首页
论坛
课程
招聘

3天拿靶标,15天助破案,不是所有红队都叫深蓝!

2022-09-20 14:42

-「深」怀绝技之深蓝小剧场 -

深蓝攻防实验室(以下简称“深蓝”),作为网络安全届主攻红队的骑兵战队,近年来在国家攻防演练中战绩累累、名列前茅,两年内在省级攻防演练中获得19个冠军。
然而,当这群传说中的网络安全技术大神坐在你面前时,你又会感觉,他们看起来好像小时候会因为沉迷电脑挨揍的孩子。


“我妈说,早知道你以后靠这个什么攻防工程师赚钱,小时候你捣鼓电脑的时候我就不打你了。”团队中的“多面手”(负责漏洞挖掘与利用研究、通道构建、内网横向)章神笑说自己妈妈的“真香”定律,其他小伙伴也纷纷分享自己的入行史。


他们有的对计算机天生感兴趣,有的看上了行业的潜力,有的因为影视剧“入了坑”,有的纯粹觉得这个职业听起来很高大上,于是在毕业时选择入行。
入行理由各有千秋,但缘,妙不可言。


在网络安全常态化、实战化的背景下,他们相遇并组成了一支专注于攻防对抗及实战的团队,成为网络安全届的精锐骑兵连。说得简单点,就是以“反串黑客”的形式来发现企业安全建设的弱点,提升安全产品的效果。

 

 绝技1  3天“游”A厂内网

随着近年来的发展,很多企业都已经有意识地注意自己的网络信息安全。杀毒软件、流量探测设备、威胁探测设备、信息安全部门……在数据成为重要资产的时代,企业也给自己的数据搭建起了护城墙。

但,你的护城墙真的牢不可破吗?深蓝用实际行动告诉你,真正的黑客,把你打穿了,你自己可能还不知道。


今年某国内市场份额占有率名列前茅、安全建设也数一数二的某大型智能设备厂商A厂,邀请了国内七家安全大厂的红队来检验自己的安全能力建设。


深蓝攻防实验室在面试阶段就以第一名的成绩入围,通过前期的信息收集,多种手段打点进入内网,通过无感方式进行内网渗透,快速获取了高价值终端、集权化系统、攻击基础设施、控制认证体系方式进行降维打击。最终在3天内便擒获所有靶标。(如果是真实的黑客,那么该公司可能将面临数据失窃、数据篡改、被勒索等严重后果,在这里,不得不为这个企业的先见之明点赞!)

 

“一开始我们发现用户应急响应机制比较完善,好不容易拿下的突破口在短时间内均被封堵了,企业本身在网络安全建设上也投入了很多,整个企业安全体系是比较完善的。A厂感慨还从来没有红队打进来过。”在本次攻防演练中负责钓鱼的杨妹妹说。


团队立即改变了作战计划,将攻击思路改为:在正面继续佯攻吸引对方的防守力量,让A厂防守人员疲于奔命应急,实际的重点放在远程访问控制设备上,并通过漏洞组合利用,绕过安全防御机制,成功进入内网。


“进入内网之后,面对的是靶标严格的身份验证和访问控制,这里就要感谢我们黄师傅了,他花了一天半的时间研究OTP(一次性密码,又称“一次性口令”,是根据专门算法、每隔60秒生成一个不可预测的随机数字组合以用户的安全。破解起来非常费时间,难度也很高。)然后破解了,节省了我们很多时间。”两边的小伙伴拍着黄师傅的肩膀,竖起大拇指,黄师傅摆摆手,把他们的大拇指按住,抿嘴一笑,仿佛只要能拿下靶标,这点难度根本是小case。


“然后我们就隐匿行迹,潜伏中梳理认证逻辑和访问关系,在成功定位到核心系统之后,一击拿下所有靶标。”


在给A厂的汇报中,深蓝详细复盘了攻击思路、攻击路径、风险分析及改进建议,对用户在防守中百思不得其解的问题,深蓝专家也进行了专业和详细的解答。


“比如他们不理解,为什么一次又一次把我们的账号清出去之后,我们还是可以回来,一直都清除不掉。这实际上是因为我们并未选择常见的后门手法,而是在对方的集权系统上伪造了白银票据,即使对方修改了管理员的密码,我们依然可以通过白银票据进行访问。”


“有的公司其实安全防护做得很不错,但世界上没有百分之百安全的系统,我们其实是用模拟黑客的方式,来告诉企业你还有哪些需要注意的安全隐患,帮助企业发现自己的软肋。”


今年截至9月,深蓝已经为数十家央企和知名互联网企业做了实战攻防演练,多次获得第一名的好成绩。在与深蓝大神实战对抗过招后,企业单位也发现自己在网络安全建设上的短板,及时加固补救,抢先恶意黑客一步,保护自己的核心数据。

 

绝技2  “痛击”我队友

如果说,世界上没有百分百安全的系统,永远“只怕有心人”,那么安全产品的存在是不是就失去了意义?


“一成不变的产品肯定挡不住‘诡计多端’的黑客,既然我们的特长是反串黑客,那公司的产品我们肯定也要测试一下。”被产线拉黑了一百次的谢大智无所畏惧地说。
深信服的产品团队提到深蓝攻防实验室都是又爱又恨,“爱”的是在真实攻击的检测下,产品得到了一次又一次的、先于用户感知的体验提升,攻击手段的检测和防御策略在不断更新;“恨”的是,这群来无影去无踪的“深蓝侠客”,每次对他们的工作成果都是一种考验。


“来得好,下次别来了。”某产品线的工程师顶着黑眼圈挂掉了电话。


去年,某产品在发布之前,邀请深蓝攻防实验室做了一次产品测试。经过“不留情面”的测试,深蓝发现该未发布产品存在严重的逃逸漏洞,如果产生进一步利用会导致产品被接管,于是马上把问题总结汇报给了产线同事。


收到报告的研发和产线工程师也不遗余力、加班加点投入修复工作,在一天时间内,就把该问题加急修复完成。经过进一步的测试,确保没有问题后,才进行了产品的发布。


网络攻击手段日新月异,对于流量检测类产品,深蓝也应产品线邀请不时来几次“新型进攻”,看看能不能被检测出来。在这样反复“锤炼”下,产品的防御规则和策略也更加齐全。


“虽然我们经常调侃让他们别来了,但其实深蓝就是我们的秘密武器,为什么我们有些产品的检出率在市面上名列前茅,就是因为我们提前‘被打’过了,及时更新了很多新的防御规则。产品有不足不可怕,可怕的是不知道哪里不足,那怎么去保护别人的网络安全?我们希望我们的用户在安全体验上能够领先一步,效果领跑一路。”

 

绝技3  黑了那黑客

以上讲的都是深蓝的攻击小分队,实际上,深蓝还有一支隐藏的神秘分队,在公司通讯录上都搜不到,他们的共同点,就是用的都是“奥特曼”头像,所以我们姑且称之为——"奥特曼"之队。

顾名思义,他们是一支打怪兽的队伍。


"奥特曼"之队的强大之处,就在于能从防中发现问题,再对恶意黑客进行反攻。【注:本案例是协助警方所开展。】


今年8月,某位用户反馈单位内部收到了钓鱼邮件,邮件内容是以财务部的名义要求员工登录该单位“官网”进行操作。显然,这个邮件中所附带的“官网”链接是黑客精心设计的钓鱼网站,已经有不少单位员工上当,泄露了自己的账号密码造成损失。


"奥特曼"之队马上对其进行分析处理,通过技术手段,获取了黑客钓鱼后台服务器的有关信息。


“按平常的攻防演练,做到这一步其实就已经成功了。但我们知道,这种事件的影响极其恶劣,危害面极广,只做到这一步,后面还会有更多人上当被骗,所以我们也希望能够做点正义的事情。”挂着"迪迦"头像的"奥特曼"队友说道。


最后,“奥特曼”们通过强大的技术实力,成功获取该团伙实施违法行为的情报线索,并对犯罪嫌疑人及其同伙的真实身份进行还原。


这是一个专业的黑产团伙,头目在境外东南亚地区,联合国内的不法分子对广大人民群众,尤其是企业和政府单位进行钓鱼,常见的手段有利用黑市购买来的数据发送钓鱼短信和窃取邮箱发钓鱼邮件,盗取银行卡信息进行钱财转移,实现盈利。


收集到证据之后,"奥特曼"之队也迅速将整个事件及取证过程上报给了网警,最终协助网警对此案件开展收网行动,抓获了犯罪嫌疑人数十名,维护了社会的稳定和人民的财产安全。


类似的事件不胜枚举,但由"奥特曼"之队出手的,一般保密性极高,各位"奥特曼"们也不方便透露太多。建党百年庆典、新中国成立70周年庆典、九三大阅兵、G20峰会、金砖国家领导人厦门峰会等重大活动的网路安全保障中,也能够看到"奥特曼"们以及公司其他安全服务小伙伴们的身影。


“迪迦奥特曼有句名言:我并不是什么特殊的人,我只是在做我力所能及的事,和这个星球上的人们,一同保卫这个星球。我们所做的也是保卫这个国家的网络空间。”
褪去网络守护者的外衣,他们也是一群正热血的年轻人。拥有着与黑客不相上下的技术实力,却不愿靠技术来发“横财”,而是选择勤恳“搬砖”,按时缴纳社保。

不怕发现问题,只希望跑在危险之前解决问题。深蓝攻防实验室秉承着这种信念,让网络世界多一份安全,少一份隐患。


采访的最后,只见各位成员如释重负,让日常低调的他们讲自己的成绩好像比打比赛还要难上百倍。


“结束了结束了,走,上号来两局。”“不搞,我的轻食到了,规律生活,从我做起。”“最近有联谊,一起去不?隔壁部门新来的小姐姐发的。”“心死勿扰,准备孤独终老。”……


声明:该文观点仅代表作者本人,转载请注明来自看雪专栏
最新评论 (0)
登录后即可评论