攻防演练场景下的加密流量概况

攻防

1年前

观成.png

概述

　　近年来，攻防演练持续开展，对抗烈度逐渐增强，攻防演练场景下的产生的加密流量也逐年增多。本文针对攻防演练场景下的加密流量进行大致梳理。

攻防演练场景下的加密流量分类

　　攻防演练场景中，攻击者一般会经历初始信息搜集、初始打点、横向移动、命中靶标等几个阶段。在几个阶段中，均会产生不同的加密流量。根据加密流量的流向，我们将攻防演练场景下的加密威胁划分为出联，入联和横向三类。

出联威胁是指资产受控后主动向外部互联网C2与攻击者进行加密通信的流量；
入联威胁是指攻击者主动发起针对资产的探测、攻击所产生的加密流量，或者是攻击者向已预置后门的服务（如各类Webshell）主动发起连接的流量；
横向威胁是指攻击者在横向移动阶段产生的资产与资产间的加密流量。

　　信息搜集：对主机和系统信息的收集，主要是为了建立攻击面而进行的活动。常见的通过互联网搜索引擎对域名和资产进行调查外。还会通过主动探测来收集开放的系统服务和API接口信息，其中会产生入联流量，例如针对HTTPS服务进行探测的流量。

　　初始打点：建立攻击据点，该部分的工作主要执行攻击。通过对员工的社工钓鱼，以及对暴露资产的暴力破解、漏洞利用等方式攻陷某一台主机。其中将产生多种加密流量，例如SMTPS钓鱼邮件投递属于入联威胁，钓鱼邮件中木马或链接被点击运行后的流量属于出联威胁。另一部分，针对资产的SSH、RDP暴力破解产生的加密流量、针对HTTPS站点漏洞利用等产生的流量属于入联威胁加密流量。

　　横向移动：在建立初始据点后，大多数的情况初始据点权限不够或不是最终靶标，此时攻击者需要进行横向移动持续获取权限。这个过程会产生各种类型的加密流量：首先是横向移动技术本身涉及的信息搜集、渗透突破过程涉及SSH、RDP扫描暴破、漏洞利用等加密流量；其次，在横向移动的过程中，攻击者不可避免的要维持一条或多条出联通道，这类通道可能通过加密反弹木马、部署Webshell提供，也可以通过加密反弹Shell、加密代理转发等实现。

　　命中靶标：这一部分主要是拿下目标机器权限并成功获取数据，主要涉及数据回传，属于出联的流量，包括木马回联和代理的转发到外网等会产生加密流量。

攻防演练场景下的加密流量来源梳理

　　攻击流量的产生离不开攻击工具，攻击工具的来源决定了攻击的质量。从攻击的烈度来看，低烈度的攻击一般会采用已有的工具，比如常见的Hydra、Medusa、漏洞扫描器等，这些工具直接拿来使用，几乎不用配置；中等烈度的则会通过配置策略和魔改的方式对工具进行调整，绕过流量检测，如我们常见的Cobalt Strike通过Profile文件可以配置证书和请求头等信息，各种Webshell参数支持深度定制等，这些修改都是为了达到流量绕过检测的目的；高烈度的攻击一般由红队自研，比如自研漏洞、自研反弹木马、Webshell等。这类非公开工具的检测难度更高，攻击者为了避免暴露，在非必要情况下也不会轻易使用此类工具。从近几年攻防演练看，使用原始工具、木马的情况越来越少，攻击者大部分转向对原始工具进行魔改，甚至自研工具、木马进行攻击。

　　以下是简要列举在攻防演练场景中常见的工具，以及这些工具产生的流量类型和类别。