护网演练红队服务内容清单
|
服务阶段 |
序号 |
服务项目 |
服务内容 |
服务目标 |
|
准备阶段 |
1 |
攻击方案编制 |
编制完成攻击方工作方案 |
通过演习攻击方案指导攻防演习红队的开展,确保演习攻击工作的效果。 |
|
2 |
攻击工作启动会 |
召开攻击工作启动会 |
以启动会的形式明确本次演习攻击工作的目的、工作分工、计划安排和基本工作流程。 |
|
|
3 |
专项应急预案 |
进行专项应急预案的梳理,确定应急预案的流程、措施有效,针对应急预案的组织、技术、管理流程内容进行完善。 |
确保能够有效支撑后续演习工作。 |
|
|
攻击阶段 |
1 |
目标系统信息搜集 |
真实IP地址、Web管理后台登录口、Web banner、基础服务端口、DNS、子域、敏感文件、目录、社工信息、APP、小程序、内网信息、供应商、安全设备、Waf 种类识别、蜜罐识别等。 |
全面梳理目标系统可能被攻击的路径。 |
|
2 |
入口权限获取 |
边界漏洞挖掘和利用;包括WEB安全漏洞、中间件安全漏洞、Windows php集成环境安全漏洞、数据库安全漏洞、各类开源程序的已知Nday漏洞、各类Web组件安全漏洞、边界网络设备安全漏洞、各类基础服务端口安全漏洞、钓鱼邮件攻击、水坑攻击等 |
获取入口权限或敏感信息 |
|
|
3 |
设备主机提权 |
windows主机提权、linux主机提权、各类第三方服务 / 软件工具提权 |
提升边界设备的控制权限 |
|
|
4 |
边界设备信息搜集 |
当前系统的 详细ip配置,包括 所在域, ip, 掩码, 网关, 主备 dns ip、用户登录记录、杀软 / 监控种类、所有用户的rdp外连记录、所有 ipc 连接 及 已启用共享、当前机器环境变量、 |
发现可利用的条件 |
|
|
5 |
内网信息搜集 |
各种文件[共享]服务器 各类web服务器、各类数据库服务器、邮件服务器、Vpn服务器、内网各类常规资产状态监控服务器、内网各类防护的主控端、内网日志服务器 内网补丁服务器、内网各类OA,ERP,CRM,SRM,HR系统、内网打印服务器、内网 MES 系统、内网虚拟化服务器 / 超融合平台 [Vmware ESX]、内网堡垒机、内网运维,研发 部门员工的主机、内网路由,交换设备等等... |
发现可攻击的目标 |
|
|
6 |
内网攻击 |
对同一网段针对各类已知系统高危RCE漏洞的批量探测识别与利用、WINDOWS域渗透 |
获取更高价值目标 |
|
|
7 |
内网横向移动 |
、理转发、从 *inux平台 横向至 Windows 平台、从 *inux平台 横向至 *inux 平台、从一个区域横向至另一个区域 |
扩大战果 |
|
|
8 |
权限维持 |
边界入口权限维持、Windows 单机系统维持、linux 单机系统维持 |
通过权限维持保持攻击连续性 |
|
|
安全防护阶段 |
1 |
痕迹处理 |
清除攻击痕迹 |
防止攻击被发现 |
|
总结期 |
1 |
总结报告编写 |
全面总结本次攻防演习各阶段的工作情况,形成总结报告。 |
向客户单位汇报 |
|
2 |
安全整改 |
对在演习过程中发现的安全漏洞,协助开展整改工作。 |
建立安全防护体系 |
