可以扫描右侧二维码,根据指引领取。
作者和编辑尽最大努力来确保书中内容的准确性,但难免会存在疏漏。欢迎您将发现的问题反馈给我们,帮助我们提升图书的质量。
当您发现错误信息时,请登录异步社区(https://www.epubit.com),按书名搜索,进入本书页面,点击“发表勘误”,输入勘误信息,点击“提交勘误”按钮即可(见下页图)。本书的作者和编辑会对您提交的错误信息进行审核,确认并接受后,您将获赠异步社区的100积分。
我们的联系邮箱是fudaokun@ptpress.com.cn。
如果您对本书有任何疑问或建议,请您发邮件给我们,并请在邮件标题中注明本书书名,以便我们更高效地做出反馈。
如果您有兴趣出版图书、录制教学视频,或者参与图书翻译、技术审校等工作,可以发邮件给我们。
如果您所在的学校、培训机构或企业,想批量购买本书或异步社区出版的其他图书,也可以发邮件给我们。
如果您在网上发现有针对异步社区出品图书的各种形式的盗版行为,包括对图书全部或部分内容的非授权传播,请您将怀疑有侵权行为的链接发邮件给我们。您的这一举动是对作者权益的保护,也是我们持续为您提供有价值的内容的动力之源。
“异步社区”是由人民邮电出版社创办的IT专业图书社区,于2015年8月上线运营,致力于优质内容的出版和分享,为读者提供高品质的学习内容,为作译者提供专业的出版服务,实现作者与读者在线交流互动,以及传统出版与数字出版的融合发展。
“异步图书”是异步社区策划出版的精品IT图书的品牌,依托于人民邮电出版社在计算机图书领域的发展与积淀。异步图书面向IT行业以及各行业使用IT的用户。
在网络安全领域中,红队是指攻防演练中的攻击方,是一支以攻促防、用于提升整体安全能力的专业团队。在攻防演习过程中,红队会使用各种策略和工具,对目标系统的人员、软件、硬件等各个层面发起全面的模拟攻击。这些攻击可能包含提升系统权限、控制业务流程、获取关键数据等行动,旨在揭示系统、技术、人员及基础架构中潜藏的安全风险或薄弱环节。识别到安全隐患后,红队将与防守团队紧密协作,制定更有效的防御策略,为组织提供切实可行的安全加固措施,确保未来的安全防护能有效抵御潜在威胁。
为了更好地理解和分析红队的攻击行为,本章还介绍了指导红队行动的攻击模型、安全风险参考列表的应用,以及常见的APT组织。
本章涵盖的主要知识点如下:
● 网络攻防演习、渗透测试和红队的基本概念及其现实意义;
● 常见的攻击模型(如PTES模型、MITRE ATT&CK模型和网络杀伤链)的基本概念及应用;
● 安全风险参考列表(如OWASP Top 10和CWE/SANS Top 25)的介绍及应用;
● 常见的APT组织(如APT29、Lazarus Group和APT32)的介绍。
攻防演习旨在通过模拟真实的网络攻击场景,对安全防护机制进行全面、客观的测试与评估。在获得正式授权并确保攻防过程可控的前提下,攻防演习能有效帮助组织发现并修复安全漏洞,提升安全防护能力。
为了确保攻防演习的高度真实性和有效性,主办方会构建多样化的攻击场景和漏洞模拟,涵盖操作系统漏洞、应用程序安全隐患及钓鱼攻击等。因此,攻击方需深入研究并熟练掌握各类攻击技术与策略,包括渗透测试、漏洞利用、后渗透技术、数据窃取、隐蔽通信及社会工程学等。
在攻防演习中,红队担任攻击角色,负责运用已知的安全漏洞、攻击手段与工具,模拟真实网络环境下的攻击行为;蓝队作为防守一方,需运用各类安全防护技术及策略应对红队进攻,实施实时防御与溯源反击;指挥部门或裁判/组织方则负责组织与协调整个演习,全程监控过程,并提供技术指导,以确保演习顺利进行。
演习结束后,主办方会对整个演习过程进行详尽复盘与深入分析,评估攻击方与防御方的表现,识别短板与不足,为下一次网络安全攻防演习提出针对性的技术改进措施与策略优化建议。
对企业与组织而言,网络安全攻防演习可在实战环境中检验和提升自身能力,有效识别和解决内部潜在的安全风险,有助于提高网络安全防御整体能力,确保关键信息与资产安全,为应对真实网络攻击做好充分准备。红蓝攻防的总体运行逻辑如图1-1所示。
图1-1 红蓝攻防的总体运行逻辑
注:
自2016年起,我国启动了网络安全攻防演练比赛(以下简称比赛)。该比赛自试点阶段便以高度实战性和广泛参与性,逐渐演变为一项为期14天、遍及全国各地的常态化活动。比赛组织方包括国内各大安全厂商及靶标单位,攻防目标覆盖各大企事业单位、政府部门和大型企业,尤其是对信息安全至关重要的行业。此类实战演习旨在提升我国网络安全从业人员的专业技能,完善安全防御体系,推动国内安全行业的持续发展与进步,为我国关键信息基础设施及公民数据安全提供更坚实的保障。
为了了解演习过程,我们以美国2022年3月进行的名为“网络风暴”(Cyber Storm)的系列攻防演习为例进行介绍。该演习吸引了超过2000名参与者,共同演练网络事件应对计划。
演习中,各单位共同设定主要目标:通过实施既定政策、流程与程序,识别并应对影响关键基础设施的多部门重大网络事件,提升国家在网络安全方面的准备与应对能力。
此次演习的主要参与方包括:
● 美国各级联邦政府部门与机构;
● 各州与地方政府;
● 关键基础设施行业(如化工、商业设施、通信、关键制造业、能源、金融服务、医疗保健与公共卫生、信息技术、交通运输、水务与废水处理系统)的特定行业合作伙伴;
● 国际合作伙伴。
演习场景精确模拟真实世界中的网络安全事件,要求参与者在演练中紧密协作,实时共享情报,并迅速作出反应与决策,以确保关键信息基础设施的安全性与稳定性。
CS赛事分为5个阶段,全程历时约15个月,各阶段的工作内容如图1-2所示。
图1-2 CS赛事的5个阶段
● 阶段1:需求分析
该阶段聚焦于奠定演习基础,主要包含下面两项核心工作。
❏ 招募工作:集中招募参与者和利益相关方,确保各方积极参与演习并贡献专业知识。
❏ 概念与目标会议:参与者讨论演习的总体概念和具体目标,明确演习方向和预期成果。
● 阶段2:设计与开发
基于需求分析成果,该阶段着重于演习方案的具体化构建,通过三次关键会议推进。
❏ 初步规划会议:团队成员召开会议,讨论演习的基本框架、目标和初步计划,为后续工作奠定基础。
❏ 中期规划会议:评估当前进展,调整计划,确保所有参与者对演习方向和目标保持一致。
❏ 主要情景事件列表会议:团队制定详细的事件列表,明确演习中模拟的情景和具体事件,确保演习的有效性和针对性。
● 阶段3:准备
完成方案设计后,团队需开展全方位的准备工作以确保演习落地,核心是召开最终规划会议。在该阶段,团队进行最后的准备,确认演习的所有细节,包括时间表、参与者角色及各项任务,确保演习顺利进行。
● 阶段4:实施
所有准备工作就绪后,将进入关键的演习实施环节。在该阶段,团队按预定计划进行演习,模拟各种情景,测试应急响应能力和协调机制,确保各参与方有效合作。
● 阶段5:评估与总结
演习执行完毕后,需通过系统性评估提炼经验与改进方向。在该阶段,团队回顾演习整体表现,分析成功之处和改进空间,制定后续改进计划和最佳实践。
在网络安全评估体系中,渗透测试与红队评估是两种既相互关联又各有侧重的技术手段。前者作为基础安全检测方式,为后者的全面模拟攻击提供技术支撑;后者则在前者的基础上,通过更贴近实战的场景设计,实现对组织安全防御体系的深度检验。以下从渗透测试的核心机制与实践应用展开具体阐述。
渗透测试是一种主动的安全防护策略,通过模拟黑客的攻击手法和技术,全面评估信息系统、网络或应用程序,以识别潜在的安全风险。测试结束后,测试人员会为企业提供详尽的安全风险评估报告,为修复安全漏洞和增强防御措施提供重要依据。
执行渗透测试任务时,测试人员主要负责实施Web渗透测试和漏洞挖掘。他们依据OWASP Top 10和SANS Top 25中列出的常见安全漏洞,对目标系统进行深入评估,通常使用概念验证(Proof of Concept,PoC)的方法,验证所识别的漏洞是否真实存在。
传统的渗透测试手段无法全面覆盖网络攻击面,如公共Wi-Fi和门禁系统等,而这些方面存在不容忽视的安全隐患。鉴于此,红队评估作为更全面深入的安全评估方式,可有效协助组织识别并修补潜在的安全漏洞,提升整体安全防护能力和应急响应水平。
红队评估是针对授权组织的全面模拟攻击流程,旨在深入分析其安全防御措施的有效性与稳固性。这项工作由资深安全工程师团队负责,他们根据组织的特定需求与期望,运用各种先进的攻击技术和工具,模拟真实世界中的复杂攻击场景。
这些攻击手段涉及网络、社交工程、物理入侵等多个角度。通过精细的模拟攻击,红队评估专家能够全面评估组织的安全防御体系,并据此提供针对性的安全强化方案,进一步提升组织的安全防护能力。
红队评估工作流程涵盖以下主要环节。
● 情报收集:红队成员全面搜集目标组织的相关情报,包括网络架构、应用程序、操作系统、安全策略及现场安全措施等细节信息,如办公环境布局、设备安置、门禁系统设置和安保人员配置等。
● 方案制定:基于收集的情报,红队设计详细的攻击计划,明确攻击的具体目标、方式、时间和工具选择等关键要素。
● 实施线上攻击:红队成员按既定计划执行线上攻击,详细记录攻击过程中的每一步骤,以便后续工作成果的移交。
● 执行抵近攻击:抵近攻击作为模拟攻击方式,旨在评估目标组织的物理安全防御措施的强度和有效性。红队成员进入目标组织实体空间,进行现场侦察,识别潜在入侵点和安全漏洞,并可能运用物理手段绕过密码门禁、刷卡认证和指纹识别等安全措施,获取目标区域访问权限。
● 凭证收集:红队成员整理攻击过程中收集的所有凭证,包括获取的敏感数据(如密码、证书)等重要信息。
● 撤离与痕迹清除:评估工作完成后,红队成员有序撤离攻击现场,并采取措施清除留下的痕迹,防止被目标组织发现。
● 结果分析:红队成员对收集的证据进行深入分析,编写评估报告,详细列出发现的安全漏洞和弱点,并提供有针对性的解决方案,协助目标组织修复和维护。
构建红队面临诸多挑战,包括基础设施的选择、沟通平台的确定,以及红队成员的选拔与培育等,均需严谨对待,只有这样才能打造一支高度组织协调的团队。打造高效红队时,需审慎考虑团队成员的技能水平、实战经验及可获得资源等关键因素,确保合理地分配任务,最大程度地发挥各成员专长,提升团队整体效能。
在小型安全竞赛中,典型的红队架构包括如下角色。
● 队长:需具备卓越的综合素养,以及优良的组织协调能力、应变能力和丰富的实战经验,引领团队高效运作。
● 队员1:应具备资产收集与分析能力,熟练运用开源情报收集技巧,深入了解社会工程学原理,为团队提供情报支持和策略分析。
● 队员 2:需精通Web攻击技术,具备构建红队评估所需武器库的能力,以增强团队技术实力,丰富攻击手段。
● 队员3:掌握免杀对抗技巧,能在内网环境中进行横向渗透测试,提高团队对内部安全漏洞的发现和应对能力。
前文简单阐述了渗透测试与红队评估的概念,二者的关联与本质差异如下。
从根本上讲,渗透测试与红队评估均属于常见的评估方法,目的都是针对组织的安全性进行评估,且采用的技术与工具具有一定相似性。但渗透测试的核心目标是特定的系统或应用,致力于挖掘其中潜在的安全漏洞和弱点;而红队评估则采用更全面的安全评估策略,模拟真实攻击场景,对组织整体的安全性进行深入探究。
值得注意的是,由于红队评估的复杂性和综合性较高,相较于渗透测试,它需要更高级的技能和更多的资源。表1-1详细展示了二者的具体区别。
表1-1 渗透测试与红队评估的区别
| 渗透测试 |
红队评估 |
|
|---|---|---|
| 目的 |
验证系统或应用的安全性 |
测试组织的整体安全性 |
| 范围 |
特定的系统或应用 |
整个组织的网络、系统、应用和人员 |
| 步骤 |
信息收集、漏洞扫描、攻击尝试和利用漏洞获取系统权限等 |
模拟真实攻击,测试组织的防御能力和反应能力,发现安全漏洞和弱点 |
| 报告 |
针对漏洞的具体修复建议 |
全面的安全建议和改进方案 |
| 难度和资源 |
相对简单,需要较少的资源 |
相对复杂,需要更高级的技能和更多的资源 |
在网络安全领域,攻击模型不仅可为红队攻击提供行动指南,还能协助组织全面认识网络攻击,预防潜在的安全风险,从而推动最佳实践。下面详细介绍几种攻击模型。
PTES(Penetration Testing Execution Standard,渗透测试执行标准)模型是业界广泛采纳的渗透测试步骤指南。该模型基于渗透测试的最佳实践和安全标准,旨在为渗透测试人员提供标准化的方法,用以规划、执行和管理渗透测试过程。
遵循PTES模型,渗透测试人员可更好地组织和执行测试,确保获得最佳结果。表1-2详细列出了PTES模型涉及的渗透测试不同阶段及其任务描述。
表1-2 PTES中渗透测试的不同阶段以及任务描述
| 阶段 |
任务描述 |
|---|---|
| 信息收集 |
通过各种手段获取目标系统的相关信息 |
| 侦查 |
分析信息收集阶段收集的信息,确认目标系统的位置、操作系统和网络架构 |
| 扫描 |
使用各种工具和技术对目标系统进行漏洞扫描和安全评估 |
| 突破 |
利用漏洞攻击目标系统并获取管理员权限 |
| 持久化 |
保持对目标系统的访问并尝试收集更多信息 |
| 分析 |
对测试过程中收集的数据进行分析和评估 |
| 报告 |
根据测试结果生成详细报告,并提供修复建议 |
MITRE ATT&CK模型由MITRE公司精心打造,旨在全面描绘攻击者可能运用的多元技术与战术,并提供通用分类框架,以深入理解攻击者的行为与动机。
ATT&CK模型覆盖了上百种不同的战术与技术,可协助各组织更精准地把握威胁行为及攻击者技术,进而优化攻击检测与防御策略。各阶段执行步骤及相应的解释如下。
● 侦察(Reconnaissance):攻击者发起攻击前,对目标系统与网络进行深入侦察,搜集目标相关信息,如IP地址、网络拓扑、系统配置、员工邮件、社交媒体动态等。
● 资源开发(Resource Development):攻击者利用公开信息及其他手段,搜集目标系统、应用及服务的详细信息,识别潜在的可攻击漏洞与弱点。
● 初始访问(Initial Access):攻击者借助漏洞利用、社会工程学等手段,获取对目标系统与网络的访问权限。
● 执行(Execution):攻击者在目标系统中执行恶意代码或运行脚本,推进攻击进程。
● 持久化(Persistence):攻击者在目标系统中建立长期访问机制,确保攻击的持续性。
● 提权(Privilege Escalation):攻击者提升在目标环境中的访问权限,以获取对更高级别系统或资源的访问能力。
● 防御规避(Defense Evasion):攻击者设法规避或绕过目标环境中的安全防御措施,实现攻击目标。
● 凭证访问(Credential Access):攻击者窃取目标系统或网络的凭证信息,以获取更多或更高级别的访问权限。
● 资产发现(Assets Discovery):攻击者在目标内部环境中搜集网络、系统及用户信息,以支持攻击目标的实施。
● 横向移动(Lateral Movement):攻击者利用已获取的访问权限,在目标网络中访问其他系统或资源,扩大攻击范围。
● 收集(Collection):攻击者搜集目标环境中的敏感数据或信息,以备攻击目标之需。
● 命令与控制(Command and Control):攻击者和命令与控制(C&C)服务器建立通信联系,服务器接收并执行攻击者的命令。
● 数据渗透(Data Exfiltration):攻击者将目标环境中的数据传输回C&C服务器。
● 影响(Impact):攻击者通过数据加密、数据篡改、拒绝服务等手段对目标环境造成实质性影响。
如今,ATT&CK模型在安全业界广泛应用,成为组织理解攻击者行为与动机的重要工具,助力威胁情报收集、安全监控、事件响应及安全审计等工作的规划与执行。
网络杀伤链(Cyber Kill Chain)模型经精心设计和实践验证,为识别和预防网络入侵活动提供了高效的工具。该模型可深入剖析对手实现目标必经的关键环节,增强对网络攻击的洞察力,加深安全分析人员对敌方战术、技术和操作程序的理解。
简而言之,该模型明确指出对手为达到目的而必须执行的一系列步骤和任务,步骤概要如图1-3所示。
图1-3 网络杀伤链的7个阶段
这7个阶段的解释如下。
● 侦查:攻击者系统搜集目标对象的广泛信息,包括电子邮件、社交媒体账户、发布的新闻、子域名及互联网边缘资产等。
● 武器化:攻击者预先策划并准备恶意脚本,如钓鱼文档、捆绑软件等,以及针对未知或已知漏洞(0day或1day)的利用脚本。
● 投递:攻击者通过Web站点、服务器、水坑攻击、鱼叉式钓鱼和Bad USB等设备或手段,将恶意载荷(Payload)投送到目标对象,覆盖线上线下攻击场景。
● 漏洞利用:攻击者利用已识别的软硬件漏洞,或通过钓鱼手段,获取目标系统的基本访问权限。
● 安装植入:利用已发现的漏洞,攻击者在目标系统中部署后门工具,确保权限的持久性。
● 命令与控制:与目标主机建立稳定双向的通信隧道,使攻击者能远程控制目标主机,使其执行特定的命令。
● 完成目标:成功渗透目标系统后,攻击者执行提权、窃取或破坏数据、横向与纵向移动、获取内网信息及消除入侵痕迹等操作,实现最终目标。
安全风险参考列表(如OWASP Top 10和CWE/SANS Top 25)为软件和应用的安全风险评估提供了标准化框架。这些列表基于广泛的行业经验和实际的攻击数据,成为开发人员、安全专家和组织识别、评估及解决常见安全漏洞和弱点的重要工具。
OWASP(Open Web Application Security Project,开放式Web应用安全项目)是致力于推动提升Web应用安全性的开放的非营利组织,其辖下的OWASP项目是社区驱动的开放项目,涵盖Web应用安全的多个关键领域,并在官方网站发布众多相关的最新动态与信息。
OWASP项目的核心宗旨是提供开源工具、详尽文档及实用性指南,支持Web应用开发人员与安全专业人士在开发与测试的过程中,更有效地识别并修补安全漏洞。作为开源安全社区的核心力量,OWASP旗下孵化并维护了众多具体项目,这些项目是其理念落地的重要载体——ZAP、Juice Shop、WebGoat均为OWASP官方主导开发或维护的代表性开源项目,各自聚焦不同的Web安全需求场景,因此在业界享有广泛知名度,为众多开发者信赖和采用。
OWASP在2024年总结列举了10种常见的安全漏洞与风险,如表1-3所示。
表1-3 OWASP Top 10 2024项目
| 类别 |
中文名称 |
备注 |
|---|---|---|
| A01 |
注入漏洞 |
攻击者通过向Web页面或应用输入恶意数据,从而实现对Web页面或应用的攻击和控制 |
| A02 |
失效的访问控制 |
某些页面或功能可以被未授权的用户访问,可能导致敏感信息泄露或未授权的功能执行 |
| A03 |
敏感数据泄露 |
由于加密机制失效,敏感数据(如密码、信用卡信息等)可能会被泄露 |
| A04 |
不安全的设计 |
在软件设计阶段未能充分考虑安全因素,导致安全漏洞 |
| A05 |
安全配置错误 |
包括不正确的安全设置,如不安全的API密钥暴露、使用默认密码等 |
| A06 |
易受攻击和过时的组件 |
使用已知存在安全漏洞的第三方组件,可能导致系统被攻击 |
| A07 |
身份识别和身份验证错误 |
身份验证机制的失败可能导致未授权的访问 |
| A08 |
软件和数据完整性故障 |
未能保护软件和数据的完整性,可能导致恶意软件的安装或数据篡改 |
| A09 |
安全日志和监控故障 |
安全日志记录和监控的不足可能导致安全事件未被及时发现和响应 |
| A10 |
服务端请求伪造 |
服务器端请求伪造允许攻击者通过服务器发起恶意请求,可能导致内部系统的数据泄露或服务中断 |
SANS Institute是信息安全领域的权威机构,致力于为企业和政府提供前沿的安全培训和应对策略,以应对日益严峻的网络威胁。其与MITRE公司联合发布的CWE/SANS Top 25榜单,详细列出了前25名最常见和影响最大的软件弱点(software weakness)列表。这些弱点可能导致可利用漏洞,使攻击者完全接管系统、窃取数据或阻止应用的运行。
CWE/SANS Top 25列表定期更新,反映新研究发现和漏洞趋势,其更新周期根据行业需求和数据收集完整性而定。下面是2024年CWE/SANS Top 25榜单的内容(排名从高到低)。
● CWE-79,跨站脚本(Cross-site Scripting):在将用户可控输入放入输出时(该输出作为Web页面提供给其他用户),未能正确中和或根本没有中和这些输入。
● CWE-787,越界写入(Out-of-bounds Write):在预定缓冲区下界之后或上界之前写入数据。
● CWE-78,SQL注入(SQL Injection):使用外部输入构建SQL命令,未正确处理可能改变SQL命令的特殊字符,导致用户输入被错误当作SQL代码进行处理。
● CWE-352,跨站请求伪造(CSRF,Cross-Site Request Forgery):网络应用无法充分验证提交请求的用户是否故意提供格式正确、有效且一致的请求。
● CWE-22,路径遍历(Path Traversal):使用外部输入构建路径名,旨在识别受限父目录下的文件或目录,但由于未正确中和路径名中的特殊元素,这可能导致路径名解析到受限目录之外。
● CWE-125,越界读取(Out-of-bounds Read):读取数据超过预定缓冲区的上界或下界。
● CWE-78,操作系统命令注入(OS Command Injection):使用来自用户、第三方应用等的外部输入构建全部或部分操作系统命令,若未正确中和(或错误中和)可能修改预期操作系统命令的特殊元素,当命令发送到下游组件时执行时,可能导致恶意命令被执行等安全问题。
● CWE-416,使用后释放(Use After Free):在内存释放后仍重用或引用该内存,之后该内存可能重新分配并保存到另一指针中,原始指针指向新分配内存中的位置,使用原始指针的操作不再有效。
● CWE-862,缺失授权(Missing Authorization):主体尝试访问资源或执行操作时未进行授权检查。
● CWE-434,不受限制的危险类型文件上传(Unrestricted Upload of File with Dangerous Type):允许上传或传输在其环境中自动处理的危险文件类型。
● CWE-94,代码注入(Code Injection):使用来自上游组件的外部输入构建全部或部分代码段,未中和(或错误中和)可能修改预期代码段语法或行为的特殊元素。
● CWE-20,输入验证不当(Improper Input Validation):接收输入或数据时,未验证或错误验证输入是否具备安全和正确处理数据所需的属性。
● CWE-77,命令注入(Command Injection):使用来自上游组件的外部输入构建全部或部分命令,未中和(或错误中和)可能在发送给下游组件时修改预期命令的特殊元素。
● CWE-287,身份验证不当(Improper Authentication):主体声称拥有某个身份时,未能有效证明该声明的真实性。
● CWE-269,不当权限管理(Improper Privilege Management):未能正确分配、修改、跟踪或检查主体权限,为主体创造出意外的控制范围。
● CWE-502,不信任数据的反序列化(Deserialization of Untrusted Data):对不可信数据(如网络传输、用户输入的数据等)进行反序列化时,未进行严格安全校验,可能被注入恶意代码并执行。
● CWE-200,敏感信息暴露给未授权的主体(Exposure of Sensitive Information to an Unauthorized Actor):将敏感信息暴露给未被明确授权访问的主体。
● CWE-863,不正确的授权(Incorrect Authorization):主体尝试访问资源或执行操作时进行授权检查,但未能正确执行该检查。
● CWE-918,服务器端请求伪造(Server-Side Request Forgery,SSRF):Web服务器接收来自上游组件的URL或类似请求时,检索该URL内容,但未充分确保请求发送到预期目的地。
● CWE-119,内存缓冲区操作范围的不当限制(Improper Restriction of Operations within the Bounds of a Memory Buffer):对内存缓冲区执行操作(如读取或写入)时超出缓冲区预定边界,可能导致对意外内存位置的读写操作,这些位置可能与其他变量、数据结构或内部程序数据相关联。
● CWE-476,空指针解引用(NULL Pointer Dereference):对预期有效但实际为NULL的指针进行解引用操作。
● CWE-798,硬编码凭据使用(Use of Hard-coded Credentials):在代码或配置中硬编码凭据(如密码、加密密钥等)。
● CWE-190,整数溢出或回绕(Integer Overflow or Wraparound):执行计算时可能导致整数溢出或回绕——因逻辑假设结果值总是大于原始值,当整数值递增超出表示范围时,可能变为极小值或负数。
● CWE-400,不受控制的资源消耗(Uncontrolled Resource Consumption):未能妥善控制有限资源的分配和维护,使攻击者影响资源消耗量,最终导致可用资源耗尽。
● CWE-306,关键功能缺失认证(Missing Authentication for Critical Function):对需验证用户身份或消耗大量资源的关键功能,未进行任何认证。
CWE/SANS Top 25为开发人员、安全人员、测试人员和审核人员提供了重要的参考,可帮助识别常见的软件漏洞,更好地保护软件和系统免受攻击。
APT(Advanced Persistent Threat,高级持续性威胁)是针对特定实体的长期网络侵入攻击,具有高度复杂性。与传统网络攻击不同,APT的攻击手段更先进,通常采用定制化方法,涉及新颖多变的攻击工具和技术,行动隐秘,会在目标系统中潜伏较长时间,收集敏感和机密信息,因而这类攻击难以被传统的安全措施侦测和防御。
APT攻击主要针对政府机构、军事、能源和金融等关键领域,是网络安全领域最高级别的威胁及亟待解决的问题。为应对此类威胁,企业和组织需采取加强网络安全意识教育、完善安全管理制度及构建全面安全防护体系等防御措施,减少APT攻击的潜在损失。
在网络安全演习和红队评估中,红队需模拟APT攻击策略,对目标系统进行模拟入侵。这种模拟不仅有助于红队深入理解攻击者的策略、战术和技术,还能提升蓝队的防御能力和技术水平,促进优化防御策略。
长期以来,全球范围内的APT攻击活动持续存在,部分攻击针对我国关键行业龙头企业、政府机构、教育医疗机构、科研单位及重要信息基础设施运营单位等,通过秘密网络攻击手段窃取数据或破坏系统。
这些行为可能对我国国防安全、关键基础设施安全、金融安全、社会安全、生产安全及公民个人信息安全构成严重威胁,因此需高度警惕和深思。为加强防范和应对,有必要了解认识一些知名APT组织。
APT29是国家级别的APT组织,自2014年起逐渐显示出强大的影响力。APT29的攻击范围广泛,涉及欧洲、北美、亚洲、非洲等多个国家或地区,主要目标集中在包括美国、英国等在内的北约成员国及欧洲邻近国家。APT29组织的攻击目标相当明确,主要聚焦政府实体、科研机构、高技术企业及通信基础设施供应商等。
在对各类安全事件进行深入分析和披露后发现,APT29使用的木马工具集主要包括The Dukes系列、WellMess系列和Nobelium系列。
● The Dukes系列主要通过鱼叉网络攻击方式实施,其利用Twitter(即现在的X)社交平台,伪造与特定时政话题相关的内容,存储恶意网络资产,作为跳板投递初始攻击载荷及进行后续网络交互行为。
● WellMess系列主要通过远程网络渗透形式发起攻击,攻击过程中会利用多个Nday漏洞。该类木马采用Golang和.Net环境开发设计,具备基础的窃密与监听类恶意功能,能够在目标设备后台非法获取数据并监控操作,且存在针对Windows、Linux平台的攻击样本。
● Nobelium系列作为木马工具集,曾被用于SolarWinds供应链攻击等活动。该工具集疑似利用Microsoft Exchange 0day漏洞渗入SolarWinds供应商产品构建系统,植入Sunspot木马,进而实现对产品构建流程的长期控制并窃取敏感开发数据。
综上,APT29是极其先进、纪律严明且难以捉摸的威胁组织,其掌握的攻击技巧非凡,不仅擅长进攻技能,还具备熟练的防溯源能力。该组织能将这些技能深度融合,通过持续优化入侵技术隐匿踪迹,使得追踪和防范工作异常困难。
Lazarus Group是活跃于全球网络空间的知名威胁组织,其攻击范围覆盖金融、政务、媒体等多个领域。该组织擅长综合运用多种攻击手段实施精准打击:
● 日常攻击中常以恶意软件投递、钓鱼邮件诱骗及社交工程渗透为主要方式,针对银行、金融机构、政府机构和媒体等核心目标发起攻击;
● 在技术突破与场景应用上极具创意,尤其在2017年WannaCry勒索软件攻击事件中,通过利用“永恒之蓝”漏洞实现大规模扩散,既展现了对高危漏洞的精准运用能力,也体现了其在攻击目标选择(覆盖全球多行业关键机构)与技术落地(勒索软件与漏洞结合)上的高超水平。
APT32(又称OceanLotus,即“海莲花”)是聚焦多元化攻击领域的APT组织,其攻击活动覆盖政府机构、大型企业及媒体机构等目标,常通过钓鱼邮件、恶意软件投递及社交工程等手段发起入侵,最终以窃取商业机密、机密谈话日志、项目进度计划等关键信息为核心目的,已对制造、媒体、银行、酒店及关键信息基础设施等领域的网络安全构成显著威胁。在攻击实施环节,APT32展现出清晰的技术路径。
● 内网渗透与横向移动:突破目标网络边界并站稳脚跟后,该组织倾向使用Cobalt Strike工具开展内网探测——通过扫描内网漏洞及配置缺陷,定位可攻击节点,进而实现对其他主机的横向控制。
● 后门植入与主机操控:在后门开发与植入方面,APT32 专业性突出且具备自主开发能力,其开发的DenisRAT、RemyRAT、SplinterRAT等后门工具已形成成熟体系。这些后门程序功能完备,一旦植入即可让攻击者完全掌控受感染主机。
● 典型工具的实战应用:其中RemyRAT作为该组织的标志性工具,在近期关键信息基础设施单位的应急响应事件中被多次发现。作为专属后门,它被频繁用于植入操作,可支持下载执行恶意代码、文件增删改、端口扫描等多种攻击功能,是APT32维持持久控制的重要载体。
本章详细阐述了攻防演习、渗透测试与红队评估、常见攻击模型和漏洞评估准则,以及知名的APT组织等基础知识。通过本章的学习,读者可清晰理解攻防演习的运作方式及作为攻方的红队人员的战术思维。后文将介绍红队攻击所需的环境以及执行的攻击手法,以更深入了解红队的能力和手段。
