两周前开始的红蓝演习,到本周为止全部结束了。 谈谈我的意见吧
一、红蓝对抗红队主要集中在北京、5队、20人,使用5G网络。
蓝队主要集中在上海,40多人的队伍。
红队的具体分工不太清楚,蓝队有监测组、跟踪组,跟踪组内部也分为跟踪和追踪反体制。
我被分配到追溯小组,可以得分,也可以逆转攻击者。
红队在开始前两天的攻击达到了非常频繁的程度,监测组监测到大量的攻击行为,肉鸡的数量也非常多。 此时,追溯组必须及时更新攻击IP的信息,掌握最新、最完整的IP。 然后大量进行POC,进行肉鸡反向捕获。
追踪小组也需要在前两天进行快攻,最快拿到肉鸡壳和system权限,并留下隐蔽性很强的后门。 这次我犯了比较严重的错误。 取得服务器的shell或高权限的账户时,没有马上清理自己的入侵痕迹。 结果是晚上取得的权限,结果后门第二天早上被红队打扫了。
得到的教训:
一、追溯反体制也要有与红队相同的警惕意识。 把历史命令、登录痕迹、所有操作日志都清除掉,留下后门后,比如什么蝎马、一句木马更先清理。
二.最迅速保留最隐秘的后门或监控程序。 维护权限,做好隐蔽工作。 红队通常在凌晨选择攻击,带后门后,第一时间将监控程序放在肉鸡中,隐藏流程,发现登录时,第一时间将IP登录情况反馈到邮箱或可接收位置。
一开始红队的攻击频繁。 此时,红队手中的肉鸡数量最多,所以随着蓝队监控队在一段时间内继续禁止非法IP,红队的攻击节奏也将逐渐变慢。
前期红队主要使用fofa等网络空间引擎,或者爬虫收集公司资产信息,遇到登录界面时会进行弱密码爆破等行为。 由于肉鸡数量多,手中资本多,红队也在临前进行了最快的攻击,进入系统=壳资源=横向渗透,外部扫描也不停,可以覆盖最核心的攻击。
但在这个过程中,蓝军,特别是追溯集团无法直接了解红队的进攻节奏。 可追溯性的目标很简单,就是找出是谁在攻击。 不管红队进攻的战况如何,你在用哪个服务器进攻,只要我最终抓住你,我就能得分。
我认为上溯反体制,一定要快、准、狠、前、中渗透,像红队一样进攻。 像猎人一样,前期披荆斩棘取得权限,中期RBI挖陷阱喂食,后期等待兔子上钩。
红队不一样。 前渗透、后渗透都变得又快又准确冷酷。 在确保隐秘性的同时,进一步进行内部网横向、纵向渗透。 总之,攻击、正确的攻击、隐匿的攻击、不要开枪,这是大致的总结。
##二、做回自己
有一段时间,随着高强度的红蓝演习,也发现了自身的弱点。
分为身体、技术、精神的弱点,逐一进行分析。
####1、身体虚弱:
整天从事高强度的工作,人会变得懒惰,精神涣散,不想动,晚上也睡不着觉,容易精神停滞。
所以工作结束后,训练不能停止。 游泳和无氧运动互换。运动是强制的
每周游泳3-4次,3-4次健身器材。
没有体魄,容易精神萎靡,精神萎靡做什么都没用。
2、技术的弱点是自己的武器库(已经准备好,关注最新的漏洞POC和文章),这非常重要! 后期留后门的部分是我知识薄弱的一点,8说,肉鸡那么多,需要练习。 编写监视程序,隐藏进程。 3、不要在精神薄弱的地方停止阅读。 睡觉前的30分钟。 一会儿读,一会儿不看书,精神就容易枯竭。
三、改进和计划不再喜欢固定死板的计划。
到了什么时候,会做什么呢?
我的计划是没有计划。 每天重复自己做的事,就会成为习惯。 当你想做某事而不擅长的时候,试着逼迫自己。
然后把不好的地方记录下来,以后再反省。
就像记住开门的密码和单词一样,我从来没有有意识地记住过。 那太痛苦了。 但是如果你需要每天使用,每天有一个信念支撑着你的时候,你不会忘记做什么。
留下记录,定期反省,不断播放是我的计划。