红蓝紫实战攻防演习手册2020.pdf

红红蓝蓝紫紫实实战战攻攻防防演演习习⼿⼿册册2020

第⼀章什么是蓝队

蓝队，⼀般是指⽹络实战攻防演习中的攻击⼀⽅。

蓝队⼀般会采⽤对⽬标单位的从业⼈员，以及⽬标系统所在⽹络内的软件、硬件设备同时执⾏多⾓度、全⽅

位、对抗性的混合式模拟攻击⼿段；通过技术⼿段实现系统提权、控制业务、获取数据等渗透⽬标，来发现系

统、技术、⼈员、管理和基础架构等⽅⾯存在的⽹络安全隐患或薄弱环节。

蓝队⼈员并不是⼀般意义上的电脑⿊客。因为⿊客往往以攻破系统，获取利益为⽬标；⽽蓝队则是以发现系统薄

弱环节，提升系统安全性为⽬标。此外，对于⼀般的⿊客来说，只要发现某⼀种攻击⽅法可以有效地达成⽬标，

通常就没有必要再去尝试其他的攻击⽅法和途径；但蓝队的⽬标则是要尽可能地找出系统中存在的所有安全问

题，因此往往会穷尽已知的“所有”⽅法来完成攻击。换句话说，蓝队⼈员需要的是全⾯的攻防能⼒，⽽不仅仅是

⼀两招很⽜的⿊客技术。

蓝队的⼯作也与业界熟知的渗透测试有所区别。渗透测试通常是按照规范技术流程对⽬标系统进⾏的安全性测

试；⽽蓝队攻击⼀般只限定攻击范围和攻击时段，对具体的攻击⽅法则没有太多限制。渗透测试过程⼀般只要验

证漏洞的存在即可，⽽蓝队攻击则要求实际获取系统权限或系统数据。此外，渗透测试⼀般都会明确要求禁⽌使

⽤社⼯⼿段（通过对⼈的诱导、欺骗等⽅法完成攻击），⽽蓝队则可以在⼀定范围内使⽤社⼯⼿段。

还有⼀点必须说明:虽然实战攻防演习过程中通常不会严格限定蓝队的攻击⼿法，但所有技术的使⽤，⽬标的达

成，也必须严格遵守国家相关的法律和法规。

在演习实践中，蓝队通常会以3⼈为⼀个战⽃⼩组，1⼈为组长。组长通常是蓝队中综合能⼒最强的⼈，需要较

强的组织意识、应变能⼒和丰富的实战经验。⽽2名组员则往往需要各有所长，具备边界突破、横向移动（利⽤

⼀台受控设备攻击其他相邻设备）、情报收集或武器研制等某⼀⽅⾯或⼏个⽅⾯的专长。

蓝队⼯作对其成员的能⼒要求往往是综合性的、全⾯性的。蓝队成员不仅要会熟练使⽤各种⿊客⼯具、分析⼯

具，还要熟知⽬标系统及其安全配置，并具备⼀定的代码开发能⼒，以便应对特殊问题。

第⼆章蓝队演变趋势

“魔⾼⼀尺道⾼⼀丈”！防守能⼒提升的同时，攻击能⼒也在与时俱进。⽬前，蓝队的⼯作已经变得⾮常体系化、

职业化和⼯具化，主要变现如下。

1）体系化

从漏洞准备、⼯具准备，到情报收集、内⽹渗透等，每个⼈都有明确的分⼯，有组织地形成团队作战能⼒，已经

很少有⼀个⼈⼲全套的情况了。

2）职业化

蓝队⼈员都来⾃各组织专职实战演习团队，有明确分⼯和职责，具备协同配合的职业操守，平时开展专业化训

练。

3）⼯具化

⼯具化程序持续提升，除了使⽤常⽤渗透⼯具，基于开源代码的定制化⼯具应⽤增多，⾃动化攻击被⼤规模应

⽤，如采⽤多IP出⼝的⾃动化攻击平台进⾏作业。

从实战对抗的⼿法来看，现如今的蓝队还呈现出社⼯化、强对抗和迂回攻击的特点。

1）社⼯化

利⽤“⼈”的弱点实施社会⼯程学攻击，是⿊产团伙和⾼级威胁组织的常⽤⼿段，如今也被⼤量引⼊实战攻防演习

当中。

除了钓鱼、⽔坑等传统社⼯攻击⼿段外，如今的蓝队还会经常通过在线客服、私信好友等多种交互平台进⾏社⼯

攻击，以便更加⾼效地获取业务信息。社⼯⼿段的多变性往往会让防守⽅防不胜防。

2）强对抗

利⽤0Day漏洞、NDay漏洞、免杀技术等⽅式与防守⽅进⾏⾼强度的技术对抗，也是近1-2年来蓝队在实战攻防

演习中表现出的明显特点。特别的，蓝队⼈员⼤多出⾃安全机构，经过专业训练，因此往往会⽐民间⿊客更加了

解安全软件的防护机制和安全系统的运⾏原理，其使⽤的对抗技术也往往更具对性。

3）迂回攻击

对于防护严密，有效监控的⽬标系统来说，正⾯攻击往往难以奏效。这就迫使蓝队越来越多的采⽤“曲线救国”的

攻击⽅式，将战线拉长：从⽬标系统的同级单位和下级单位⼊⼿，从供应链及业务合作⽅下⼿，在防护相对薄弱

的关联机构中寻找突破点，通过迂回攻击的⽅式攻破⽬标系统。

第三章蓝队四板斧——攻击的四个阶段

蓝队的攻击并⾮是天马⾏空的撞⼤运，⽽是⼀个有章可循、科学合理的作战过程。⼀般来说，蓝队的⼯作可分为

四个阶段：站前准备、情报收集、建⽴据点和横向移动。我们也常将这个四个阶段称为蓝队⼯作的“四板斧”。

⼀、第⼀阶段：准备收集

在⼀场实战攻防演习作战开始前，蓝队⼈员主要会从以下⼏个⽅⾯进⾏准备。

1）漏洞挖掘

漏洞⼀直是第⼀攻击⼒。前期的漏洞挖掘对于打开突破⼝显得⾮常重要，在实战中，漏洞挖掘⼯作⼀般会聚焦于

互联⽹边界应⽤、⽹络设备、办公应⽤、运维系统、移动办公、集权管