未知攻，焉知防——深度解析网络攻防演练中的常用攻击行为

网络安全攻防演练自2016年开展以来，已成为网安领域的年度焦点，其规模范围、攻防难度和复杂度也在逐年提升，参演单位稍有不慎就会沦为“一轮游”。

有言道，知己知彼，百战不胜。未知攻，焉知防？在这场无声的网络攻防博弈中，为保障防线牢不可破，我们可以从攻击者的角度出发，深入剖析并熟练掌握各类常见的攻击手段，以此主动预见并灵活应对潜在威胁，从而提升安全防御的效能。

攻防演练中的攻击一般分为三个阶段。

第一阶段：以自动化攻击、信息收集为主要攻击手段。重点工作是对防守机构暴露的信息系统资产进行探测与收集，如IP地址信息、域名地址信息、高危端口信息、电话号码、邮箱信息、下属单位信息等。完成信息收集后会批量发起攻击，如弱口令的爆破、后台地址的探测、目录遍历的攻击等。

第二阶段：以多源低频、打点突破为主进行手动攻击。重点工作是从批量化的攻击转为重点系统攻击，人工进行漏洞分析，定向打点突破，对现有的防护措施进行绕过和突破攻击，在正面突破困难时会进行钓鱼邮件的社工和IM聊天的人员社工。

第三阶段：内网突破，横向移动，核心渗透。重点工作是提升系统权限，突破内网，横向穿透其他业务系统，将攻击行为隐秘化，对重点靶标系统进行定向打击。在社工攻击过程中，攻击人员会对防守机构发送大量带有攻击属性的钓鱼邮件并等待失陷人员上钩。

在攻防演练的持续推进下，攻击团队已逐渐提炼出一套行之有效的策略与战术。他们倾向于在攻击的全流程中，采用多样化的组合攻击策略，对防守机构的信息系统发动全面而猛烈的攻势。面对这一挑战，防守机构的安全防护体系已显著增强，能够有效抵御多数有组织的攻击企图，这也反过来促使攻击人员必须不断创新，采用更为精妙的攻击手法来突破防线。

以下是对往年网络攻击手段的总结：

1、弱口令攻击

弱密码、默认密码、通用密码及已泄露密码通常是攻击人员首要瞄准的突破口。在实际操作中，通过弱口令获得权限已成为快速有效的方式之一。当前很多企业的弱口令都存在普遍性，账号名如：admin、test、zhangsan123、lisi888等，密码如：123456、admin123、888888、生日日期等。特别需要关注的是以键盘布局为灵感设计的弱口令，如1qaz2wsx、123qweasd、asdflkjh，以及经典弱口令，如password、p@ssword、passwd等，同样屡见不鲜。

攻击人员到达内网后，会持续寻找内网中存在的特权账户，如域控的通用账户、管理员所使用的特权账户、云管平台的集中管控账户。这些账户都是攻击人员为扩大战果所关注的重点账户和口令信息。

2、互联网集权系统攻击

当前防守机构的信息系统成多样化，既涵盖面向公众提供服务的互联网信息系统，也包括专为企业内部办公人员设计的信息系统。这种多样化的办公方式进一步加剧了信息系统管理的复杂性，使得互联网上的集权系统需要不间断地为办公人员提供支持。暴露在互联网上的集权系统包括但不限于VPN系统、邮件系统、云管理平台以及堡垒机等，它们通过互联网直接对外开放，因此成为了攻击方重点关注的目标。攻击方会通过代码审计和渗透测试等手段，深入挖掘系统中可能存在的0day漏洞或已知但尚未广泛修补的Nday漏洞。此类系统或账号一旦失陷，互联网边界防护体系会被直接突破，攻击方就能进入内网进行持续攻击。

3、通用类产品漏洞攻击

近两年，攻击人员持续关注通用类产品漏洞，一般会利用中间件、数据库、审计系统、运维系统等产品中的漏洞，快速获取内网权限和账户信息，进而控制目标系统。而作为防守机构，往往很难发现此类漏洞，相关攻击行为常被当作正常业务访问而忽略。

4、0day漏洞攻击

在过去的网络攻防演练中，0day漏洞引发的攻击数量呈现出显著上升的趋势，同时在野的0day漏洞利用事件也明显增多。攻击人员巧妙地利用这些未知的0day漏洞，能够轻松绕过现有的安全防护体系，大幅提高了攻击的成功率。特别是在2023年，安全服务团队监测到有超过100起Web环境下的在野0day漏洞利用案例，其中超过半数发生在网络攻防演习的实战场景中。这充分表明，高利用价值的0day漏洞依然是当前攻防对抗中的核心威胁，其中信息泄露漏洞尤为突出，成为横向移动的主要突破口，其次是SQL注入漏洞和API访问控制漏洞。

随着攻防对抗日益常态化，预计将有更多0day漏洞被挖掘并用于网络攻击。因此，当前必须提升对0day漏洞的侦测、捕获及快速响应能力，以有效抵抗未知威胁。

5、开源软件攻击

数据显示，2023年众多备受关注的漏洞主要集中在开源软件领域，如Apache ActiveMQ、Apache RocketMQ及Apache OFBiz等存在的远程代码执行漏洞，这些漏洞在行业内造成了广泛的影响，并构成了较高的安全威胁。据专业机构发布的2023年报告分析，在所考察的1703个代码库中，高达96%的代码库包含了开源代码，且有76%的项目完全基于开源构建。值得注意的是，这些代码库中有84%至少含有一个已知的开源漏洞，而48%更是涉及高危漏洞。

由于开源组件是开放的，没有任何形式的保证，使用开源软件会给防守单位带来较高的安全风险。因此，在使用开源软件时，有必要仔细评估其安全风险，并采取安全措施。

6、社工攻击

随着攻防对抗的发展，易被利用的漏洞数量越来越少，针对防守机构办公人员的攻击尝试越来越多。钓鱼邮件与即时通讯（IM）软件中的社交工程攻击，已成为攻防演练中最主要的攻击手段之一。据安服团队的社工演练数据来看，每发出100封钓鱼邮件，至少有5%的办公人员被“钓鱼”；每100位办公人员中就有20%的人员会通过IM聊天软件添加陌生好友并通过验证。这些数据表明，即便在具备一定安全意识的工作环境中，经过精心策划的钓鱼邮件与IM聊天话术依然能够穿透防线，在攻防演练中取得显著效果。

安博通安全服务团队结合历年攻防演练的攻击手段进行分析，为企业机构提出了以下防守策略建议：

1、收敛防守攻击面

在攻防演练中，防守机构暴露给攻击者的攻击面信息越少，其遭受攻击的风险便相应降低。因此，前期的信息系统资产梳理与攻击面收敛工作至关重要且需要精心执行。这不仅限于互联网上直接暴露的信息系统资产、潜在的影子资产、开放的端口、IP地址、软件组件及VPN入口等显性数据，还需特别关注防守机构内部的深层次信息，如组织架构详情、人员身份信息、社区论坛中的敏感讨论、办公文档的流转与处理细节、无线网络配置、以及智能终端设备的各项数据。

上述信息均为攻击者高度关注并可能持续利用的宝贵资源，它们构成了潜在的攻击路径。为了有效抵御潜在威胁，防守机构需确保这些信息数据始终处于严格的监控与收敛状态，将其限制在可控的安全边界之内，从而最大限度地减少被攻击的风险。

2、加强纵深防御体系

运用纵深防御体系建设的方法论，审视防守单位当前网络安全防护能力。在分区分域的基础上，部署多层防御措施，避免攻击者逐层突破后盗取重要数据资产。从攻击面收敛和管理的角度出发，要深入剖析网络架构中潜藏的安全隐患，识别并减少潜在的攻击面，持续完善纵深防御体系，确保互联网区域的信息系统以及关键数据资产得到全方位保护。另外还要构建多层次、全方位的网络攻击事件监测与发现机制，确保每一起攻击行为都能被迅速识别并记录在案，让攻击者无处遁形。

3、靶标系统重点排查

通过安全自查，对靶标系统的安全状况得以真实反映，结合整改加固措施，对评估发现的问题逐一进行整改。基于最小权限原则制定并设置必要的防御规则，即仅开放允许业务正常运行所必须的网络和系统资源。在攻防预演练之前，确保靶标系统的所有安全问题均已通过有效措施得到妥善处理。排查工作重点涵盖网络安全、主机安全、应用系统安全、运维终端安全、日志审计以及集权系统安全等多个方面，确保系统整体安全性的全面提升。

4、人员安全意识加强

增强防守单位办公人员的安全意识是一项长效持续的工作。防守机构可通过内部开展人员社工的攻防演练，提升企业办公人员的安全意识，让办公人员充分参与到实战中，体验多种安全威胁案例，从而快速提升对社工攻击的防范意识。同时，也可以通过定期组织安全意识提升专项课程，提高全体员工的网络安全意识能力，最终实现安全意识与防护能力的双重提升。

作为中国第一家登陆科创板的网络安全企业，安博通高度重视技术研发投入，持续深耕前沿攻防技术，致力于网络安全保障体系建设，曾参与完成中共十九大、第七届世界军人运动会、2022北京冬奥会冬残奥会等重大活动的网络安全保障任务。安博通安全服务团队连续多年承接省、市监管单位组织的网络安全攻防演练任务，并取得优异成绩，赢得众多认可与好评。

未来，安博通将继续在网络攻防演练中贡献安全能力，帮助国家、企事业单位在实战演练中提升网络安全攻防水平、锤炼安全防御体系，守护国家网络空间安全，为数字中国、网络强国事业添砖加瓦。