概述

近年來，攻防演練持續開展，對抗烈度逐漸增強，攻防演練場景下的產生的加密流量也逐年增多。本文針對攻防演練場景下的加密流量進行大致梳理。

攻防演練場景下的加密流量分類

攻防演練場景中，攻擊者一般會經歷初始信息搜集、初始打點、橫向移動、命中靶標等幾個階段。在幾個階段中，均會產生不同的加密流量根據加密流量的流向，我們將攻防演練場景下的加密威脅劃分為出聯，ru聯和橫向三類。出聯威脅是指資產受控后主動向外部互聯網C2與攻擊者進行加密通信的流量；ru聯威脅是指攻擊者主動發起針對資產的探測、攻擊所產生的加密流量，或者是攻擊者向已預置后門的服務（如各類Webshell）主動發起連接的流量；橫向威脅是指攻擊者在橫向移動階段產生的資產與資產間的加密流量。

信息搜集：

對主機和系統信息的收集，主要是為了建立攻擊面而進行的活動。常見的通過互聯網搜索引擎對域名和資產進行調查外。還會通過主動探測來收集開放的系統服務和API接口信息，其中會產生ru聯流量，例如針對HTTPS服務進行探測的流量。

初始打點：

建立攻擊據點，該部分的工作主要執行攻擊。通過對員工的社工釣魚，以及對暴露資產的暴力破解、漏洞利用等方式攻陷某一臺主機。其中將產生多種加密流量，例如SMTPS釣魚郵件投遞屬于ru聯威脅，釣魚郵件中木馬或鏈接被點擊運行后的流量屬于出聯威脅。另一部分，針對資產的SSH、RDP暴力破解產生的加密流量、針對HTTPS站點漏洞利用等產生的流量屬于ru聯威脅加密流量。

橫向移動：

在建立初始據點后，大多數的情況初始據點權限不夠或不是最終靶標，此時攻擊者需要進行橫向移動持續獲取權限。這個過程會產生各種類型的加密流量：首先是橫向移動技術本身涉及的信息搜集、滲透突破過程涉及SSH、RDP掃描暴破、漏洞利用等加密流量；其次，在橫向移動的過程中，攻擊者不可避免的要維持一條或多條出聯通道，這類通道可能通過加密反彈木馬、部署Webshell提供，也可以通過加密反彈Shell、加密代理轉發等實現。

命中靶標：

這一部分主要是拿下目標機器權限并成功獲取數據，主要涉及數據回傳，屬于出聯的流量，包括木馬回聯和代理的轉發到外網等會產生加密流量。

攻防演練場景下的加密流量來源梳理

攻擊流量的產生離不開攻擊工具，攻擊工具的來源決定了攻擊的質量。從攻擊的烈度來看，低烈度的攻擊一般會采用已有的工具，比如常見的Hydra、Medusa、漏洞掃描器等，這些工具直接拿來使用，幾乎不用配置；中等烈度的則會通過配置策略和魔改的方式對工具進行調整，繞過流量檢測，如我們常見的Cobalt Strike通過Profile文件可以配置證書和請求頭等信息，各種Webshell參數支持深度定制等，這些修改都是為了達到流量繞過檢測的目的；高烈度的攻擊一般由紅隊自研，比如自研漏洞、自研反彈木馬、Webshell等。這類非公開工具的檢測難度更高，攻擊者為了避免暴露，在非必要情況下也不會輕易使用此類工具。從近幾年攻防演練看，使用原始工具、木馬的情況越來越少，攻擊者大部分轉向對原始工具進行魔改，甚至自研工具、木馬進行攻擊。

以下是簡要列舉在攻防演練場景中常見的工具，以及這些工具產生的流量類型和類別。

攻防演練場景下的加密流量舉例

上文對攻防演練場景下的加密流量概況、工具概況進行了介紹，下面針對這些流量，選擇幾個有代表性的進行舉例。

RDP暴力破解，對遠程桌面進行登錄口令的破解，一般使用3389端口。

圖1 RDP暴力破解截圖

SSH暴力破解，對SSH遠程進行登陸口令的破解，一般使用22端口。

圖2 SSH暴力破解截圖

WEB漏洞掃描，目前大多數的站點已經啟用了HTTPS的安全協議，所以我們在進行web滲透的時候中間流量只能看到加密的流量，無法看到執行了什么POC和探測請求。一般標準的HTTPS協議開放443端口。

圖3 web漏洞掃描截圖

端口轉發，由于防火墻的策略設備，導致很多端口被封，那么這個時候就需要合理利用開放的端口將數據轉發出去，本地端口的復用。如下圖的188通過53端口轉發187的3389端口流量給79。

圖4 端口轉發截圖

加密轉發，neo-regeorg加密代理HTTPS流量。

圖5 neo-regeorg代理流量

反彈shell，通過openssl可以加密反彈shell執行命令。

圖6 反彈shell流量

C2回聯，這個在攻防中主要是一些可自動生成木馬的平臺工具，比如Cobalstrike，而且它們通常支持多種上線方式，下圖為Cobalt Strike通過HTTPS協議上線的流量截圖。

圖7 C2上線

隱蔽隧道，通過DNS協議、HTTP協議、ICMP協議等，下圖為DNS隧道示例。

圖8 DNS隱蔽隧道

CDN隱藏，通過配置CDN，使得C2地址隱藏，產生的流量直接走CDN地址。

圖9 CDN隱藏流量