一、背景

1.HVV行動簡介

HVV行動是國家應對網絡安全問題所做的重要布局之一。從2016年開始，隨著我國對網絡安全的重視，演習規模不斷擴大，越來越多的單位都加入到HVV行動中，網絡安全對抗演練越來越貼近實際情況，各機構對待網絡安全需求也從被動構建，升級為業務保障剛需，而2023年的國家HVV目前已經結束。

HVV一般分為紅藍兩隊，也稱為紅藍對抗，紅隊為攻擊隊，藍隊為防守隊。剛開始，藍隊會有初始分值，一旦被攻擊成功就會扣除相應的分。而每年對于藍隊的要求都逐漸嚴格起來，2020年以前藍隊只要能發現攻擊就能加分，或者把扣掉的分補回來。但是從2021開始，藍隊必須滿足及時發現、及時處置以及還原攻擊鏈才能少扣分，從而避免提前出局。

2.HVV痛點分析

面對一年一度的國家HVV一定不可掉以輕心，正所謂大意失荊州，前車之鑒比比皆是！參加HVV的相關行業通常會涉及到海量的資產信息，而且其系統的業務線比較廣泛，所屬IT資產無法在HVV開始時做到百分百收斂，在正式HVV期間白班日均工作時間會超過14小時。除此之外，還可能會存在但不限于以下相關風險：

(1) 公網資產存在漏洞，對外開放非必要的調試環境、測試環境與API接口，缺少定時進行產品升級，沒有時刻關注企業所使用到的相關開源組件、商用軟件安全性；

(2) 公網業務系統缺乏全面滲透測試，業務變更和新業務上線前沒有進行深入的滲透測試；

(3) 內網資產的歷史高危漏洞未及時進行修復，若攻擊者突破邊界即可任意進行橫向移動，對于云上內網安全的脆弱性，沒有建立嚴格的安全管理制度及審批流程；

(4) 將“第三方、子公司、分支機構”直接視為可信實體，缺乏對交互流量的監控；

(5) 缺乏合理的安全設備部署，比如WAF、網頁防篡改、郵件網關、APT、HIDS、EDR等，沒有或很少對安全規則優化，消除誤報，貼合業務；

(6) 缺乏提升數據、代碼泄漏管控和檢測的能力（如Github、Gitlab、Gitee等平臺代碼、數據泄漏檢測）；

(7) 離職人員權限及賬號回收機制存在問題，交接材料通過外部網盤進行傳輸，賬號權限回收不徹底，比如云服務器和OSS的AKSK權限未能刪除；

(8) 沒有或缺乏辦公網南北向流量安全審計，以及東西向網絡阻斷設備，安全部門應急響應不能馬上聯系到責任人進行止損；

(9) 沒有統一使用內部辦公軟件進行協同，而大規模使用有道云筆記、百度云盤、向日葵、飛書、釘釘、企業微信、QQ等可能導致數據泄露的平臺。

二、藍隊視角技戰法

1.防守籌備

安全團隊應根據HVV攻擊的活動特點，針對甲方相關業務系統面臨的關鍵風險，制定有效的技術防護及檢測方案，包含以云上東西向感知、辦公網南北向全流量威脅情報監控檢測和高風險業務系統收斂三個維度。云上東西向感知，部署蜜罐，通過與業務同網絡部署蜜罐，實現對失陷主機橫向掃描探測、漏洞利用的捕獲，從而可以快速定位失陷主機并阻止橫向攻擊。辦公網南北向，全流量對接威脅情報系統，實現辦公網出入流量威脅關聯，標記黑、白、灰三種IP情報，并由專業安全工程師進行分析，對定向釣魚、惡意軟件、挖礦等行為進行監測和捕獲，最終建立全方位、多層次的縱深防御體系。

在演練開始之前，通過掃描器對甲方域名、IP進行安全漏洞掃描，結合滲透測試，對檢測出的部分高優先級漏洞進行整理統計，相關檢測列表于HVV前提交給相關負責人通知各業務線進行修復，有效消除相關安全風險。通過對甲方線上系統和供應鏈進行分析，盤查可能存在0Day、1Day漏洞的應用系統以及權限過大的后臺管理系統，包括但不限于OA、財務、人事、法務等，并通過WAF側白名單予以評估辦公網以外的請求，同時避免遭受無法預測的0Day、1Day及弱口令等問題導致的安全事件。另外，對甲方單位的內網系統進行全面掃描探測，對問題系統進行上報，督促業務組進行整改，減小攻擊者在內網系統橫向的風險。劃分不同VPC，將需要隔離的資源從網絡層面分開，結合安全組的細粒度資源管控能力，使用ACL功能實現更精細化的VPC內子網隔離。

國家HVV允許攻擊者進行釣魚、水坑等攻擊手段，為進一步提升甲方員工安全意識，針對全員發送釣魚郵件，對被成功釣魚員工進行專項安全意識培訓，在職場內張貼相關海報等操作。同時開展釣魚宣講活動，對郵件、電話、WiFi、身份偽裝和Bad USB等常見釣魚手段進行分析，打出一套漂亮的反釣魚安全意識提升組合拳，大大減少因此帶來的安全風險。通過網絡架構評估，明確整體網絡安全域劃分，梳理域間/域內訪問控制關系，評估攻擊面及入侵防護情況，最終實現網絡隔離及攻擊面收斂，有效對抗來自外部和內部的攻擊。

2.檢測響應

通過15×24小時應急處置分析風險，搭建自動化防御體系，匯總分析安全設備的日志，并根據業務場景進行分析建模并對行為進行打分，與檢測阻斷類產品如防火墻、IPS、WAF等聯動提升檢測準確率，與蜜罐類產品聯動有效助益對攻擊者的溯源與反制。聯動Web應用防火墻/CDN等邊界設備對威脅情報中的問題IP進行秒級自動封禁，減輕人工分析成本，將有限的人員注意力轉移到更需要關注處理的事件中并降低響應時間。從更高維度的視角打通不同安全產品、不同防護階段、不同防護位置信息交換的壁壘，掌握單點攻擊全網可知的防守主動權。

此外，釣魚/社工攻擊仍作為一種重要的攻擊手法被大范圍使用，尤其是當防守方正面防線十分堅固的情況下，通過釣魚/社工的方式進行邊界突破往往成為首選，我們也已經觀測到不少安全防護水平較高的行業和企業因此被攻擊成功，而很多防守方正苦于缺少有效的檢測和防護手段。針對新型釣魚木馬攻擊手法分析，除了比較常規的加載器 + CobaltStrike載荷外，我們發現3個比較新穎的手法，比如白文件Patch免殺、控制流平坦化混淆和Hook改變Beacon C2。而比較典型的CobaltStrike木馬主要是采用域前置和云函數轉發來隱藏C2地址的方法。因此，在靜態特征檢測上，我們將高頻釣魚關鍵詞添加進內網郵件安全類產品的關鍵詞列表中進行風險提醒，并對來自于外部的郵件添加警告標識。在動態特征檢測上，對于使用云函數機制通信的CobaltStrike木馬，可以直接封禁或隔斷相關域名；對于使用域前置機制進行通信的CobaltStrike木馬，因為一般無法直接獲取攻擊者的域名或IP等標識，因此需要根據其具體的流量轉發機制進行攔截。

在發現攻擊事件后，藍隊首先應確定攻擊來源，是不是員工內部誤操作；然后確定是攻擊的話，將問題主機與內網隔離；接著應根據安全防護設備、安全監測設備產生的告警信息、樣本信息等，結合各種情報系統追蹤溯源。條件允許時，可通過部署誘捕系統反制攻擊隊攻擊終端，做到追蹤溯源、防守反制。

3.溯源反制

在HVV期間，為了能夠使甲方單位獲得更多的分數和更高的排名，我們也采取但不限于以下技術分析手段來進行溯源反制：

(1) IP定位：通過IP反查域名并獲得whois信息、IP端口掃描、反向滲透服務器、根據IP定位物理地址；

(2) ID追蹤：通過搜索引擎、社交平臺、技術論壇和社工庫獲取攻擊者的身份；

(3) 攻擊程序分析：利用多種在線云沙箱分析釣魚樣本，結合手工提取樣本特征；

(4) 蜜罐：獲取攻擊者的主機信息、瀏覽器信息和真實IP，對攻擊源攻擊者進行畫像分析，甚至反制；

(5) 批量上線釣魚馬：因為云函數在請求目標時會自動調用不同可用區的IP地址，所以在虛擬機中不斷發送上線和會話請求，在CobaltStrike一次性上線大量IP會讓紅隊直接無法分辨；

(6) 消耗云函數額度：雖然云函數能夠隱藏C2，但是就是訪問是需要計費的，所以可以使用腳本惡意盜刷紅隊的額度，導致其木馬無法上線；

(7) 虛假上線：重放心跳包進行上線，但是紅隊無法執行任何命令，也可以向攻擊隊dnslog發送垃圾流量，混淆紅隊視野；

(8) 反向釣魚紅隊：在甲方公網和內網處均部署蜜罐，利用代理工具和攻擊程序的漏洞來獲取紅隊主機權限，比如使用Clash RCE、蟻劍和冰蝎RCE、Git和SVN泄露利用工具的反制等。

三、總結提升

智能新型技術的廣泛應用，信息基礎架構層面變得更加復雜，傳統的安全思路已越來越難以適應安全保障能力的要求。必須通過新思路、新技術、新方法，從體系化的規劃和建設角度，建立縱深防御體系架構，整體提升面向實戰的防護能力。從應對實戰角度出發，對甲方現有安全架構進行梳理，以安全能力建設為核心思路，面向主要風險重新設計政企機構整體安全架構，通過多種安全能力的組合和結構性設計，建立起能夠具備實戰防護能力、有效應對高級威脅、持續迭代演進提升的安全防御體系。

四、參考文章

[1] http://www.hackdig.com/04/hack-311372.htm

[2] https://xz.aliyun.com/t/11625

[3] https://www.secrss.com/articles/45476

[4] https://mp.weixin.qq.com/s/vXJaRd6Ce1MmkzKniJnyMw

審核編輯 黃宇