红蓝对抗-蓝军技战法安全交流-郑亦磊.pptxVIP

VolcanoEngineSuperPowerPoint

红蓝对抗

蓝军技战法安全交流

火山引擎

火山引擎安全五大技战法

攻防结合

安全防守与攻击相结合，0day情报相互转换

潜伏投毒

面对暴露面少，物理隔离的目标系统，通过供应链投毒突破

精准钓鱼

结合渗透信息，专人专案，精准钓鱼，大大提高成功率

蓝军技战法

正面突破

传统攻击方式，稳扎稳打，绕过安全防护设备，完成正面突破

突破隔离

面对网络隔离，分析隔离网络的业务逻辑，明修栈道，暗渡陈仓

稳扎稳打，正面突破

面对WAF防护，该如何突破

该如何避免踩到蜜罐，既丢0day又丢权限

入侵至容器，该如何减少逃逸的动静

内网横向扫描，该如何隐藏自己

控下权限后，该如何避免被踢掉

防护绕过-WAF突破

针对国内外主流WAF使用多种变形手法绕过WAF防护，实现边界突破

防护绕过-容器对抗

围绕CDK构建的容器安全防护，进行绕过对抗

防护绕过-流量分析

使用流量分析设备捕捉攻击痕迹，通过流量层面的改造实现绕过

防护绕过-蜜罐设备

识别

存在大量JSONP

站点简单却加载大量JS

开放大量服务端口

已识别的蜜罐指纹

精准定位

集权系统

运维人员PC/邮件

CMDB

安全运营中心

无感入侵

防护绕过-主机安全

绕过

无文件免杀内存马

绕过

建立多级加密隧道

绕过

白加黑免杀法

分离免杀

稳扎稳打，正面突破

边界突破

0day直接突破

钓鱼突破

绕过边界防护设备

权限驻留

使用无文件内存马，样本不落盘

建立加密隧道，避免高敏操作

静默一段时间后再操作

信息收集

外网信息收集

Web资产

手机App/小程序/公众号

安全设备信息

员工信息

横向移动

优先选择集权如安全中心、堡垒机、域控等作为突破

寻找网关、防火墙等，修改策略实现跨安全域

拿下目标

翻取账号密码直接登录

控制堡垒机后登录

拿下域控后登录

0Day或NDay利用

内网信息收集

查看网络连接信息

查看本机运维信息

查看域内信息

查看防护设备信息

暗渡陈仓，隔离突破

利用白名单：

入侵白名单中的设备，如集权系统、堡垒机、跳板机、安全设备等

入侵网络设备

添加路由规则，如防火墙、路由器等

利用跨网络业务

利用已有的业务数据做网络通道，如定时任务、数据库、队列推送

利用操作员

入侵隔离网络设备的运维人员PC，在其接入隔离网络后实施入侵

基于信任，精准钓鱼

90%成功率

潜藏匿伏，伺机投毒

脆弱分析：目标单位虽做了层层布防，但无法对供应商做好安全管控

打法说明：1、拿下目标供应商开发系统，修改代码植入后门进行软件投毒

2、通过拿下目标供应商的专线区域直连目标系统。

攻防转换，借力打力

通过火山自身及协助防守单位发现捕获0day，并将0day反哺给攻击队用于攻击靶标

捕获0Day

攻击靶标

火山引擎高级威胁检测系统

THANKSFORYOU

感谢观看

DesignbyGipUedBranding

2022/01/05