浅谈大规模红蓝对抗攻与防

文｜腾讯蓝军 深夜饮酒 & leonc

编者按

蓝军（Blue Team）的价值是站在攻击者的位置从实战角度协助防守方发现问题，避免防守方在进行安全建设时以自我为中心纸上谈兵，所谓以攻促防是也。蓝军的实战经验很重要，本文即是腾讯蓝军团队两位经常参与各类红蓝对抗赛事成员的经验之谈，欢迎与大家探讨。

近年来各种大规模的红蓝对抗赛事方兴未艾，攻防实战受到了更多的重视。红队和蓝队的打法逐渐提升并趋于成熟，已不再是单方面的攻击与防御，而演变为攻防博弈和几乎不限手法的对抗演习。与传统的渗透测试相比，这种高强度的红蓝对抗有着明显不同，甚至较量的不仅仅是技法，而包括战术打法、心态与体力的考验。

溯源与反溯源

溯源让演习得以攻守互换，是防守方的重要工作之一。演习攻击方并不能毫无顾忌的肆意输出，首先需要考虑的是隐藏自身，这也让演习更加贴近于真实的攻击行动。这里讨论的溯源并不只是停留在分析攻击手法和定位来源IP上，更进一步需要关联到真实的行为人，所以攻击方使用匿名资源变得非常必要：

VPN、匿名代理

纯净的渗透环境、虚拟机

匿名邮箱、手机号、VPS等

纯净的移动设备、无线设备等

实名的资源变得不太可靠，这并不是夸张，防守方通过各种途径可以反查到攻击者的踪迹，甚至动用“社工”等攻击手段，包括不限于博客、实名认证的社交账号、手机号、服务器等等。在攻防基础设施相对完善的前提下，很多溯源与反溯源的对抗会下沉到细节层面，比如攻击队员通过社交工具传递目标可疑URL时，如果误点击通过系统默认的浏览器打开，则可能会被JSONP蜜罐捕获社交账号或者被抓到真实出口IP。当然这也对防守方的溯源分析能力是一个考验，从海量攻击数据中提取出有效的关键信息。现在大量的蜜罐等主动防御手段起到了不错的效果，需要注意的是蜜罐本身安全措施也需要隔离得当，避免造成安全隐患。

作为应对，攻击方必须使用纯净的专用渗透环境进行攻击，完全与日常工作环境区分开来，并做测试环境的定期还原。在识别蜜罐之后，可以通过投喂大量脏数据，甚至伪造一个反向蜜罐，诱导防守方进入并误导溯源或者消耗防守方的精力，这也是防守方需要甄别和解决的问题，在演习行动的过程中，溯源与反溯源的故事一直在继续。

数据储备

圈定时间的演习对抗跟真实世界的攻击还是有一定区别的，防守方有相对充足的时间提前修筑防御工事，比如收敛外网的入口、关闭不重要的业务网站、限