《攻防實戰策略剖析與對抗博弈》潘立亞.pdf

《《攻防實戰策略剖析與對抗博弈》潘立亞.pdf》由會員分享，可在線閱讀，更多相關《《攻防實戰策略剖析與對抗博弈》潘立亞.pdf（18頁珍藏版）》請在三個皮匠報告上搜索。

1、攻防實戰策略剖析與對抗博弈潘立亞-深藍攻防實驗室創始人兼負責人深藍攻防實驗室深信服深藍攻防實驗室創始人&負責人，擁有10余年攻防滲透經驗，連續六年參加大型攻防演習活動，所帶團隊均取得最佳攻擊團隊戰績。曾在阿里峰會、OWASP、WOT、xKungfoo、ADconf等峰會分享攻防相關議題。一帶一路高峰論壇安全保障先進個人、第一屆超級CSO研修班特聘導師。潘立亞深信服專門進行攻防研究與紅隊實戰的團隊。研究對象包括：紅藍對抗、滲透攻擊鏈、通用漏洞分析與挖掘、武器開發等。作為攻擊隊參加各種實戰攻防演練，在國家級攻防、省級攻防、行業攻防、企業攻防等各類演習中表現突出，名列前茅（2021國家級攻防排名第五

2、；2022國家級攻防排名第四；實戰top2）。2020年在北京、浙江、安徽、黑龍江、江西、青海、廣西、海南、內蒙、天津、廣東 11個省級攻防取得冠軍的成績，前三排名占比80%。2021年，省級HW冠軍10個：上海、浙江、山東、安徽、江西、廣西、黑龍江、青海、深圳（副省級）、湖北，亞軍：內蒙、云南、湖南，季軍：遼寧、四川、江蘇。深藍攻防實驗室目 錄01實戰攻擊手法歸納03進攻體系新范式02應用鏈vs攻擊面04端與流量防護逃逸實戰典型攻擊案例QYS 0day社工釣魚瀏覽器密碼知識庫SSO郵箱組織架構精準釣魚域內主機域控權限終端下發管理員主機權限登錄堡壘機控制托管主機靶標權限橫向移動OA新據點業務分

3、析探測重要系統重要數據卒流量對抗卒端側對抗2023實戰攻擊歸納0day儲備立體化 漏洞攻擊體系化、IT業務串（SSO IAM OA ERP CRM PM pan Sign Dev.）漏洞組合巧妙化（告警無害化）社工釣魚精準化 社工釣魚人性化&需求吻合化，管理員系列精準化供應鏈攻擊具象化 大小供應鏈，大行業通用型、廠商推送類 行業屬性類、數科運維建設類、軟開通用類.武器裝備定制化 無特征、躲避監控、攻擊效率、模擬白名單內網攻擊集權化 管理集權：堡壘機、AD域控、EDR總控、K8s.；后利用 內容集權：知識庫、OA、郵箱、網盤存儲.；后利用橫向移動無感化 集權產品后利用管理員化，設備研究底層化 加

4、密流量、認證優先、狡兔三窟關基業務熟練化 邏輯結構、曲線救國、跑馬圈地等實戰進攻能力模型IT建設應用鏈&攻擊面分析正常的一個業務流程處理應用-登錄-認證/校驗-數據庫-業務數據OA/CMS-login-SSO/MFA-DLP-crypto【端點、落網、邊界、應用】正向思維 Bypass看到什么應用打什么應用？打穿打透、卷地式包圍特定應用對應的攻擊手法-后利用體系化前提：有大量儲備；缺點：浪費子彈逆向思維（業務視角）靶標是什么？（e.g.構建機）這個目標的路徑上有哪些可能的業務應用優點：相對精細后利用-體系化各應用類型、維權后的下一步，例如nacos、集權進攻體系新泛式（端&流量）整體攻擊鏈-端

5、側攻擊鏈-端側防御原理=逃逸方案攻擊者會產生各類行為動作，其中90%的行為動作在端上進行端側安全逃逸手法歸納1.API重寫動態加載2.免殺殼偽造入口點3.SMC4.細粒度分段加密5.盡可能降低“危險值”6.靜態文件逃逸1.shellcode內存加密/自解密運行2.線程堆棧欺騙3.干擾語義分析引擎4.虛擬機殼內存特征逃逸1.syscall2.脫鉤3.反射DLL注入4.進程注入進程行為逃逸1.R3 高權限句柄2.R3 DOS漏洞3.R0 白簽名驅動4.R0 白簽名驅動任意地址寫漏洞5.巧妙利用虛擬化 WCIFEDR致盲靜態逃逸-細粒度分段加密靜態，對抗信息熵，對需要保護的代碼/數據片段進行加密，以

6、破壞可讀性。同時還不能顯著增加信息熵【概率】。方法：每隔480字節加密48字節，在破壞加密區域代碼可讀性的同時，不會顯著增加信息熵。OEP解密功能代碼還原加密部分OEP解密功能代碼內存特征逃逸-線程堆棧欺騙KernelBase!SleepEx 和 ntdll.dll!NtDelayExecution 是beacon處于睡眠狀態的標志0 x22d6bd5bd51，堆棧遍歷尚未解析此地址的符號-虛擬內存【此地無銀三百兩】利用對Sleep的hook，在shellcode進入休眠狀態后將線程的返回地址改成0，然后在hook中執行剛剛被跳過的休眠，休眠結束后需要短暫運行shellcode時再把返回地址改

7、回去。行為特征逃逸-Threadless Process Injection高級進程注入總結1.Module Stomping（有線程）2.Process Hollowing3.Process Doppelganging4.Transacted Hollowing5.Process Ghosting6.Ghostly Hollowing7.Process Herpaderping8.Threadless Process Injection（組合跨進程內存分配，hook DLL導出函數）把shellcode和hook代碼寫在代碼空隙中，然后將一個正常加載的dll的某個 一定會被調用 的方法的句柄

8、patch掉。被動等待它調用就可以了。VS Module Stomping 區別就是沒有起新線程Hook+shellcode泛EDR 致盲技術歸納終端程序均可通過以下方法致盲 R3利用高權限句柄；遍歷偽句柄表，找到擁有EDR進程高權限句柄的程序DOS；（MinimumStackCommitInBytes）R0 白簽名驅動 ZwTerminateProcess（驅動自帶的終止進程）白簽名驅動任意地址寫漏洞巧妙利用虛擬化Windows Container Isolation Framework 典型致盲技術-白簽名驅動任意地址讀寫利用任意地址讀寫的驅動來清除內核中殺軟驅動注冊的回調函數，從而致盲殺

9、軟的部分功能1.獲取ntoskrnl.exe基地址2.定位PspSetCreateProcessNotifyRoutine函數地址3.獲取Pspsetcreateprocessnotifyroutine 函數的偏移地址4.獲取PspCreateProcessNotifyRoutineArray 數組地址5.定位所有注冊進程回調的驅動6.利用DriverReadMemery()，清除全部驅動的進程回調流量側檢測維度與逃逸手段目的：1.在流量側不好發現惡意流量（https看不懂）2.發現了是惡意流量，也（短期）阻止不了流量側檢測維度與逃逸手段DOH應用場景域名請求過程中，保護CDN的域名。防域名劫持，強行過墻。使用libcurl庫順便實現HTTPS遠程加載shellcode，且無JA3指紋特征。使用libcurl庫的證書鏈校驗/host校驗功能，防止中間人攻擊解密HTTPS流量?？傮w議題回顧THANK YOU