攻防演練場景下的加密流量概況 - 網安 - 專業的網絡安全產業、社區、知識平臺

概述

近年來，攻防演練持續開展，對抗烈度逐漸增強，攻防演練場景下的產生的加密流量也逐年增多。本文針對攻防演練場景下的加密流量進行大致梳理。

攻防演練場景下的加密流量分類

攻防演練場景中，攻擊者一般會經歷初始信息搜集、初始打點、橫向移動、命中靶標等幾個階段。在幾個階段中，均會產生不同的加密流量。根據加密流量的流向，我們將攻防演練場景下的加密威脅劃分為出聯，入聯和橫向三類。

出聯威脅是指資產受控后主動向外部互聯網C2與攻擊者進行加密通信的流量；
入聯威脅是指攻擊者主動發起針對資產的探測、攻擊所產生的加密流量，或者是攻擊者向已預置后門的服務（如各類Webshell）主動發起連接的流量；
橫向威脅是指攻擊者在橫向移動階段產生的資產與資產間的加密流量。

信息搜集：對主機和系統信息的收集，主要是為了建立攻擊面而進行的活動。常見的通過互聯網搜索引擎對域名和資產進行調查外。還會通過主動探測來收集開放的系統服務和API接口信息，其中會產生入聯流量，例如針對HTTPS服務進行探測的流量。

初始打點：建立攻擊據點，該部分的工作主要執行攻擊。通過對員工的社工釣魚，以及對暴露資產的暴力破解、漏洞利用等方式攻陷某一臺主機。其中將產生多種加密流量，例如SMTPS釣魚郵件投遞屬于入聯威脅，釣魚郵件中木馬或鏈接被點擊運行后的流量屬于出聯威脅。另一部分，針對資產的SSH、RDP暴力破解產生的加密流量、針對HTTPS站點漏洞利用等產生的流量屬于入聯威脅加密流量。

橫向移動：在建立初始據點后，大多數的情況初始據點權限不夠或不是最終靶標，此時攻擊者需要進行橫向移動持續獲取權限。這個過程會產生各種類型的加密流量：首先是橫向移動技術本身涉及的信息搜集、滲透突破過程涉及SSH、RDP掃描暴破、漏洞利用等加密流量；其次，在橫向移動的過程中，攻擊者不可避免的要維持一條或多條出聯通道，這類通道可能通過加密反彈木馬、部署Webshell提供，也可以通過加密反彈Shell、加密代理轉發等實現。

命中靶標：這一部分主要是拿下目標機器權限并成功獲取數據，主要涉及數據回傳，屬于出聯的流量，包括木馬回聯和代理的轉發到外網等會產生加密流量。

攻防演練場景下的加密流量來源梳理

攻擊流量的產生離不開攻擊工具，攻擊工具的來源決定了攻擊的質量。從攻擊的烈度來看，低烈度的攻擊一般會采用已有的工具，比如常見的Hydra、Medusa、漏洞掃描器等，這些工具直接拿來使用，幾乎不用配置；中等烈度的則會通過配置策略和魔改的方式對工具進行調整，繞過流量檢測，如我們常見的Cobalt Strike通過Profile文件可以配置證書和請求頭等信息，各種Webshell參數支持深度定制等，這些修改都是為了達到流量繞過檢測的目的；高烈度的攻擊一般由紅隊自研，比如自研漏洞、自研反彈木馬、Webshell等。這類非公開工具的檢測難度更高，攻擊者為了避免暴露，在非必要情況下也不會輕易使用此類工具。從近幾年攻防演練看，使用原始工具、木馬的情況越來越少，攻擊者大部分轉向對原始工具進行魔改，甚至自研工具、木馬進行攻擊。

以下是簡要列舉在攻防演練場景中常見的工具，以及這些工具產生的流量類型和類別。