近日,国家电投集团东方能源热力分公司、中国农业银行广州分行、华东供热集团、联通来电管家、税务信用云等等部门纷纷发了通告,自家的系统要升级维护,各线上业务办理都暂停了,这就很奇怪了,难道这就是超罕见的不约而同吗,好像集体商量好,一起在这几天发了停止办理线上业务通知,然后小编看了看日历,醍醐灌顶了,2021年hw行动来了!!
红蓝对抗的思想最早可追溯到我国现存最早的一部兵书《孙子兵法》,孙子·谋攻篇:“知彼知己,百战不殆;”,意为如果对敌我双方的情况都能了解透彻,打多少次仗都不会失败。在信息安全领域目前大家都有一个共识:“未知攻,焉知防”,攻防对抗本身是一个持续的过程,在具体的对抗中,对对手了解越多就会占据主导地位。红蓝对抗的主要目的在于,提高公司安全成熟度及其检测和响应攻击的能力。每年hw行动期间,蓝队会提前部署各种准备,如“态势感知、流量分析、入侵检测、各类防火墙”等等,秉持着神一般的危机直觉,隔着网线嗅到红队的逼近,三秒补上一个洞,网安界的兰博,一个人战斗力超过300000吨的防火墙,永动机级别的精力,蓝队老哥永不眠,时刻怀着防止被红队打穿出局。红队时刻用着锐利的眼神,敏锐的直觉,一眼看穿内核级漏洞的存在,现场开发exp,不欺负弱者,专挑最强的对手挑战,一发打穿对面狗头,然后飘然而去。
就这样红蓝双方相互博弈着,鏖战许久,迟迟不能分出胜负,但是,世上无绝对,这几天就流传了以下这个传闻了。韩毅自己发微信嘲讽红队,说红队没吃饱么,一条警告都没有,我在中国联通,快来打我啊,把我打穿啊!好吧,从来没有看过蓝队想要这么无理的要求,身为红队,就免为其难,满足好了。
红蓝双方忙不忙?
有些小伙伴会问,蓝队是不是都会闲着招惹红队,还是说每天会忙得不行,这个主要看蓝队的防护和人员水平,总体来说,蓝队的初中级不是很忙,高级的话,可能会忙一点,这个里面充满了变数,如果蓝队比较rich,基本上就是报异常,封堵ip地址。如果蓝队用了某些存在0 day安全设备,很有可能直接被打穿。一般来说,hw的前段时间都是红队的信息搜集时间(当然,这个信息搜集的时间不一定是在hw之后进行的,可能在很早的时候就已经悄悄开始)
hw时间长短?
还有一些小伙伴想知道hw时间是怎么算的,红蓝双方总不能一天24小时都在相爱相杀吧?前年最开始的时候是24小时,去年开始要求早9晚9,其他时间红队不允许攻击,如果红队攻击被发现,可能会被严惩,但是在非攻击时间也可能发生意外情况。(很多变数)
一般都是从演习开始到结束,大概周期在半个月左右,比如去年正式开始是从9.11日早上9点-9.24晚上9点结束,所以蓝队们需要呆到9点再下班,打个的回家睡个好觉,不用太过于担心红队偷袭而失眠了。总体上,去年的情况是,印度的ip apt攻击偏多,从最开始到最后结束,印度的apt攻击越来越多,这个排除一些真实的攻击场景之外,大部分印度apt攻击都是因为设备被木马感染,继而继续传播病毒。当然,我国的一些设备因为没有及时修复漏洞,导致被感染,开始进行病毒传播。钓鱼邮件会大大增加,社会工程学手段非常非常高明!!!前期:一般动静不大,除非蓝队很菜,大部分都是红队进行信息搜集。中期:一般有些蓝队相继沦陷,毕竟红队有很多的0day,这个时候可能已经开始了内网漫游,但有可能因为蓝队安全设备过多,红队动静过大,流量特征可能会被发现。后期:如果此时你所在的蓝队依旧还在,应该重点小心钓鱼!!!而且是最后几天,可能会收到大量的各式各样的钓鱼邮件!!!这里的钓鱼不仅仅是免杀exe文件,免杀宏文档,还有社会工程学,比如如果因个人原因未修补,导致被入侵,将会降低绩效、xxxxx突然有大厂的HR告诉你,对你的简历感兴趣,可否私聊?自己好好反思下,自己技术那么菜,为啥这个时间点冒出来这么多热情的hr来???于是加微信等私聊,在工作时间给你发送文件等,直接内网中招。小伙伴们,在这hw期间,如果你看到一些人拿着笔记本到底在干些啥而感到很困惑时,此时能够获知是,这闸门已被打穿了。
对于蓝队而言,现在的CNVD上高危漏洞也是漫天飞舞,吓人的很,也够蓝队们喝一壶了!请求蓝队的心理阴影面积为多少?4月8日15时,最新传出WPS-0day利用方式,通过点击触发WPS内置浏览器RCE4月8日13时,有消息传出天擎存在越权访问漏洞,poc已流出4月8日13时,致远OA-ajax.do存在任意文件上传漏洞,poc已流出4月8日12时,有消息传出齐治堡垒机存在命令执行漏洞,poc疑似已流出4月8日12时,网传深信服EDR存在命令执行漏洞,poc疑似已流出4月8日12时,网传深信服VPN存在无条件RCE漏洞,poc疑似已流出4月8日12时,网传jackson存在反序列化漏洞,poc疑似已流出4月8日12时,网传tomcat存在反序列化命令执行漏洞,poc疑似已流出4月8日12时,网传泛微OA9前台存在任意文件上传漏洞,poc已流出4月8日12时,网传泛微OA8前台存在SQL注入,poc已流出4月8日12时,网传CoreMai存在命令执行漏洞, poc疑似已流出4月8日12时,网传用友NC6.5版本存在反序列化命令执行漏洞,poc疑似已流出4月8日12时,网传dubbo存在反序列化命令执行漏洞,poc疑似已流出4月8日12时,网传weblogic存在反序列化命令执行漏洞,poc疑似已流出4月8日11时,网曝天擎前台存在sq|注入,poc已流出4月8日11时,网传和信创天云桌面系统全版本存在命令执行,文件上传,poc已流出4月8日11时,网传红帆0A任意文件写入漏洞,poc疑似已流出4月8日11时,网传exchange、 致远、shiro 存在0day漏洞,利用方式疑似已流出4月8日11时,网传金蝶K3Cloud全版本存在命令执行,poc疑似已流出4月8日11时,网传用友U8Cloud版本存在命令执行,poc疑似已流出4月8日11时,网传h3c计算管理平台2016年版存在任意账户添加,poc疑似已流出4月8日11时,网传启明星辰天清汉马USG防火墙存在逻辑缺陷,poc疑似已流出4月8日11时,网曝帆软V9存在getshell, poc已流出4月8日10时,有消息传出天眼存在0day漏洞,poc已流出4月8日10时,网传默安蜜罐管理平台存在未授权访问漏洞,poc已流出4月8日8时,网曝Jellyfin低于10.7.1版本存在任意文件读取漏洞,poc已公开
“疑似”漏洞汇总
· 某凌 OA 任意写入漏洞
· 某凌 OA某处远程代码执行漏洞
· 某道项目管理软件11.6 SQL注入漏洞
· 某远 OA远程代码执行漏洞
· 某友 NC 反序列化 RCE 漏洞
· 某潮 ClusterEngineV4.0 任意命令执行
· 某邮邮件系统远程命令执行漏洞
· Apache Solr 存在任意文件读取