红队的攻击策略为什么在某央企，就不行了呢？

国家HVV行动从2016年到2024年已经是第9年了，HVV行动目的就是保卫国家关键基础设施的网络安全行动，更是一场实战化的网络攻击与防御实战，这些年来红队攻击手段层出不穷，最为典型的就是 0/N Day、弱口令、社工钓鱼等，也极大给相关参演单位带来了压力和动力。

我们来从一场网络攻击来分析一下红队的攻击策略，为什么遇到身份威胁检测技术就不行了？

-某大型企业在应用访问入口部署了身份威胁检测技术-

0****1

检测0 Day攻击

通过web异常访问告警发现HVV漏洞帆软报表ReportServer接口 SQL注入漏洞导致RCE 0day漏洞扫描探测

一键溯源攻击者

发现攻击者疑似使用了0day的漏洞来进行尝试探测，通过第三方情报平台发现此IP也为恶意风险IP

攻击者溯源，通过web异常访问告警发现HVV漏洞帆软报表ReportServer接口 SQL注入漏洞导致RCE 0day漏洞扫描探测，通过平台的IP画像溯源关联，未发现有设备设备、多IP的关联行为，判定为攻击者并未真实访问交互过业务系统，如果攻击者使用此IP进行其他的身份威胁行为，亦可及时检测关联更多的线索。同时第三方威胁情报平台显示此IP为恶意扫描标签，有可能会进行0day威胁漏洞探测。基本可以确认真实0day攻击情况，结果为被平台检测到所有攻击细节，并未拿到任何权限和成功入侵应用系统！上报研判组专家，通知相关协同厂商进行IOC拦截，收工！！！

0****2

检测 N Day攻击

泛微-SptmForPortalThumbnail-任意文件读取漏洞告警，通过web攻击日志发现了多个Nday攻击行为

一键溯源攻击

攻击者溯源，通过web异常访问告警发现攻击者使用了多个Nday漏洞如泛微-SptmForPortalThumbnail-任意文件读取漏洞、泛微OA E-Cology jqueryFileTree.jsp 目录遍历漏洞、泛微ecology FileDownloadForOutDoc-前台sql注入等漏洞进行攻击探测行为，检测到了攻击者使用开源java漏洞利用工具IWannaGetAll-v1.3.0.jar等Java类工具集，非正常员工客户端浏览器访问行为，并且进行了很多身份威胁尝试，通过设备画像、Ip画像、黑客攻击画像分析，并未拿到任何权限和成功入侵应用系统！关联结果发现上报研判组专家，通知相关协同厂商进行IOC拦截，收工！！！

0****3

抓弱口令类攻击

蛮力攻击告警

识别到软件测试工具BurpSuite的访问行为攻击告警（溯源到攻击者1真实身份信息）

一键溯源攻击者

攻击者1

攻击者1设备画像关联溯源

攻击者1泄露的手机号SG溯源关联

攻击者1，通过设备画像、IP画像、黑客攻击画像分析关联结果：使用真实的Windows终端，CPU 12核，使用鹏博士的海淀和朝阳多个IP地址发起身份威胁攻击，如尝试猜测账户、尝试密码找回、WEB漏洞扫描、黑客工具探测等，并且使用了渗透测试工具BurpSuite等进行扫描和漏洞尝试；在尝试密码找回时暴露了一个真实的手机号码，通过SG结果的身份证、手机号、学校、社交信息。通过安全朋友圈打探，确认该人确实为某海淀区某安全公司的渗透测试工程师，基本可以确认真实攻击情况。结果是被平台检测到所有攻击细节，并未获取任何权限或成功入侵应用系统！上报研判组专家，通知相关协同厂商进行IOC拦截，收工！！！

攻击者2

攻击者2设备画像关联溯源

攻击者2，通过设备画像、IP画像、黑客攻击画像分析关联结果：使用真实Windows终端，CPU 16核，使用两个北京的真实IP地址，瞬间多次使用代理翻墙技术，利用香港、日本、韩国、美国等IP来进行VPN翻墙、撞库、Nday漏洞扫描、Java黑客攻击工具集、渗透测试Yakit工具及扫描、渗透测试BurpSuite工具及扫描等手段。主要使用真实的物理设备进行工具扫描攻击和多种身份威胁攻击行为。基本可以确认，随机出现的多种威胁行为的境外攻击者在国内隐匿真实IP地址和设备画像信息，确认为真实攻击。结果是被平台检测到所有攻击细节，并未获取任何权限和成功入侵应用系统！上报研判组专家，通知相关协同厂商进行IOC拦截，收工！！！

0****4

抓自动化工具攻击

检测到Bot工具Selenium攻击告警

检测到渗透测试工具yakit和burpsuite的攻击扫描行为

一键溯源攻击者

攻击者溯源，通过IP画像和黑客攻击画像分析关联结果：使用自动化工具无头浏览器Selenium、渗透测试工具Yakit和BurpSuite等不同扫描器进行攻击，再结合IP画像可以关联出设备画像等信息。可以判定攻击者尝试使用自动化工具技术进行攻击，智能化验证码和身份威胁的Web威胁检测进行了身份威胁检测与响应。可以判定与之前的攻击者一致，利用香港、日本、韩国、美国等IP进行VPN翻墙行为、撞库、Nday漏洞扫描、Java黑客攻击工具集、渗透测试Yakit工具及扫描、渗透测试BurpSuite工具及扫描等手段，主要使用真实的物理设备进行工具扫描攻击和多种身份威胁攻击行为。基本可以确认，多种威胁行为的境外攻击者在国内隐匿真实IP地址和设备画像信息，确认这是一次真实攻击。结果是平台检测到所有攻击细节，攻击者未获得任何权限，也未成功入侵应用系统。上报研判组专家，通知相关协同厂商进行IOC拦截，收工！！！

攻击队的上述攻击手段仍在各单位的网络和应用中活跃。无胁科技的下一代身份安全产品将为你的核心应用建立一道身份安全边界。便捷的身份认证、实时的身份威胁检测、一键的身份威胁溯源，轻松拉爆攻击者的脑力值。

下一代身份安全产品-WuThreat身份云

WuThreat 是一家聚焦于全场景身份管理领域的科技公司，决心保护数字世界信任入口，守护每一个应用系统，全力打造极具安全能力与特色且适用于各行业各应用的身份管理产品。