攻防演练中的流量加密或隐匿信息安全资料.docxVIP

攻防演练场景下的加密流量概况

2022-05-1309:24

概??述

???近年来，攻防演练持续开展，对抗烈度逐渐增强，攻防演练场景下产生的加密流量也逐年增多。本文针对攻防演练场景下的加密流量进行大致梳理。

攻防演练场景下的加密流量分类

攻防演练场景中，攻击者一般会经历初始信息搜集、初始打点、横向移动、命中靶标等几个阶段。在几个阶段中，均会产生不同的加密流量。根据加密流量的流向，我们将攻防演练场景下的加密威胁划分为出联，入联和横向三类。出联威胁是指资产受控后主动向外部互联网C2与攻击者进行加密通信的流量；入联威胁是指攻击者主动发起针对资产的探测、攻击所产生的加密流量，或者是攻击者向已预置后门的服务（如各类Webshell）主动发起连接的流量；横向威胁是指攻击者在横向移动阶段产生的资产与资产间的加密流量。

信息搜集对主机和系统信息的收集，主要是为了建立攻击面而进行的活动。常见的通过互联网搜索引擎对域名和资产进行调查外。还会通过主动探测来收集开放的系统服务和API接口信息，其中会产生入联流量，例如针对HTTPS服务进行探测的流量。

初始打点建立攻击据点，该部分的工作主要执行攻击。通过对员工的社工钓鱼，以及对暴露资产的暴力破解、漏洞利用等方式攻陷某一台主机。其中将产生多种加密流量，例如SMTPS钓鱼邮件投递属于入联威胁，钓鱼邮件中木马或链接被点击运行后的流量属于出联威胁。另一