第一章 什么是蓝队
蓝队,一般是指网络实战攻防演习中的攻击一方。
蓝队一般会采用针对目标单位的从业人员,以及目标系统所在网络内的软件、硬件设备同时执行多角度、全方位、对抗性的混合式模拟攻击手段;通过技术手段实现系统提权、控制业务、获取数据等渗透目标,来发现系统、技术、人员、管理和基础架构等方面存在的网络安全隐患或薄弱环节。
蓝队人员并不是一般意义上的电脑黑客。因为黑客往往以攻破系统,获取利益为目标;而蓝队则是以发现系统薄弱环节,提升系统安全性为目标。此外,对于一般的黑客来说,只要发现某一种攻击方法可以有效地达成目标,通常就没有必要再去尝试其他的攻击方法和途径;但蓝队的目标则是要尽可能地找出系统中存在的所有安全问题,因此往往会穷尽已知的“所有”方法来完成攻击。换句话说,蓝队人员需要的是全面的攻防能力,而不仅仅是一两招很牛的黑客技术。
蓝队的工作也与业界熟知的渗透测试有所区别。渗透测试通常是按照规范技术流程对目标系统进行的安全性测试;而蓝队攻击一般只限定攻击范围和攻击时段,对具体的攻击方法则没有太多限制。渗透测试过程一般只要验证漏洞的存在即可,而蓝队攻击则要求实际获取系统权限或系统数据。此外,渗透测试一般都会明确要求禁止使用社工手段(通过对人的诱导、欺骗等方法完成攻击),而蓝队则可以在一定范围内使用社工手段。
还有一点必须说明:虽然实战攻防演习过程中通常不会严格限定蓝队的攻击手法,但所有技术的使用,目标的达成,也必须严格遵守国家相关的法律和法规。
在演习实践中,蓝队通常会以3人为一个战斗小组,1人为组长。组长通常是蓝队中综合能力最强的人,需要较强的组织意识、应变能力和丰富的实战经验。而2名组员则往往需要各有所长,具备边界突破、横向移动(利用一台受控设备攻击其他相邻设备)、情报收集或武器研制等某一方面或几个方面的专长。
蓝队工作对其成员的能力要求往往是综合性的、全面性的。蓝队成员不仅要会熟练使用各种黑客工具、分析工具,还要熟知目标系统及其安全配置,并具备一定的代码开发能力,以便应对特殊问题。
第二章 蓝队演变趋势
“魔高一尺道高一丈”!防守能力提升的同时,攻击能力也在与时俱进。目前,蓝队的工作已经变得非常体系化、职业化和工具化,主要变现如下。
1) 体系化
从漏洞准备、工具准备,到情报收集、内网渗透等,每个人都有明确的分工,有组织地形成团队作战能力,已经很少有一个人干全套的情况了。
2) 职业化
蓝队人员都来自各组织专职实战演习团队,有明确分工和职责,具备协同配合的职业操守,平时开展专业化训练。
3) 工具化
工具化程序持续提升,除了使用常用渗透工具,基于开源代码的定制化工具应用增多,自动化攻击被大规模应用,如采用多IP出口的自动化攻击平台进行作业。
从实战对抗的手法来看,现如今的蓝队还呈现出社工化、强对抗和迂回攻击的特点。
1) 社工化
利用“人”的弱点实施社会工程学攻击,是黑产团伙和高级威胁组织的常用手段,如今也被大量引入实战攻防演习当中。
除了钓鱼、水坑等传统社工攻击手段外,如今的蓝队还会经常通过在线客服、私信好友等多种交互平台进行社工攻击,以便更加高效地获取业务信息。社工手段的多变性往往会让防守方防不胜防。
2) 强对抗
利用0Day漏洞、NDay漏洞、免杀技术等方式与防守方进行高强度的技术对抗,也是近1-2年来蓝队在实战攻防演习中表现出的明显特点。特别的,蓝队人员大多出自安全机构,经过专业训练,因此往往会比民间黑客更加了解安全软件的防护机制和安全系统的运行原理,其使用的对抗技术也往往更具针对性。
3) 迂回攻击
对于防护严密,有效监控的目标系统来说,正面攻击往往难以奏效。这就迫使蓝队越来越多的采用“曲线救国”的攻击方式,将战线拉长:从目标系统的同级单位和下级单位入手,从供应链及业务合作方下手,在防护相对薄弱的关联机构中寻找突破点,通过迂回攻击的方式攻破目标系统。
第三章 蓝队四板斧——攻击的四个阶段
蓝队的攻击并非是天马行空的撞大运,而是一个有章可循、科学合理的作战过程。一般来说,蓝队的工作可分为四个阶段:站前准备、情报收集、建立据点和横向移动。我们也常将这个四个阶段称为蓝队工作的“四板斧”。
一、 第一阶段:准备收集
在一场实战攻防演习作战开始前,蓝队人员主要会从以下几个方面进行准备。
1) 漏洞挖掘