文章总结: 本文介绍了Backdoors&Breaches卡牌游戏在DASH2026上发布的新场景和玩法变体。核心内容为四个基于真实攻击趋势设计的推演剧本,涵盖软件供应链污染、云凭据硬编码、AI提示注入和构建流水线幽灵。文章还提出了明牌玩法、截图辅助和顾问卡等机制,旨在加深安全讨论。建议团队使用真实日志和工具验证检测逻辑,以发现安全盲点。 综合评分: 90 文章分类: 应急响应,红队,内网渗透,安全运营,供应链安全
后门与入侵:新场景与实战变体
幻泉之洲
2026年7月6日 09:07 北京
在小说阅读器读本章
去阅读
去年我们发布了 Backdoors & Breaches 的 Datadog 扩展包,今年在 DASH 2026 上又带来了新场景和玩法变体。这篇文章拆解四个基于真实攻击趋势设计的推演剧本,聊聊“明牌”玩法、截图辅助和顾问卡这些让桌面推演更有深度的小改动,顺便告诉你没到现场怎么搞到这套牌。
DASH 现场又发牌了
去年 DASH 2025,我们把 Black Hills Information Security 那款知名的应急响应卡牌游戏 Backdoors & Breaches[1]整了个 Datadog 扩展包。今年 DASH 2026,我们又出现在 Security Zone,带来更多卡组和新剧本。没到现场拿实体牌的,可以直接在线商店下单扩展包,或者用在线版[2]开玩。第一次接触这游戏?先看我们的入门指南[3]。
核心牌组搭配 Datadog 扩展包能组合出无数场景,但我们团队根据正在追踪的真实威胁趋势,设计了四个新的入门剧本(后面细说)。你可以直接用,也可以按自己的目标改编,或者从头搭一套。Datadog 扩展包的目的就是让你用自己手头现有的监控和安全工具来跑桌面推演。
▲ DASH 2026 现场的 Backdoors & Breaches 桌台
几种让讨论更深入的新玩法
这游戏我们带得越多、打得越多,越能发现一些能加深讨论的变体。
今年 DASH 现场,Datadog 安全研究员 Olivia Gallucci 搞了个“明牌”玩法。她不用检测卡去翻攻击卡,而是直接把攻击卡正面朝上,然后抛问题:“你觉得为什么这个检测会奏效?”“这个工具也能用来修复问题吗?”这种形式对有不同安全背景的混合团队特别友好,因为重心被转移到了集体讨论上,而不是拼手气。
我们还加了一个细节:检测工具的截图。让玩家能直观看到真实的检测结果长什么样。如果你把这游戏当成完整的应急响应桌面推演,而且手上正好有跟场景匹配的历史日志,完全可以让玩家自己去日志里搜问题,而不是等着发牌。
另外,今年我们打牌时引入了“顾问卡”,卡面上是我们的安全合作伙伴 SecurityHQ[4]的成员。当玩家打出“呼叫顾问”这张检测卡时,顾问会提供游戏内优势,比如直接揭示初始入侵卡。这些真人顾问也顺道过来跟 DASH 参会者一起玩了几把。
四个新剧本
场景一:被污染的软件供应链
你的平台团队最近往构建流水线里集成一个流行的第三方库,为了加速功能交付。部署没多久,异常的 API 调用和资源消耗模式就被标记出来。调查发现,长时间有效的 API 令牌正从陌生的环境被使用,而且对应的开发人员根本没活动。
- 初始入侵:被植入后门的软件供应链
- 横向移动与提权:凭据存储库遭窃
- C2 与数据外泄:通过快照资源实现数据外泄
- 持久化:创建额外凭据
▲ 场景一卡片布局
这个场景戳中了一个很现实的痛点。现在大家都拼命往 CI/CD 里塞第三方组件,安全评审往往跟不上。一旦库被污染,攻击者拿到的不是普通账户,而是构建系统的上下文——那里面塞满了各种 token 和密钥。长期有效的 API token 被异常使用,这本身就是个很扎眼的信号。但说实话,多少团队有足够的日志粒度去区分“陌生环境”和“正常异地开发”?
场景二:“氛围编码”埋下的雷
一个快速开发出来的“氛围编码”应用,几乎没经过安全评审就上线了,它把云凭据直接硬编码在客户端代码里。很快,外部来源就开始出现异常的访问模式,接着是环境内部的提权迹象。数据的存取和移动跟正常的云活动混在一起,很难揪出来。
- 初始入侵:未授权的云访问
- 横向移动与提权:IAM 策略滥用
- C2 与数据外泄:利用云原生功能窃取数据
- 持久化:后门化的角色信任策略
▲ 场景二卡片布局
“氛围编码”(vibe coding)这词很有意思,说的就是那种不管底层逻辑、先让程序跑起来再说的开发方式。凭据硬编码在前端代码里,等于是把家门钥匙贴在门外。攻击者拿到云访问权后,用 IAM 策略提权,然后利用云本身的功能往外传数据——这种“生活在云端”的 exfil 方式,让流量看起来就像正常的云服务调用。想靠传统网络监控抓它,基本是瞎忙活。
场景三:AI 应用引来的提示注入
某个 Kubernetes 集群里跑着一个有提示注入漏洞的新 AI Web 应用。没多久,你观察到集群内出现异常的服务行为和权限变更,还伴随着出站流量悄悄经过某个受信任的 SaaS 提供商转发。你把 Pod 干掉,但可疑活动又冒出来了。
- 初始入侵:云应用被攻破
- 横向移动与提权:Kubernetes 服务账户提权
- C2 与数据外泄:以 SaaS 隧道 VPN 作为 C2
- 持久化:克隆的 Kubernetes 凭据
▲ 场景三卡片布局
这场景把 AI 安全、容器安全和供应链信任揉在了一起。提示注入让攻击者能在应用上下文中执行命令,然后用服务账户提权,最后把 C2 流量伪装成去往 SaaS 提供商的正常隧道。最有意思的是持久化那步——克隆 Kubernetes 凭据,不是直接偷走,而是复制一份。你轮换密钥,他还有备份。Pod 杀不死,问题在控制面。
场景四:构建流水线里的幽灵
一次常规的构建流水线更新引入了一个不易察觉的变更,部署时谁也没注意。几天后,调查人员在一个存储位置发现了暴露的凭据,还有从一些本不该跟外部通信的系统发出的异常 HTTPS 出站流量。访问点很快被封锁,但环境中一个从未见过的服务仍在继续运行。
- 初始入侵:GitHub Action 被攻破
- 横向移动与提权:凭据暴露在存储桶中
- C2 与数据外泄:HTTPS 外传
- 持久化:恶意服务
▲ 场景四卡片布局
这个剧本让我最不安。GitHub Action 被攻破不算新鲜事,但凭据暴露在存储桶里,然后通过 HTTPS 往外传数据,流量跟普通 Web 请求长得一模一样,边界防火墙大概率会放行。最后那个“恶意服务”的持久化手法也很刁钻——你封了入口,改了凭据,但服务还在跑,相当于攻击者给自己留了个看不见的后门。日常的变更管理和资产清点在这种场景下就是救命绳。
怎么上手
想试试 Datadog 扩展包?没在 DASH 拿到实体牌的话,可以在之后的安全会议上去 Datadog 展台领,或者从在线商店买[5]。分布式团队可以直接在线玩[2]。
这几个新剧本不是让你照本宣科的,它们更像一个起点。真正有价值的,是你拿着自己的日志、自己的工具,去验证检测逻辑是不是真的有效。用“明牌”方式讨论,能把一次简单的纸牌游戏变成一次压力不大的安全复盘。有空的话,叫上开发、平台、安全的人一起打一局,你会发现很多以前没注意到的盲点。
参考资料
[1] https://play.backdoorsandbreaches.com/play.backdoorsandbreaches.com-Engine-V1/App/
[2] https://play.backdoorsandbreaches.com/
[3] https://securitylabs.datadoghq.com/articles/backdoors-and-breaches-gameplay-guide/
[4] https://www.securityhq.com/
[5] https://spearphish-general-store.myshopify.com/collections/backdoors-breaches-incident-response-card-game/products/backdoors-breaches-datadog-expansion-deck-v1
[6] https://securitylabs.datadoghq.com/articles/backdoors-and-breaches-new-scenarios/
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:幻泉之洲 《后门与入侵:新场景与实战变体》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论