2022 护网行动攻防实战经验复盘与总结
引言
国家网络安全实战演习(简称'护网')是检验各单位网络安全防御能力的重要演练。随着网络攻击手段的日益复杂,攻防对抗已从单纯的技术比拼转向体系化、智能化的较量。本文基于对 2022 年护网行动的观察与复盘,从攻击方与防守方两个维度,深入分析攻防策略、工具使用及防御体系建设中的关键问题,旨在为安全从业人员提供有价值的参考。
一、整体攻防思考
本次攻防演习在规则制定与各方实力对比上均呈现出前所未有的特点。关于攻击队与防守队的优劣,业界常有争论。攻击方的优势在于主动性与隐蔽性,可在非特定时间发起攻击,利用 0day 漏洞实现精准打击,遵循木桶原理,攻破一处即可渗透内网。防守方则拥有全量流量访问权限,可实时监控并封堵 IP,部署蜜罐诱捕攻击者,并在主机层进行深度监控。
攻防本质是对立统一的过程,道高一尺魔高一丈。核心在于如何在攻守之间寻求突破与平衡。以下将从具体战术层面展开分析。
二、攻击方视角分析
1. 分布式扫描与自动化
在真实攻击行动中,获取核心系统通常需要数周甚至数月,但护网时间窗口有限(通常 3 周),且目标众多,因此快速、自动化成为关键。
- 分布式扫描器:单一扫描器易被识别封禁,分布式架构通过多节点并发扫描全端口及 Banner 信息,可快速收割资产。需注意二级域名收集时的字典爆破陷阱,防守方常设置诱饵域名引入蜜罐。攻击方需具备识别蜜罐的能力,避免陷入被动。
- 工具版本管理:如 AWVS 等扫描器需保持最新版本,旧版本自身可能存在 RCE 漏洞,易被防御方反制。
2. Webshell 管理与免杀技术
Webshell 管理工具是攻击链中的重要环节,其演变反映了攻防技术的博弈。
- 菜刀:早期经典工具,稳定性高但特征明显,极易被 WAF 或流量分析设备识别。一旦被发现,服务器沦陷即暴露。
- 蚁剑/冰蝎:蚁剑基于 Node.js 开发,跨平台能力强,但存在本地解析 RCE 风险。冰蝎采用双向通信加解密,有效绕过基于黑名单正则的防御。然而,大量攻击仍沿用原始工具,导致被轻松清除。
- 二进制远控:现代攻击更倾向于使用命令行加载二进制远控(如类似 Cobalt Strike 的载荷)。相比传统 Webshell,这种方式支持 TCP/UDP 协议,可动态上线,绕过基于文件名的检测。建议白帽子关注此类无文件攻击技术的演进。
3. 社会工程学与钓鱼攻击
水坑与鱼叉攻击是突破边界的有效手段,主要基于邮件投递。
- 信息收集:利用 GitHub 搜索泄露的邮箱账号,结合组织结构导出通讯录进行口令爆破。若无直接账号,可通过搜索引擎收集邮箱,结合常见姓名字典组合弱口令。
- 攻击载荷:发送带宏病毒的文档,注意加密处理以防沙箱检测。若无法获取邮箱,可使用 Swaks 等工具伪造管理员身份发送钓鱼邮件。
- 防御对策:最彻底的方式是关停外网邮箱。次选方案包括实时查看登录日志、异地登录预警,以及通过流量镜像对附件进行沙箱判定。
4. 内网渗透与业务理解
突破边界后,内网渗透的核心是横向移动与纵向提权,关键在于信息收集。
- 域环境:目标是拿下域控。即使获得域控权限,仍需在海量的终端中筛选目标数据位置,这需要特定的技巧。
- 业务理解:阻碍渗透的主要原因往往是对目标业务的陌生。例如电力行业有特定的 16 字方针,电信、金融行业也有独特的架构逻辑。不了解业务,进入内网后如同'盲人摸象',难以定位核心数据。纵向突破需要长时间的业务调研与路径规划。
5. 0day 漏洞的优劣势
本次演习中发现了多个 0day 漏洞,覆盖 Web、网络、操作系统等领域。
- 收益与风险:针对广泛使用的商业应用,一个 0day 可攻下所有相关目标,收益极高。但 0day 生存期极短,在 7*24 小时监控下可能仅存活半小时。真实环境中,周期通常不超过一周。
- 防御挑战:0day 的大量存在要求防守方不能仅依赖特征库,需建立纵深防御体系。
三、防守方视角分析
防守工作涵盖事前排查、事中监控、事后溯源三个阶段。
