找到真实的网站IP，挖掘相邻的网段，绕过安全设备。确定目标是否是一个蜜罐。内部网络

IP和定位系统。定位关键应用系统。

 

 

此外对于集团型目标，企业关系复杂，企业信息的数据储备有助于对关键目标，如天眼查、企

查、备案信息等进行快速定位。对集团而言，不同地区的控股子公司及其孙公司往往差异很大

，与其目标体系不相容。有了控制关系之后，就可以优先筛选出与目标系统更接近的资产清单

。此外，还可通过采购公告、版权声明、专利、软件著作权、知识产权清单等方式，直接定位

到目标系统的研发单位，尤其是有自己IT支持单位的目标集团。

 

零点储备量

 

大型操练项目时间紧，任务重，人力有限，工作效率不高。传统的攻克手段不能完全满足需求

，在对目标组织结构不了解的情况下，直接攻克的路径会很长，光是攻克边界，摸清内部网络

状态，判断目标是否连通就需要较长的时间。在这一点上攻击关键的基础设施：邮件系统，O

A系统，VPN系统，企业知识库，域控制，集中控制等系统的价值就很大了。一次有效的0小

时可节省数天的时间，至少能直接获得一次有效的外网攻克，起着事倍功半的实际效果。例如

，获得OA系统就能摸清目标群体的组织结构，定位目标系统的位置，邮箱和VPN就更不用说

了，从今年陆续曝光的0day数量来说也略见端倪。

 

 

对防御方而言，实际上0day的行为检测并不那么可怕，即便遇到0day攻击，服务器上的对抗也

会回到到根本之上，例如：Webshell，恶意命令，弹出Shell，端口扫描，黑客工具，端口转发

，权限授权，C2通讯等等，这就要求防御方超越IoC的束缚，攻克传统的黑色特性，不依赖于

对特定漏洞的先验知识，全面地基于行为数据建模，从而具有发现和识别通过未知漏洞的恶意

活动的能力。对一个完美的纵深防御系统来说，抓住节点上的疑点，当攻击者试图执行探查命

令时，可能就会报警，甚至用蜜罐来抓0day。攻击队的0次进攻也需要深思熟虑，确定是否可

以绕过蜜罐，并尽可能地采取合法的行动，例如增加一个账户，而不是执行一个黑色命令或直

接跳过外壳。

 

 

 

工欲善其事必先利其器，对攻击队而言，需要对所用到的工具进行杀戮。C2负荷的常用解决

方法包括域前解决、ShellcodeLoader、加壳和合法软件签名等，除了对木马进行免杀外，在

渗透过程中还尽量不直接使用公开的工具，至少重新编译或删除已知的文档特性，否则防御

者就可以通过最简单的IoC匹配成功报警。

 

 

一种典型的情况是：当挖掘到一个不确定性的上传漏洞，并花时间绕过WAF时，结果是上传

的是一个字句木马，很可能直接触发服务器层的Webshell文件报警，造成损失。网络渗透下

的端口转发、扫描、口令抓取等工具同样适用。目前渗透工具大量使用无文件攻击，例如进

程注入、从内存加载.Net程序集、在JavaServlet容器中动态注册字节码等，这无疑大大提高

了恶意工具执行的隐蔽性。此外，一些工程工具，如邮件内容的批量分析，通讯录提取等，

也可以提高相当的效率，节省宝贵的时间。相对的从防御视角来说，无论是C2通讯、等方

法从多个维度发现不确定性的攻击行为。