“我发起疯来连自己都打”

黑客里真的有这么一帮人，无论发疯不发疯，他们都爱自己打自己人。

没错，其实我想说的就是“网络红蓝军对抗”。

为了提高自己的战斗力，人们举办一种叫“网络红蓝军对抗”的演习比赛。这种理念是在军事战争演习中提出来的。后来被沿用到了网络对抗中。

简单来说就是大家坐在一起切磋技艺。

电子竞技确实也算是“红蓝军对抗”，但和网络安全的红蓝方对抗还不一样。电竞双方是在尽量对等的情况下对战的，而网络红蓝军对抗的目的是为了增强攻防能力，所以是一般是一攻一受，哦不，一攻一守。

比如像植物大战僵尸那样，一方负责布置植物，一方负责扔僵尸。

虽然现实当中看起来和一帮人网吧开黑打电竞比赛确实没什么区别 ▼

那么问题来了，在一场真正的网络红蓝军对抗赛中，在表面 low 爆的现场背后，到底上演着怎样的精彩对抗？

宅客频道今天来试着充当一回解说，为你还原一场真正的红蓝军对抗。

 欢迎来到红蓝军联盟，本次解说开始！ 

欢迎各位来到比赛现场，我是本场解说谢幺老湿。我是本场的解说滑稽弟。

首先由谢幺老湿给大家介绍一下这次比赛背景。

最近几年呢，大型的红蓝军对抗演习可谓愈演愈烈啊，比如说：

日本办过：2014年3月，日本办了迄今最大规模的网络战演习；

美国办过：2016年美国办了“网络神盾”演习；

欧盟早就办过：由欧盟网络和信息安全局举办的“网络欧洲”演习创办于2010年，每两年举办一次，截至2016年已经是第三届。

前不久，北约的 25 个成员国在位于塔林的北约卓越联合网络防卫中心再次举行了一年一度的全球最大规模的网络防御演习—【锁·盾 2017】。

但是，今天带来的比赛和这些都无关。它是与【锁·盾2017】演习同期举行的十字剑（CrossedSwords）演习。

有请双方选手登场

主力输出—红队

红方团队会被给定一个具有特定目标和特定入口的网络环境，然后进行自由的渗透。

在整个演习过程中，有一组黄方团队专门负责监控整个网络，同时向红方人员分析和展示渗透小组是如何被捕获到的，旨在提高红方人员的网络攻防能力。简而言之就是打助攻的。

防御方—蓝队

国外网络安全厂商Cymmetria携旗下攻击欺骗产品MazeRuner受邀参演，负责防御服务器。

他们的任务只有一个——伏击这些渗透测试者，并且将他们抓个现行。

比赛进入准备阶段

防守方开始布置防御工事—诱捕机、“面包屑”文件等等。

为了完整记录到渗透人员是在何时何地被捕捉到的，除了用到MazeRunner 外，他们还部署了若干个知名开源项目的普通蜜罐。（与MazeRunner 创建的蜜罐数量基本一致）。

 MazeRunner 是啥？幺哥其实也不太清楚。不过这名字让我想起一部电影。

▲电影英文名就叫 The MazeRunner

宅客频道之前报道过国内一家叫“幻云”的产品，看起来似乎和它类似。

幻云的基本原理是：模拟出和企业真实情况极其相似的内网环境，让黑客在这个“盗梦空间”里打转，自以为正在一步步获取目标信息，接近想要的内容。而实际上他的一举一动都暴露在幻云的监控下。

如果说蜜罐服务器是个捕鼠夹，这类防御产品显然更像是一整座为入侵者打造的迷宫。国外知名的攻击欺骗技术安全厂商 cymmetria 公司的MazeRunner，并且在红方被蜜罐捕获的时候实时告知他们。

渗透人员将他们已经取得root或者管理员权限的机器标记为红色，而那些仅有普通访问权限的机器标记为黄色。

除了技术层面上的渗透，渗透小组还允许具有一个特殊的能力，那就是成立特种部队小组，潜入酒店房间，拷贝目标笔记本电脑上的内容。

没错，就是直接过去抢电脑，没想到吧! 

▲特种部队潜入酒店偷电脑里的东西

Round 1，Ready G0 !

比赛现在进入第一个阶段，进攻方开始收集情报。

红方在演习前会拿到一半的目标网络主机情报信息，因此他们首先需要根据端口扫描来获取到更多的主机信息。

很快，红队就通过线索分析出了蓝方的网络服务器的拓扑图。但是并不知道是否准确，因为其中可能混着一些“捕鼠夹”（蜜罐服务器）

好，现在红队找到了一台有缺陷的服务器，攻击者利用了一个公开的漏洞成功的拿下来这台机器！

First Blood ！

然后他们又利用钓鱼攻击的方式成功拿下了另外两台终端机器。

大波 Kill! 

此时他们在这些机器找到了一些可利用的凭证，但他们不知道这些凭证正是MazeRunner设置的面包屑。

这里要给大家讲解一下面包屑了。所谓面包屑就是故意放出来，引导攻击者一步步按照防御者事先计划好的思路进行攻击的数字凭证，比如证书、账号密码、cookies，配置文件等。

没错，就是套路！残血队友去勾引，然后反蹲一记！

回到比赛现场，原来红方拿下的第三台服务器正是蓝方部署的其中的一台蜜罐，这台蜜罐被仿真为一台人力资源数据库服务器。

从屏幕上我们可以看到，这台蓝队布置的蜜罐已经被攻击者标记为了黄色，这意味着渗透人员已经成功拿下了这台机器并且认为它是网络中的一台常规服务器（中计了）

在这台已被攻陷的蜜罐上，红队又找到了指向另一台SQL数据库服务器的用户登录凭证，然而这台SQL数据库服务器，又是另一个蜜罐。

还有这操作，套路一个接一个啊！

此时红队向裁判招手示意：“我们已经成功拿到6号工作站的中继机中的凭证，搞定！”而蓝方笑而不语，红队完全的按照他们规划的线路在走。

由于红方布置的面包屑是攻击者在Post Expoiltation阶段（注：指拿下shell后做的操作阶段）获取到的第一个情报，因此他们的攻击路径非常的简单和直接。

随着红队加大攻势，现在他们绘制的网络图越来越详细，当然，其中的蜜罐也不少。

看起来一切尽在蓝色方掌握之中啊，红方要GG了吗？（注：GG，游戏术语，输的一方打出GoodGame 表示服气）

随着新的网络被绘制出来，蜜罐也不断被加入。发生了一个小逆转，蓝队的蜜罐与中心管理服务器忽然失联了！

此时红队渗透小组正在蓝队其中一台蜜罐里活动，但是蓝队的报警屏幕上完全看不到任何信息。

“哦，原来是蓝队攻击者正在进行猛烈的arp欺骗攻击，导致ssl无法正常连接。”红队发现并立马锁定了ARP表，他们的蜜罐与中心服务器的连接又重新恢复了正常。

蓝队又控制了正常比赛节奏。

Round 2

第二回合开始，攻击者成功的使DNS区网络开始工作，并且已经成功绘制出了剩余其他区域的所有网络图。

与此同时渗透小组的客户端攻击分队也正在努力工作，他们将已获取的凭证带到INT网络的域控制器中，并运行mimikatz和其他的post-exploitation工具对任何有可能找到凭证的内容进行分析，以及试图对域控制器发起golden ticket 攻击。

▲一旦域控制器被拿下，整个网络就如同一幢纸糊的房屋。

请注意屏幕上那些网络中被同时标记为黑色和黄色的机器。

红队攻击者开始给他们认为是蜜罐的机器做标记。然而，所有被这样标记的机器全都是开源蜜罐，在整个演习过程中，并没有任何MazeRunner的蜜罐被攻击者标记。

在搞定了INT网后，攻击者开始着手研究其他的网络，BAK（备份网）是他们接下来选定的目标，由于红队部署的蜜罐是他们在该网络内进行侦查阶段发现的第一批主机，因此也成为了他们的首选目标。

▲ 攻击者通过SSH服务连接上了一台BAK网络中的蜜罐

攻击者犯了一个常见的错误：他们通常在攻下了某个终端机器后，会使用该机器测试是否能连接上某另外一台机器，但在得到确认的信息后往往又是用自己的机器直接连接。这使得蜜罐不仅能获取到攻击者已控制的机器的IP地址等情报，还能得知攻击者真实的地址。

攻击者对新拿下的蜜罐进行检查，查看它是否已经连接上了DEV（开发网），并且尝试ping 一台开发网里他已经发现的主机（你猜到了，没错，这又是一台蜜罐）

 ▲ 攻击者检查这台已控制的机器是否能访问开发网

到这里，第二回合已经结束了，此时攻击者离他们的目标仍然有很大一段距离。

Roud 3

最后一回合，红队决定加大动作，冒险采取进一步的检测。

几个有意思的情节发生了。

在红队攻击方检测到三个普通开源蜜罐后，他们使用了蓝方的一台蜜罐机作为跳板进行横向移动，但蓝方决定让他们继续，而没有踢其下线。

红方攻击者尝试了所有可能的手段试图进入DEV和LAB网，其中的一个攻击者甚至开始对一台备份蜜罐进行了研究。

他们似乎察觉到了自己已经进入了蜜罐，中计了。

此时，他开始下意识的去看MazeRunner的监控屏幕（整个演习中可见，但是去掉了IP地址）并试图从屏幕的显示信息和他在蜜罐上敲的命令操作之间找出一些蛛丝马迹。

 ▲ 被攻击者标注为黄色和黑色的主机

再来看看渗透小组的Web攻击分队，他们花费了大量的时间去破解第一台他们遇到的蜜罐，就是那台人力资源数据库主机。

我们看见红队攻击者使用了所有他们搜集到的凭证去尝试通过验证，并且提交了大量形式各异的查询语句和GET请求去试图黑掉这台机器，在整个演习过程中，他们一直没有放弃。

这也证明了在真实的网络防御中，攻击欺骗技术是非常有价值的，因为它不仅通过攻击行为获取到关于攻击者非常清晰和明确的情报，也极大的消耗了攻击者的时间和资源。

 ▲ 捕捉到的攻击者使用的凭证

 ▲ 攻击者曾使用的查询语句

这次演习快要结束了，红队攻击者快要达到他们的目标时，他们在其中的一个网络中做了最后一次扫描，并且发现了一些有趣的东西。

“发现了一个新的主机，位于开发区6.22。通过433端口上的证书分析，证书的颁发者来自于Cymmetria，嗯。。这应该是个蜜罐，或者至少是个蜜罐模拟的服务。纳入网络图标记一下”他们这样记录道。

事实上严格来说这台机器并不是蓝队的蜜罐，而是他们的中心服务器。

真的是挺可惜的，攻击者本来能更进一步找到这个重大发现的，只可惜他们在接连受骗之后，看见证书就以为是个陷阱，结果放弃了！

演习结束，红方以攻击失败告终，蓝色方获胜。

比赛复盘

总的来说吧，能够在一场包含目标和限定时间的真实演习中见到一群数字战专家如何操作、工作、和应对各种网络欺骗技术真的是极其有趣的一件事情。

这些演习都是旨在测试、提升国家、组织应对网络攻击的迅捷性和有效性，以及协同应对网络安全事件的能力。

有备无患，此起彼伏的网络攻防演习，事实上已经成为网络强国建设的检验范例，是维护网络空间安全和长远发展的绸缪之举。

在演习的过程中，攻击的捕获、攻击数据的采集、攻击数据的分析都是研究中遇到的主要问题，如何准确的将这场虚拟战场里发生的打出的每一枪每一炮都完整的记录下来，并且支持以实时、直观的方式向研究人员展示出来，这些都是研究中的首要问题。

网络防御演习看似酷炫，一切尽在掌控，但实际上幕后可没那么简单。

参考文章：

《学习帖，北约是怎么进行网络安全红蓝军对抗的》—锦行科技四瑞