2021年度HW行動碎言碎語（一）

**

2021年度HW行動碎言碎語（一）

        前言：随着四月份的到來，2021年度HW行動正如火如荼的展開。紅隊正在招兵買馬、摩拳擦掌，是人是鬼都在秀；藍隊正在積極防禦，斷網斷電，努力将攻擊扼殺在萌芽當中。HW行動對于腿哥已經不陌生，但是今年第一次作為藍方參加，還是大姑娘上花轎——頭一回。是以就想借着這個機會，跟大家唠唠。

一、背景介紹

        随着網絡技術的不斷發展，網絡領域被發現的安全威脅越來越多。病毒入侵、資料竊取、網絡攻擊等安全事件時常發生，網絡已然成為各國無聲較量的重要戰略空間。

        為應對網絡安全威脅，嚴守網絡安全底線，公安部自2016年開始組織多家機構，對國内基礎設施系統按照網絡安全要求，全面深入排查重點機關安全隐患，檢驗各機關網絡安全防護能力。 即HW行動。

二、目的及形式

        HW行動目的是檢測國家關鍵基礎設施與機關備案重要資訊系統的安全問題和隐患，檢驗各機關網絡事件監測、安全防護與應急處置，快速協同、應急處突的能力。

        目标涉及的行業衆多、範圍廣泛，包含政府、金融、電力、營運商、重點企業等國家關鍵基礎設施行業，每年由選中機關上報資産或國家指定對應關鍵目标。

        形式針對真實關鍵目标開展紅藍背對背演戲，攻擊方在不破壞目标正常業務工作的前提下挖掘相關安全隐患，并将結果實時上報至指揮部，防護方依據監測的安全事件開展追蹤溯源、應急處置、安全防護工作。

三、紅藍雙方簡介

        紅方即攻擊檢測方，由國家公安部組織全國各部委、行業專家、網絡安全專家進行指揮統籌，由國家網絡安全隊伍、科研機構、部隊、網絡安全專家組成攻擊檢測隊伍。

        藍方即防守方，由各參演機關的從業人員組成。

四、攻擊方思路分析

        攻擊方采用滲透測試手段完全模拟黑客可能使用的攻擊技術和漏洞發現技術，對目标系統的安全做深入的探測，發現系統最脆弱的環節，擷取目标權限。各隊采用APT攻擊手段在短時間内根據攻擊檢測目标及在資訊收集階段通過資産指紋掃描、漏洞掃描、端口掃描等手段收集到的各種問題進行彙總分析對目标進行攻擊滲透。

        常見手段如下圖所示：

        随着護網中防護的發展攻擊方也在逐漸的改變正常思路，在攻防對立中尋求突破，攻擊過程中遇到的場景問題如下：

        1. 攻擊方由于目标明确，且攻擊周期較短，往往采用自動化掃描進行快速的擷取目标相關資訊，在此過程中容易被監測發現進行針對性封鎖與反制。

        2. 目标方針對性臨時管理外部接口服務，防守方在HW前臨時關閉大量外部常用服務，HW期間部分機關采用斷網、斷電行為無法監測，導緻目标量減少。

        3. 終端監測及郵箱監測加強，病毒清除、準入模式及沙箱的部署，緻使webshell植入、木馬植入、水坑、魚叉攻擊成功率較低。

        4. 内外網蜜罐誘捕系統的部署導緻攻擊方易被捕獲。

        紅隊通常采取的突破手段如下：

        1、通過安全掃描搜尋引擎、利用分布式掃描源迷惑目标監測系統、分布式掃描形式快速擷取目标資産資訊,根據指紋資訊進行逐漸分析。

        2、針對通用性系統如OA、CMS、堡壘機、安防裝置進行分析擷取相同版本0day漏洞存儲，根據指紋進行針對性漏洞利用。

        3、Webshell、木馬程式免殺制作，通過rce直接執行powershell、反彈執行控制權。

        4、利用搜尋引擎及開源源碼托管平台進行擷取使用者資訊、源碼資訊等内容。

        5、多方了解不同業務内網構成，熟悉業務情況，精準捕獲核心資料。

        6、考慮加入社工攻擊手段。

五、防護方思路分析

        各機關防守方往往處于被動防守的地位。除去極個别硬體先進、人才配套完善、反追蹤、反滲透能力強的機關，絕大多數參演機關由于各方面原因往往處于被動挨揍的尴尬位置。這也符合我國的網絡安全抵禦攻擊現狀，絕大多數機關隻要做到加強防護意識、嚴格落實各項防護規定，反制等專業措施交給專業的機關去做。

        依據HW行動時間軸可分為四大階段，分别為備戰階段、臨戰階段、決戰階段、戰後總結。

        1、備戰階段。目标機關對安全現狀排查，進行資産梳理、針對性風險評估、自查自糾、開展安全教育訓練、建立安全防護體系。

        2、臨戰階段。部分機關按照HW整體模式開展資産巡查、滲透測試、制定應急預案、開展實戰應急演練、依據内外網檢測結果進行系統加強及應急優化。

部分機關如果短時間内無法進行加強及優化，建議斷電斷網。

        3、決戰階段。主要7*24小時現場值守，實時監控安全态勢，并對安全事件進行應急響應確定整個重大活動期間的安全保障，包含依據安全審計防護裝置告警資訊進行實時監控與上報、實時監測重點系統的風險及安全隐患第一時間進行應急處置、現場依據政策調整進行處理突發事件、針對産生的安全事件進行應急溯源分析等。

        4、戰後總結。對本次HW的工作成果及不足進行讨論總結，并根據經驗持續改進優化網絡安全整體建設。

        網絡安全防護整體流程如圖所示：

六、結束語

        突然想起來了去年藍隊發現紅隊未用規定IP并上報，後經導演部核實為某國境外組織所為。咱别天天紅隊罵藍隊拔網線，藍隊罵紅隊夜裡進村。謹防敵軍夜襲，呼籲大家一緻對外。

        僅代表作者個人觀點，杠就是你對。