HVV闲聊,聊点不一样的

2021-08-05 15:46:19 浏览数 (1)

以下内容只是我的片面理解,可能会有错误,希望大家多多包含

ps:没时间排版,凑合看吧

蓝方闲聊

蓝队的工作内容

初级: 看安全设备,发现异常信息,第一时间报告,封堵ip地址

中级:看安全设备,一定的溯源能力

高级:看安全设备,一定的溯源能力,反制等等(可能比较累)

以前的经验总结:

一、忙不忙?

这个主要看甲方的防护和人员水平,一般来讲的话,蓝队的初中级不是很忙,高级的话,可能会忙一点,这个里面充满了变数:如果甲方比较rich,基本上就是报异常,封堵ip地址;如果甲方用了某些安全设备(如xxx),很有可能直接被打穿。

一般来说,hw的前段时间都是红队的信息搜集时间(当然,这个信息搜集的时间不一定是在hvv之后进行的,可能在很早的时候就已经悄悄开始)

二、hvv时间怎么算?

1)前年最开始的时候是24小时,去年开始要求早9晚9,其他时间红队不允许攻击,如果红队攻击被发现,可能会被严惩,但是在非攻击时间也可能发生意外情况。(很多变数)

2)一般都是从演习开始到结束,大概周期在半个月左右,比如去年正式开始是从9.11日早上9点-9.24晚上9点结束。

但对于以下两种情况,时间会延长和减少:

1)hvv期间被打穿,甲方提前退出演习,比如去年的某视、xxxx(多家),其中据说某家被打穿后,变成马场,防守队直接放弃抵抗(真实性待考)

2)属于能源等特殊行业,可能会被延期,去年的情况就是如此

三、hvv的攻击趋势如何?

总体上

去年的情况是,印度的ip apt攻击偏多,从最开始到最后结束,印度的apt攻击越来越多,这个排除一些真实的攻击场景之外,大部分印度apt攻击都是因为设备被木马感染,继而继续传播病毒。当然,我国的一些设备因为没有及时修复漏洞,导致被感染,开始进行病毒传播。

钓鱼邮件会大大增加,社会工程学手段非常非常高明!!!

前期

一般动静不大,除非甲方很菜,大部分都是红队进行信息搜集。

中期

一般有些甲方相继沦陷,毕竟红队有很多的0day,这个时候可能已经开始了内网漫游,但有可能因为蓝队安全设备过多,红队动静过大,流量特征可能会被发现。

后期

如果此时你所在的甲方依旧还在,应该重点小心钓鱼!!!而且是最后几天,可能会收到大量的各式各样的钓鱼邮件!!!

这里的钓鱼不仅仅是免杀exe文件,免杀宏文档,还有社会工程学,比如

1)PUA式钓鱼

如果因个人原因未修补,导致被入侵,将会降低绩效、xxxxx

2)凭空多出来的大厂HR

突然有大厂的HR告诉你,对你的简历感兴趣,可否私聊?自己好好反思下,自己技术那么菜,为啥这个时间点冒出来这么多热情的hr来???

于是加微信等私聊,在工作时间给你发送文件等,直接内网中招

。。。。。(还有很多)

比如:无人机的(这是19年的,应该是真的,现在还被拿出来炒)

下水道的(这是19年的,真实性不明)

蹲在甲方门外的(19年,20年都有,今年也会有),去年某红队队员直接被抓(真事)

四、hvv期间蓝队人员无聊怎么办?

1)睡觉、打瞌睡、划水

这类最安全,但容易被甲方呵斥

2)找到可疑的ip地址,进行反溯源!!!

这里针对防守方的初、中级队员来说,能够对可疑ip溯源成功,无疑是建功立业的好机会!!!

但很容易被溯中溯

众所周知,目前甲方会使用极多的蜜罐来捕获攻击和溯源,其中溯源中可能会用到的技术叫做jsonp劫持(大概是),这个就可以获取攻击者的一些个人社交信息,比如如果你用自己常用的浏览器来访问资源,有意无意的踩中了蜜罐,如果你的浏览器上登陆的有以前你的个人信息,比如:爱奇艺账号。。。。。。(很多),蜜罐就会捕获这些信息,这种溯源精度要比ip溯源高很多很多。

但是蜜罐不是只有蓝队才会搭建,红队也会搭建,对的,你没有看错,去年就有些红队故意使用某ip踩蜜罐,而且特征很像攻击手法,这边的一个老哥随手就在自己的电脑上来了一个扫描,然后访问了红队的蜜罐,当他察觉的时候,已经晚了。。。。这个是我亲身经历的,当然主角不是我。

3)自己学习新东西

有些防守队员总喜欢建功立业,在演习期间,自己的电脑连甲方的网络,进行敏感操作的,比如有人连接甲方WiFi,外连远程的cs服务端,造成流量设备大报警,以为内网被打穿,紧急响应。所以大家切记切记切记不要连接甲方的网络,哪怕甲方跪下来求给你网用,你也要用自己的热点。

4)不要挑衅红队!!! 如果被你的甲方知道了,你可能就直接拜拜了

红方闲聊

红方的工作内容大致上:

打穿,建功立业

给红队初、中级的建议

  1. 所有的红队队员应该都参加过培训,比较保险的防溯源手法(不一定准确):使用虚拟机,挂代理,使用虚拟机里面的浏览器,浏览器上不登陆自己的信息,再使用浏览器的无痕模式,再使用js监控类的插件。。。。。
  2. 不要用未修改特征的任何开源和广为人知的安全工具进行扫描探测,这些流量特征极其极其明显!!!比如sqlmap,菜刀,冰蝎,cs
  3. 不要使用小范围的带有明显特征的工具,比如某些团队会写一些工具,但是工具中会注明一些团队信息,这对溯源来说,简直不要太友好,就算不是你做的,但是用到你的工具你也说不清楚
  4. 最好不要发包含exe的钓鱼邮件,这个但凡有个邮件网关的,而且属于特殊时期的,都会对其进行拦截,可以考虑远程宏加载,分离免杀等其他社工手法
  5. 不要在甲方的旁边抱着电脑,拿着天线,这种被抓的概率极高,被抓容易被打
  6. 一定要记得用代理!!!据传19年某甲方被红队打的很惨,但是红队队员不小心透露了自己入住的宾馆的ip地址,整个甲方去了几十个人把宾馆围了,要打人

哪些人最忙?

安全厂商,没有之一

1)在hw期间,所有的安全厂商都是7*24小时在线,比如hw期间曝出的0day,一般在24小时内安全厂商都会对设备升级,这里并不是指某些安全设备的0day,比如探针、流量审计等

2)大部分安全厂商都有强有力的安全团队支撑,他们负责攻击溯源、流量分析、事件研判等任务,很多都是处理

哪些人最赚钱

这里不评论,懂得都懂

hvv段子

8号的时候爆出来一个lt的

后来又爆出一张图

这种就是段子,图个开心就行了

hvv暴出来的洞

网上流传的信息很多了,一大把,有时间复现

HVV的吃瓜选手

对于不参加这次活动的吃瓜人员,这段时间不要乱搞,被溯源到不是红队的话,是要吃x饭的!!!

0 人点赞