一、高懸的達摩克利斯之劍

2017年4月，黑客組織Shadow Brokers公布一批美國國家安全局（NSA）的網(wǎng)絡(luò)漏洞軍火庫。背靠國家，NSA擁有強大的通殺型0day漏洞挖掘和利用能力，這批漏洞庫指哪打哪，堪稱軍火庫中的核武器，其中就包含Windows永恒之藍漏洞利用工具。

軍火庫的泄露也造成了核武器平民化，被黑產(chǎn)利用來傳播勒索蠕蟲病毒。還記得WannaCry肆虐的景象嗎？全球數(shù)百萬臺電腦包括大型企業(yè)、政府機構(gòu)都受攻擊，威力可見一斑。

而這只是無數(shù)攻擊案例中的一個。

人們在享受網(wǎng)絡(luò)技術(shù)發(fā)展帶來的便利時，鮮少能意識到頭上高懸的達摩克利斯之劍——安全。層出不窮的漏洞越發(fā)多樣化，這把劍高懸在我們頭頂搖搖欲墜，沒有什么防護手段可以一勞永逸一招制敵，任何疏忽大意都可能給黑客提供可乘之機。

然而具體到單個企業(yè)層面，自身安全事故卻相對低頻，且在業(yè)務(wù)層面極少有直接感知。尚未發(fā)生事故，或者說攻擊沒有直接造成損失，很可能會給人帶來安全防護足夠完善、業(yè)務(wù)數(shù)據(jù)足夠安全的錯覺，甚至導致防護手段逐漸落后，安全流程越發(fā)陳舊，人員意識日益懈怠。

等到那把劍真的掉落之時，一切都將為時太晚。

二、從大到強的試煉之路

這也解釋了為什么近年來全球安全事故頻發(fā)，國內(nèi)外都極為重視網(wǎng)絡(luò)安全。正如國家提出，沒有網(wǎng)絡(luò)安全就沒有國家安全。網(wǎng)絡(luò)安全和信息化是事關(guān)國家安全和國家發(fā)展、事關(guān)廣大人民群眾工作生活的重大戰(zhàn)略問題，是把我國從網(wǎng)絡(luò)大國建設(shè)為網(wǎng)絡(luò)強國的關(guān)鍵。

但并不是所有漏洞都能通過自動化工具檢測發(fā)現(xiàn)。因此，國內(nèi)外都在如火如荼地開展國家網(wǎng)絡(luò)安全實戰(zhàn)演練。中國公安部組織的護網(wǎng)行動集結(jié)全國優(yōu)秀滲透測試工程師開展風險可控的攻擊演習，美國國土安全部組織的Cyber Storm也每兩年開展一次網(wǎng)絡(luò)安全實戰(zhàn)演練。

從大到強，網(wǎng)絡(luò)安全實戰(zhàn)演練必不可少。它是網(wǎng)絡(luò)安全建設(shè)的試金石和助燃器，是檢驗企業(yè)安全防護水平的試煉之地。只有持續(xù)暴露網(wǎng)絡(luò)安全防護、監(jiān)測和應急處置的缺陷并優(yōu)化改進，才能抵擋黑客不斷變換的猛烈攻擊。

那么問題來了，誰來引領(lǐng)這條“試煉之路”呢？

對于騰訊這樣體量龐大，業(yè)務(wù)繁多，擁有海量數(shù)據(jù)資產(chǎn)公司而言，需要一支既了解公司業(yè)務(wù)，又能夠以黑客視角持續(xù)滲透公司資產(chǎn)的內(nèi)部攻擊隊伍，這樣才會更容易意識到公司各項安全隱患，把風險消弭于萌芽之前。

騰訊藍軍，就此應運而生。

展開全文

三、當我們談藍軍時，我們在談些什么

藍軍這個概念，其實軍事領(lǐng)域早已有之。

國內(nèi)藍軍扮演假想敵（即敵方部隊），與紅軍（我方正面部隊）開展實戰(zhàn)演習，幫助紅軍查缺補漏，提升作戰(zhàn)能力。網(wǎng)絡(luò)安全紅藍對抗的概念也源自于此，通過開展APT高級持續(xù)性威脅攻擊演習來全方位檢驗企業(yè)的安全穩(wěn)健性和威脅監(jiān)測及響應能力。

紅軍作為企業(yè)防守方，通過安全加固、攻擊監(jiān)測、應急處置等手段來保障企業(yè)安全，而藍軍作為攻擊方，以發(fā)現(xiàn)安全漏洞，獲取業(yè)務(wù)權(quán)限或數(shù)據(jù)為目標，利用各種攻擊手段，試圖繞過紅軍層層防護，達成既定目標。需要注意，歐美采用紅隊（Red Team）代表攻擊方，藍隊（Blue Team）代表防守方，顏色代表正好相反，常常容易讓大家搞混。

企業(yè)網(wǎng)絡(luò)藍軍工作內(nèi)容主要包括“滲透測試（Penetration Testing）”和”紅藍對抗（Red Teaming）“，其實所使用的攻擊技術(shù)大同小異，主要區(qū)別在側(cè)重點不同。滲透測試側(cè)重盡量用較短的時間去挖掘盡可能多的安全漏洞，一般不太關(guān)注攻擊行為是否被監(jiān)測發(fā)現(xiàn)，即便被發(fā)現(xiàn)也不會立刻遭攔截，目的是幫助業(yè)務(wù)系統(tǒng)暴露和收斂更多風險。紅藍對抗相反，通常采用背靠背方式貼近真實攻擊，側(cè)重繞過防御體系，毫無聲息達成獲取業(yè)務(wù)權(quán)限或數(shù)據(jù)的目標，不求發(fā)現(xiàn)全部風險點，因為攻擊動作越多被發(fā)現(xiàn)的概率越大，一旦被發(fā)現(xiàn)，紅軍就會把藍軍踢出戰(zhàn)場，目的是檢驗在真實攻擊中縱深防御能力、告警運營質(zhì)量、應急處置能力，當然這過程中也會發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)安全漏洞。

騰訊藍軍（Tencent Force）由騰訊TEG安全平臺部于2006年組建。彼時自動化漏洞檢測能力還比較弱，更多的安全漏洞得靠人肉發(fā)現(xiàn)，在這個背景下，騰訊藍軍正式成立，從此捷報頻傳，十余年專注于前沿安全攻防技術(shù)研究、實戰(zhàn)演練、滲透測試、安全評估、培訓賦能等，采用攻擊者視角在真實網(wǎng)絡(luò)環(huán)境開展實戰(zhàn)演習，檢驗安全防護策略、響應機制的充分性與有效性，并推動優(yōu)化提升。

可見，當我們談藍軍時，我們在談的絕不僅僅只是單純的模擬黑客，而是環(huán)環(huán)相扣的周密籌劃，縝密偵查、精心設(shè)計，以及針對性的防守建議等等。

四、環(huán)環(huán)相扣：淺析網(wǎng)絡(luò)攻擊殺傷鏈

想要了解藍軍的整個攻擊生命周期，可以通過網(wǎng)絡(luò)攻擊殺傷鏈來進行：首先通過多種手段獲取立足點，在此基礎(chǔ)上通過權(quán)限提升、信息發(fā)現(xiàn)和橫向移動擴大控制權(quán)，最后達成數(shù)據(jù)收集、竊取和篡改破壞等目的。

下面結(jié)合騰訊藍軍十多年的攻防實戰(zhàn)演練經(jīng)驗，試對各個階段的攻擊手法與技術(shù)簡要分析如下：

第一階段：獲取立足點

目標偵查：利用一系列偵查手段獲取目標的資產(chǎn)、人員、環(huán)境等信息，為實施攻擊提供基礎(chǔ)信息支持，信息的全面性和準確性很大程度確定攻擊的路徑、戰(zhàn)果和效率。比如通過DNS域傳送漏洞、域名注冊信息反查、域名枚舉等手段獲取域名資產(chǎn)信息，通過域名解析、網(wǎng)段掃描等手段獲取IP資產(chǎn)信息，通過網(wǎng)站掃描、端口探測等手段獲取程序指紋信息，通過在搜索引擎、社交網(wǎng)站、網(wǎng)盤、Github等平臺檢索以及社工欺騙等手段獲取組織架構(gòu)、員工信息、源代碼、賬戶密碼、常用軟件、常上網(wǎng)站、安全防護策略、外包服務(wù)供應商等信息，通過實地考察獲取職場和機房的網(wǎng)絡(luò)、門禁、辦公等環(huán)境信息。

武器構(gòu)建：根據(jù)前期收集到的信息，針對性制作攻擊代碼。如果嘗試對HR進行攻擊，那么可以設(shè)計植入木馬的簡歷文檔，如果計劃從線上服務(wù)入手，可以通過自動化掃描、人工測試等手段對目標資產(chǎn)進行漏洞探測，發(fā)現(xiàn)可利用的0day漏洞。在目前公開的APT案例中，至少有80%是從攻擊員工辦公電腦入手，因為人是系統(tǒng)最大的漏洞，利用社會工程學的攻擊成功率高，同時攻陷員工電腦后更容易摸清內(nèi)部網(wǎng)絡(luò)及擴大控制范圍。

攻擊投放：利用各種手段將攻擊載荷投遞到目標。比如利用命令注入、文件上傳、SQL注入、SSRF、XSS、溢出等漏洞直接遠程攻擊線上服務(wù)，利用郵件釣魚、U盤擺渡攻擊、水坑攻擊、軟硬件供應鏈攻擊、網(wǎng)絡(luò)劫持等方式入侵服務(wù)器、員工電腦、網(wǎng)絡(luò)設(shè)備。

執(zhí)行利用：不同環(huán)境采用不同的執(zhí)行方式，在受限環(huán)境可利用系統(tǒng)組件或合法程序執(zhí)行加載惡意代碼，從而突破系統(tǒng)限制或隱藏自身，達到木馬順利運行的目的。比如在Windows環(huán)境使用系統(tǒng)內(nèi)置程序PowerShell執(zhí)行腳本，惡意代碼僅存在于內(nèi)存中，文件不落地，類似可使用的執(zhí)行方式非常多。

命令控制：建立具有各種隱蔽級別的通道來操控目標設(shè)備或進入目標內(nèi)網(wǎng)。比如通過WebShell（如Caidao、Weevely）、Reverse Shell（如Bash/Python/PowerShell）、遠控木馬RAT（如Cobalt Strike/Metasploit Meterpreter）、遠程桌面訪問軟件（如TeamViewer/VNC），使用多層代理、傳輸加密、端口復用、Domain Fronting等方式、采用TCP/UDP/HTTP/HTTPS/DNS/ICMP/SMTP等網(wǎng)絡(luò)協(xié)議，甚至模仿其他正常應用通信流量，做到實時監(jiān)控和遙控目標設(shè)備；通過端口轉(zhuǎn)發(fā)（如netsh/iptables）、Socks代理（如ssh -D）、HttpTunnel（如reGeorg）、企業(yè)VPN通道等方式穿透企業(yè)內(nèi)網(wǎng)，突破網(wǎng)絡(luò)邊界。

防御躲避：利用檢測對抗技術(shù)、攻擊痕跡清除等方式逃避入侵檢測、殺毒軟件等安全系統(tǒng)的發(fā)現(xiàn)和追溯。比如使用肉雞發(fā)起攻擊避免暴露黑客真實IP，構(gòu)造畸形請求包繞過WAF，將惡意代碼注入到正常合法進程/文件內(nèi)，利用白名單、反調(diào)試、無文件等手段繞過病毒檢測（如使用知名企業(yè)合法數(shù)字證書給惡意程序簽名），清除或破壞應用訪問/系統(tǒng)登陸操作日志，降低行為活動頻率等等。

權(quán)限維持：通過劫持合法程序、駐留系統(tǒng)自啟動后門、創(chuàng)建隱藏管理員賬戶等方式實現(xiàn)長期控制，即使系統(tǒng)重啟或重裝也不會消失。比如替換系統(tǒng)輔助功能（如放大鏡、軟鍵盤）、劫持動態(tài)連接庫、利用Windows服務(wù)啟動項/Linux定時任務(wù)crontab配置隨系統(tǒng)自啟動、設(shè)置suid特權(quán)程序、安裝bootkit木馬、盜用原有合法賬戶密碼等等。

第二階段：擴大控制權(quán)

權(quán)限提升：利用系統(tǒng)弱點或配置不當?shù)确绞将@取超級管理員級別權(quán)限。比如利用最新Windows/Linux內(nèi)核提權(quán)漏洞，管理員權(quán)限運行的第三方軟件存在漏洞可利用，管理員權(quán)限定時執(zhí)行的程序文件因權(quán)限設(shè)置不當致使普通用戶也可篡改程序，管理員密碼隨意存放在服務(wù)器普通文件里等等。

信息發(fā)現(xiàn)：通過本地搜索、內(nèi)網(wǎng)掃描和嗅探等方式確認已可以獲取或控制的數(shù)據(jù)及進一步了解內(nèi)部網(wǎng)絡(luò)和可能利用的風險點。比如通過本機翻箱倒柜獲取用戶列表、進程列表、網(wǎng)絡(luò)連接、配置文件、程序代碼、數(shù)據(jù)庫內(nèi)容、運維操作記錄、系統(tǒng)賬戶密碼、瀏覽器保存密碼、郵件內(nèi)容等信息；通過內(nèi)存導出、鍵盤記錄、網(wǎng)絡(luò)嗅探獲取用戶憑據(jù)；通過查詢Windows域全部賬戶和主機，分析出企業(yè)完整的組織機構(gòu)/人員、重要機器等信息；通過內(nèi)網(wǎng)主機存活探測、遠程服務(wù)探測描繪出內(nèi)網(wǎng)結(jié)構(gòu)拓撲圖、內(nèi)網(wǎng)應用服務(wù)以及可能的風險點；通過訪問內(nèi)部OA網(wǎng)站尤其是知識分享平臺獲取業(yè)務(wù)架構(gòu)、代碼、服務(wù)器等信息。

橫向移動：通過內(nèi)網(wǎng)滲透攻擊獲取更多服務(wù)器權(quán)限和數(shù)據(jù)。一般來說黑客偏愛攻擊擁有企業(yè)網(wǎng)絡(luò)、機器、數(shù)據(jù)相關(guān)管理權(quán)限的系統(tǒng)，比如說Windows域控、補丁服務(wù)器、郵箱系統(tǒng)、內(nèi)部即時通訊工具、跳板機、運維運營平臺、密碼系統(tǒng)、代碼管理平臺等，道理很簡單，一旦攻破這些系統(tǒng)就幾乎能夠控制全部機器，進而獲取目標業(yè)務(wù)數(shù)據(jù)；黑客也喜歡攻擊企業(yè)高管、目標業(yè)務(wù)員工、網(wǎng)絡(luò)管理員的電腦，因為這些人員掌握的信息更重要，也更接近黑客目的。其中一種常見的內(nèi)網(wǎng)滲透思路是由于大多數(shù)企業(yè)內(nèi)部網(wǎng)絡(luò)隔離精細度不足（尤其是大型企業(yè)服務(wù)器數(shù)量太多，隔離成本大），內(nèi)網(wǎng)站點安全性低（重點防御外部攻擊，內(nèi)部系統(tǒng)安全投入少），內(nèi)網(wǎng)高危應用服務(wù)沒有鑒權(quán)認證（比如Docker/Kubernetes/Redis/Hadoop等應用在未鑒權(quán)的情況下可造成服務(wù)器直接被入侵控制，不少人以為內(nèi)網(wǎng)很安全所以沒有開啟鑒權(quán)），服務(wù)器帳號密碼普遍通用（為了方便管理甚至全部服務(wù)器密碼都一樣），這些情況可以讓黑客在內(nèi)網(wǎng)滲透時很輕易獲取到一些服務(wù)器的控制權(quán)限，然后逐一登陸服務(wù)器抓用戶登陸憑證（一臺服務(wù)器存在多個賬戶），再使用這些憑證嘗試登陸其他服務(wù)器，若登陸成功后又繼續(xù)抓其他用戶登陸憑證，這些新拿到的憑證又可能可以登陸其他服務(wù)器，通過反復嘗試登陸、抓取憑證這一經(jīng)典套路，逐步擴大服務(wù)器控制范圍，最終甚至可能做到全程使用合法用戶憑證登陸任意服務(wù)器，就好似運維管理員正常登陸進行運維一樣。

第三階段：達成目的

數(shù)據(jù)收集：搜集源代碼、數(shù)據(jù)庫、資產(chǎn)信息、技術(shù)方案、商業(yè)機密、郵件內(nèi)容等攻擊目標數(shù)據(jù)。

數(shù)據(jù)竊?。簩?shù)據(jù)進行加密、壓縮、分段處理，通過HTTP(S)/FTP/DNS/SMTP等網(wǎng)絡(luò)協(xié)議主動對外傳送、使用Web對外提供訪問下載、物理U盤拷貝，或業(yè)務(wù)接口直接查詢回顯等方式將數(shù)據(jù)傳輸?shù)胶诳褪种小?/p>

篡改破壞：通過修改數(shù)據(jù)進行非法獲利，摧毀數(shù)據(jù)進行打擊報復等。

具體攻擊手法非常多，不是每次攻擊都會涉及到方方面面。比如說攻擊目的是獲取某系統(tǒng)數(shù)據(jù)，假設(shè)該系統(tǒng)本身存在SQL注入漏洞，那直接從外網(wǎng)利用SQL注入漏洞獲取數(shù)據(jù)就能達成目的，不用考慮那么多復雜的攻擊手法，黑客會根據(jù)目的和現(xiàn)狀倒推出最佳手段，而不是盲目開展。

安全演習也是如此，根據(jù)演習訴求和目的按需開展。MITRE ATTCK攻擊矩陣是一個基于全球APT組織真實入侵事件中整理出攻擊戰(zhàn)術(shù)、技術(shù)和過程的知識庫，很有參考價值，不過有些操作實例不夠詳實，我們進行了細化和擴展，后續(xù)也會持續(xù)分享出來。

五、從理論到實戰(zhàn)：論騰訊藍軍的崛起

古人云，紙上得來終覺淺，絕知此事要躬行。上文詳述了網(wǎng)絡(luò)攻擊殺傷鏈，騰訊藍軍成軍十余載，正是一個從理論到實戰(zhàn)，從紙上到躬行的過程。

自2006年成軍以來，我們對QQ、QQ空間、微信、支付、小程序、騰訊云、游戲等重要業(yè)務(wù)都開展過滲透測試，發(fā)現(xiàn)并消除了大量潛在安全風險。去年公司大力推進自研業(yè)務(wù)上云，安全平臺部為自研上云提供安全規(guī)范、安全防護、安全評估、安全情報、安全檢測等一整套安全解決方案和服務(wù)，藍軍也緊跟發(fā)展步伐，重點對多個騰訊云基礎(chǔ)組件開展?jié)B透測試，提升騰訊云的整體安全性。

2008年，騰訊自主研發(fā)的服務(wù)器安全系統(tǒng)（代號“洋蔥”）正式上線，藍軍開啟APT紅藍對抗演練，每年開展數(shù)十次演習持續(xù)助力提升檢測能力。APT紅藍對抗演習分成兩種模式，一種是策略場景反向驗證，側(cè)重檢驗策略的覆蓋深廣程度和有效性，藍軍梳理各種攻擊場景盡可能全面的攻擊手法，包括網(wǎng)上已經(jīng)公開和自己研究具有對抗意義的技術(shù)，不定期在測試環(huán)境進行批量演練，在生產(chǎn)環(huán)境進行突襲演練。另一種是以獲取服務(wù)器或數(shù)據(jù)控制權(quán)限為目標的完整攻擊演習，側(cè)重檢驗在真實攻擊中縱深檢測能力、告警運營質(zhì)量、應急處置能力以及業(yè)務(wù)安全狀況。重要業(yè)務(wù)的外網(wǎng)安全防護往往比較強，直接攻擊的難度大，而一部分安全投入少的業(yè)務(wù)和安全意識薄弱的人員就成為了黑客的突破口，首先黑進內(nèi)網(wǎng)，然后滲透內(nèi)網(wǎng)，間接攻擊重要業(yè)務(wù)。藍軍陸續(xù)對重要業(yè)務(wù)和基礎(chǔ)IT設(shè)施展開多次滲透，幫助提升內(nèi)網(wǎng)的安全防護能力和攻擊檢測能力。商業(yè)間諜/內(nèi)鬼往往天然擁有一些合法權(quán)限，潛伏久了也可能了解到一些安全檢測策略，所以這些也是藍軍扮演的角色，幫助公司增強監(jiān)控和審計能力。

2015年，藍軍和DDoS防護團隊（“宙斯盾”）聯(lián)合全面梳理DDoS防護算法覆蓋場景，對宙斯盾開展多次DDoS攻擊演習檢驗，發(fā)現(xiàn)多項防護算法缺陷，之后結(jié)合業(yè)務(wù)場景和行業(yè)發(fā)展針對性的配合優(yōu)化，明顯提升了宙斯盾的服務(wù)質(zhì)量。

2016年，藍軍涉足風控安全，對騰訊前端風控安全開展多次紅藍對抗，提供大量優(yōu)化建議和方向，幫助完善構(gòu)建了基于前端的風控能力（騰訊防水墻了解一下）。

2018年，藍軍正式對外賦能，應數(shù)字廣東、騰訊云的要求，藍軍對數(shù)字廣東開展紅藍對抗演習，藍軍從遠程滲透外網(wǎng)站點、員工釣魚郵件攻擊、抵達辦公職場展開物理攻擊等方面發(fā)起攻擊發(fā)現(xiàn)多個安全風險，助力數(shù)字廣東提高安全加固和防護能力。同時，在公安部去年組織的貴陽大數(shù)據(jù)及網(wǎng)絡(luò)安全攻防演練活動中，由數(shù)字廣東安全、騰訊云安全、科恩、騰訊IT、安平組成的藍軍聯(lián)合團隊憑借可攻可守的能力，進攻時獲得了最高分，防守時保障靶標一直到演練結(jié)束都沒有被攻破，成為唯一沒被攻破的紅色靶標，也榮獲“技術(shù)創(chuàng)新一等獎”。

經(jīng)過多年激烈的紅藍對抗演習，紅藍雙方你追我趕，相互促進，公司安全防護體系有著非常大的提升，服務(wù)器安全系統(tǒng)（“洋蔥”）、DDoS防護系統(tǒng)（“宙斯盾”）、Web應用防火墻（“門神”）、Web漏洞檢測系統(tǒng)（“洞犀”）等公司安全系統(tǒng)的技術(shù)能力都取得了不錯的提升。在騰訊產(chǎn)業(yè)互聯(lián)網(wǎng)大戰(zhàn)略下，這些系統(tǒng)也在進行沉淀總結(jié)，將十余年的安全積累輸出到第三方用戶，如聯(lián)合騰訊云安全團隊共同打造的、護航“一部手機游云南”的洞悉產(chǎn)品、 等，如檢測覆蓋網(wǎng)絡(luò)攻擊殺傷鏈各環(huán)節(jié)的“洋蔥”對外也推出了產(chǎn)品化版本等。

另外在2012年成立的，借助外部安全研究員/情報員的力量，鼓勵在安全可靠的前提下和我們并肩作戰(zhàn)，發(fā)現(xiàn)騰訊外網(wǎng)業(yè)務(wù)安全隱患和防護缺陷，至今有國內(nèi)外數(shù)萬名參與進來，這可以認為是騰訊藍軍的擴展延伸。在這里也非常感謝外部力量對我們的幫助。

熱烈歡迎各位滲透測試/紅藍對抗專家投遞簡歷加入我們，或者成為騰訊安全白帽，和我們一起守護億萬用戶安全。

六、前路雖長，上下求索

網(wǎng)絡(luò)安全的本質(zhì)在對抗，對抗的本質(zhì)在攻防兩端能力較量，但攻防從來都是不對等的，攻擊方優(yōu)勢遠大于防御方，藍軍的存在就是幫助消滅不對等。首先，企業(yè)網(wǎng)絡(luò)藍軍與國家級APT組織相比，在人力、物力、財力等資源投入存在非常大的懸殊，藍軍如何持續(xù)及時掌握最新APT攻擊技術(shù)是非常有挑戰(zhàn)的事情。其次，攻擊場景眾多以及業(yè)務(wù)需求旺盛，需要開展的演練工作非常多，人力有限的藍軍如何高效完成使命也非常有挑戰(zhàn)。

相信未來會有更多企業(yè)建設(shè)網(wǎng)絡(luò)藍軍，投入更多資源研究前沿APT攻擊技術(shù)，以及建設(shè)更智能的藍軍自動化攻擊平臺提高演習效率。我們也會把實戰(zhàn)演練中的技術(shù)心得、攻防思考等第一時間分享出來。

*本文作者：Mark4z5(小五) ，轉(zhuǎn)載請注明來自FreeBuf.COM