攻防演练场景下的加密流量概况

概述

近年来，攻防演练持续开展，对抗烈度逐渐增强，攻防演练场景下的产生的加密流量也逐年增多。本文针对攻防演练场景下的加密流量进行大致梳理。

攻防演练场景下的加密流量分类

攻防演练场景中，攻击者一般会经历初始信息搜集、初始打点、横向移动、命中靶标等几个阶段。在几个阶段中，均会产生不同的加密流量根据加密流量的流向，我们将攻防演练场景下的加密威胁划分为出联，ru联和横向三类。出联威胁是指资产受控后主动向外部互联网C2与攻击者进行加密通信的流量；ru联威胁是指攻击者主动发起针对资产的探测、攻击所产生的加密流量，或者是攻击者向已预置后门的服务（如各类Webshell）主动发起连接的流量；横向威胁是指攻击者在横向移动阶段产生的资产与资产间的加密流量。

信息搜集：对主机和系统信息的收集，主要是为了建立攻击面而进行的活动。常见的通过互联网搜索引擎对域名和资产进行调查外。还会通过主动探测来收集开放的系统服务和API接口信息，其中会产生ru联流量，例如针对HTTPS服务进行探测的流量。

初始打点：建立攻击据点，该部分的工作主要执行攻击。通过对员工的社工钓鱼，以及对暴露资产的暴力破解、漏洞利用等方式攻陷某一台主机。其中将产生多种加密流量，例如SMTPS钓鱼邮件投递属于ru联威胁，钓鱼邮件中木马或链接被点击运行后的流量属于出联威胁。另一部分，针对资产的SSH、RDP暴力破解产生的加密流量、针对HTTPS站点漏洞利用等产生的流量属于ru联威胁加密流量。

横向移动：在建立初始据点后，大多数的情况初始据点权限不够或不是最终靶标，此时攻击者需要进行横向移动持续获取权限。这个过程会产生各种类型的加密流量：首先是横向移动技术本身涉及的信息搜集、渗透突破过程涉及SSH、RDP扫描暴破、漏洞利用等加密流量；其次，在横向移动的过程中，攻击者不可避免的要维持一条或多条出联通道，这类通道可能通过加密反弹木马、部署Webshell提供，也可以通过加密反弹Shell、加密代理转发等实现。

命中靶标：这一部分主要是拿下目标机器权限并成功获取数据，主要涉及数据回传，属于出联的流量，包括木马回联和代理的转发到外网等会产生加密流量。

类别

|

攻击阶段

—|—

ru联

|

信息收集、初始打点

横向

|

横向移动

出联

|

初始打点

横向移动

命中靶标

攻防演练场景下的加密流量来源梳理

攻击流量的产生离不开攻击工具，攻击工具的来源决定了攻击的质量。从攻击的烈度来看，低烈度的攻击一般会采用已有的工具，比如常见的Hydra、Medusa、漏洞扫描器等，这些工具直接拿来使用，几乎不用配置；中等烈度的则会通过配置策略和魔改的方式对工具进行调整，绕过流量检测，如我们常见的Cobalt
Strike通过Profile文件可以配置证书和请求头等信息，各种Webshell参数支持深度定制等，这些修改都是为了达到流量绕过检测的目的；高烈度的攻击一般由红队自研，比如自研漏洞、自研反弹木马、Webshell等。这类非公开工具的检测难度更高，攻击者为了避免暴露，在非必要情况下也不会轻易使用此类工具。从近几年攻防演练看，使用原始工具、木马的情况越来越少，攻击者大部分转向对原始工具进行魔改，甚至自研工具、木马进行攻击。

以下是简要列举在攻防演练场景中常见的工具，以及这些工具产生的流量类型和类别。

类别

|

攻击类型

|

典型攻击工具

—|—|—

ru联

|

RDP暴力破解

|

Shack2、Hydra、FastRDP、BuBrute……

SSH暴力破解

|

Hydra、Medusa、Fscan、railgun、parator……

HTTPS的Web漏洞利用

|

Burpsuite、xray、awvs、arachni、golistmero、IBMSCAN、nessus、nikto、owasp_zap、skipfish、Vega、w3af、acunetix、fscan、Immunity_Canva、wmap、railgun、K8、appscan、metasploit……

Webshell

|

冰蝎、哥斯拉、蚁剑、天蝎、菜刀……

横向

|

RDP暴力破解

|

Shack2、Hydra、FastRDP……

SSH暴力破解

|

Hydra、Medusa……

HTTPS的Web漏洞利用

|

Burpsuite、xray、awvs、arachni、golistmero、IBMSCAN、nessus、nikto、owasp_zap、skipfish、Vega、w3af、acunetix、fscan、Immunity_Canva、wmap、railgun、K8、appscan、metasploit……

出联

|

加密端口转发

|

netsh、ew、iox……

加密代理工具

|

frp、nps、neo-regeorg……

加密反弹shell

|

nc、bash等（openssl反弹）……

加密木马回联

|

Cobalt Strike、CrossC2、Metasploit、empire、emp3r0r……

加密隐蔽隧道

|

网络层：ICMP隧道IcmpTunnel、pingtunnel……

传输层：TCP/UDP/SCTP加密传输隧道……；

应用层：HTTP隧道reGeorg……；

DNS 隧道dns2cat、iodine……

加密C2对抗

|

CDN+HTTPS、域前置，云函数……

攻防演练场景下的加密流量举例

上文对攻防演练场景下的加密流量概况、工具概况进行了介绍，下面针对这些流量，选择几个有代表性的进行举例。

RDP暴力破解，对远程桌面进行登录口令的破解，一般使用3389端口。

图1 RDP暴力破解截图

SSH暴力破解，对SSH远程进行登陆口令的破解，一般使用22端口。

图2 SSH暴力破解截图

WEB漏洞扫描，目前大多数的站点已经启用了HTTPS的安全协议，所以我们在进行web渗透的时候中间流量只能看到加密的流量，无法看到执行了什么POC和探测请求。一般标准的HTTPS协议开放443端口。

图3 web漏洞扫描截图

端口转发，由于防火墙的策略设备，导致很多端口被封，那么这个时候就需要合理利用开放的端口将数据转发出去，本地端口的复用。如下图的188通过53端口转发187的3389端口流量给79。

图4 端口转发截图

加密转发，neo-regeorg加密代理HTTPS流量。

图5 neo-regeorg代理流量

反弹shell，通过openssl可以加密反弹shell执行命令。

图6 反弹shell流量

C2回联，这个在攻防中主要是一些可自动生成木马的平台工具，比如Cobalstrike，而且它们通常支持多种上线方式，下图为Cobalt
Strike通过HTTPS协议上线的流量截图。

图7 C2上线

隐蔽隧道，通过DNS协议、HTTP协议、ICMP协议等，下图为DNS隧道示例。

图8 DNS隐蔽隧道

CDN隐藏，通过配置CDN，使得C2地址隐藏，产生的流量直接走CDN地址。

图9 CDN隐藏流量

结语

本文主要对攻防演练场景下的加密流量概况进行了介绍。我们可以看到，加密流量在整个攻防演练的所有环节都会出现。在演练烈度逐年提高的形势下，针对攻防演练中加密流量的检测已经成为不可回避的课题。我们将在之后的文章中介绍针对攻防演练场景中的加密流量的检测方法。请期待我们后续的研究文章。

生的流量直接走CDN地址。

[外链图片转存中…(img-lECeirze-1690874131357)]

图9 CDN隐藏流量

结语

本文主要对攻防演练场景下的加密流量概况进行了介绍。我们可以看到，加密流量在整个攻防演练的所有环节都会出现。在演练烈度逐年提高的形势下，针对攻防演练中加密流量的检测已经成为不可回避的课题。我们将在之后的文章中介绍针对攻防演练场景中的加密流量的检测方法。请期待我们后续的研究文章。

网络安全学习路线

这是一份网络安全从零基础到进阶的学习路线大纲全览，小伙伴们记得点个收藏！

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-H24KkxUC-1690874131357)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]编辑

阶段一：基础入门

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BJljPvsB-1690874131357)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

网络安全导论

渗透测试基础

网络基础

操作系统基础

Web安全基础

数据库基础

编程基础

CTF基础

该阶段学完即可年薪15w+

阶段二：技术进阶（到了这一步你才算入门）

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gKC4c9Mh-1690874131358)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

弱口令与口令爆破

XSS漏洞

CSRF漏洞

SSRF漏洞

XXE漏洞

SQL注入

任意文件操作漏洞

业务逻辑漏洞

该阶段学完年薪25w+

阶段三：高阶提升

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bDvBcU3h-1690874131358)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

反序列化漏洞

RCE

综合靶场实操项目

内网渗透

流量分析

日志分析

恶意代码分析

应急响应

实战训练

该阶段学完即可年薪30w+

阶段四：蓝队课程

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qGL38ouG-1690874131358)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

蓝队基础

蓝队进阶

该部分主攻蓝队的防御，即更容易被大家理解的网络安全工程师。

攻防兼备，年薪收入可以达到40w+

阶段五：面试指南&阶段六：升级内容

需要上述路线图对应的网络安全配套视频、源码以及更多网络安全相关书籍&面试题等内容

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

同学们可以扫描下方二维码获取哦！