攻防演练蓝队防守经验分享v1.0 .docxVIP

攻防演练蓝队防守经验分享

谷峰

目录CONENTS

01、攻防演练背景02、攻防技术对抗03、蓝队防守整体思路04、蓝队防守准备阶段

05、蓝队防守阶段

06、复盘总结

杭州安恒信息技术股份有限公

司

Part01

攻防演练背景

杭州安恒信息技术股份有限公

司

网络安全形势

网络安全威胁和风险日益突出，并日益向政治、经济、文化、社会、生态、国防等领域传导渗透。网络攻击作为新型的攻击手段可以轻易造成国家和人民的财产、生命等重大损失。

乌克兰电网攻击事件

徐玉玉案

俄黑客干扰美国大选？

勒索病毒

俄央行遭攻击，3100万

Shadowbrokers公开NSA工具

MIRAI病毒致网络瘫痪

峰值不断刷新DDOS

德地铁勒索攻击

永恒之蓝

信息泄露/窃取攻击OR攻击勒索OR政治意图/破坏目的杭州安恒信息技术股份有限公司

政策背景—加强军民融合，定期组织演

4.19讲话强调“金融、能源、电力、通信、

交通等领域的关键信息基础设施是经

济社会运行的神经中枢，是网络安全的重中之重，也是可能遭到重点攻击的目标”。“要全面加强网络安全检查，摸清家底、认清风险、找出漏洞、通报结果、督促整改。”

《网络安全法》

第五十三条国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制，制定网络安全事件应急预案，并定期组织演练。负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案，并定期组织演练。网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级，并规定相应的应急处置措施。

习近平在视察79集团军时强调：全面加强练兵备战，加快提升打赢能力

0演练目的

0

发现内部问题隐患

l发现内部关键信息基础设施存在的突出问

题和深层次漏洞隐患01

检查安全防护能力

l检测已建的安全防护措施是否有效

02

检验监测预警能力

l检验内部网络安全监测发现、预警能力

03

检查应急预案执行能力

l检测现有的网络安全队伍依据应急预案开展应

急处置工作执行能力04

检查部门协同能力

l检验安全管理和安全服务部门之间的快速

协同能力

05

积累实践经验

l通过真实攻击与防护演练，积累实战经验，增强安全设施与人才

队伍建设6

杭州安恒信息技术股份有限公司

Part02

攻防技术对抗

杭州安恒信息技术股份有限公

司

红队攻击技术路线同时也是蓝队的防御检测点

隧道后门 横向 提权 漏洞利用 情报刺探 无感知

通过VPN、TeamViewer直接连接或Metasploit、CobaltStrike、CoreImpact、lcx(HTran)、ew(EarthWorm)工具的HTTP/HTTPS、DNS、ICMP等协议

针对Web服务

对AD域用户的身份通过Webshell(菜（Tomcat、盗用（哈希传递）、刀、冰蝎等)、Weblogic、

身份盗用（票据传 Webshell代理 WebSphere、JBOSS递）、NTLM身份验（reDuh、reGeorg等），框架组件证篡改、NTLM中继等）释放，系统凭（Spirng、Shiro、

攻击（Exchange 据盗窃（RDP、SSH、 CAS、Fastjson帐户）、哈希传递VNC、TeamViewer等），OA（泛微、

攻击(Kerberos) 等）进行漏洞和非 致远、通达）等边

等内网漫游效果 漏洞利用的提取 界漏洞利用，大量0day使用

通过直接访问Web服务、识别框架组件、OA系统、邮件系统、VPN设备、边界网络和安全设备等，并进一步进行弱口令和高危漏洞探测

通过全网资产测绘、网络通用搜索引擎（Google）、公开代码库（Github）、DNS历史记录、网

盘资料存档、VPN客户端等无感知的信息收集

杭州安恒信息技术股份有限公

司

蓝队防御（针对攻击生命周期）

漏洞利用检测与阻断防护监测对漏洞利用的识别：溢出类、反序列化、代码执行、信息泄露、漏洞获取、客户端等，判断利用成功活失败，抓现行于犯罪现场

反内网横向漫游针对凭据盗取后的HASH传递(PtH)、票据传递(PtT)攻击防御和监测，反mimikatz、PowerShell等工具利用等，引入到蜜网，反红队于溯源

漏洞扫描识别与拦截

防护监测对扫描行为的尝试：系统服务扫描、Web漏洞扫描、系统扫描（内网）、Web扫描（内