0X00前言
hello!大家好,攻防演练正在进行中,大家都还很兴奋,但是也不免有一些焦虑(害怕被打穿)。攻防的设备和流程我相信大家都熟悉,但是关于文章里运用的工具和脚本,在哪个地方下载(毕竟攻防期间钓鱼懂的都懂)!所以,笔者就根据微信公众号信息收集的资料,进行了归纳后更据自己理解和经验,整理而成!(大多都是开源工具,有能力手撕源码,没能力可以放入sandbox或者通过md5哈希进行验证)

如果有不知道的朋友,也没关系,容我简单介绍一下攻防演练的由来:这个概念是从2016年开始的,当时在国家相关网络安全监管机构的推动下,网络安全演习工作日益得到重视,从而分出红队、蓝队、紫队;由红队担任攻击方、蓝队担任防守方,紫队担任裁判方。在一定规则限制下进行实战网络攻防实战演练,即我们所说攻防演练。

0X01前期演练
攻防演练不是直接就进行的网络攻防对抗(通常情况下,红队,攻击方是要有授权的),所以会在某段时间,我们蓝队会进行提前的演练;对常规漏洞和近期高危漏洞进行排查!后对存在漏洞的主机进行必要的加固(演练常规要点如下):

防范被采集:子域名,文件目录,端口信息;弱口令(但是可以试试强口令!)

收敛攻击面:排查C段,关闭不必要的服务,内网试验环境,内网的个人博客…

搭建纵深防御体系:一层层的防火墙,隔离区,IDS,IPS,蜜罐,天眼(奇安信),雷池(长亭)…
蜜罐(用于纵深防御搭建的前言)
它有两种形态:一种是在伪装的网站上插入特定的js文件,该js文件使用攻击者浏览器中缓存的cookies去对各大社交系统的jsonp接口获取攻击者的ID和手机号等。另一种是在伪装的网站上显示需要下载某插件,该插件一般为反制木马,控制了攻击者的主机后查询敏感文件、浏览器访问记录等个人敏感信息从而锁定攻击者。

流量检测系统(研判的依靠之一)
在规模越来越庞大,结构越来越复杂的专用网络环境下,业务工作往往通过应用系统实现。但工作业务种类繁多,导致应用系统具有多样性。很多用户访问应用系统的内容需要被审计记录,方便业务行为分析;当有泄密事件发生时,也可以通过这些数据实现事后追源。如果记录不了用户的这些行为,会使整个网络处于不完全监管状态,无法及时掌握用户访问情况,容易造成更大的信息安全隐患和不良后果。

因此,为了提高网络环境的安全性,加强信息的安全管理,有必要提出一种利用网络数据包特征分析技术实现对指定敏感特征内容的识别和提取,完成应用系统请求、应答特征内容的监控,增强安全管理员对一些重要应用系统敏感内容访问的智能监控,防止重要信息泄露。

0X02安全处置组
我们知道,安全处置组对应的就是应急响应问题;应急修复漏洞,加固修复漏洞;所以担任这一职位的师傅们,就有的忙了,一旦出现问题,就是师傅们上场的信号了。通常处置组人员要多和甲方企业的相关运维人员进行沟通,所以需要具有较强沟通能力的师傅!

这里我就列举一些大家"耳熟能详"的技巧:遇见JAVA内存马,一键重启修复它;碰上内存不死马,只能条件竞争它;若是存在无文件,dump内存找函数!

一些应急脚本工具
WindowsVulnScan(Windows系统漏洞补丁检测):GitHub项目地址

DuckMemoryScan(CS无文件落地查杀):GitHub项目地址

河马查杀(Webshell查杀):文件项目地址

D盾查杀(Webshell查杀):文件项目地址

0X03安全监控组
重点是看设备!初级,中级是看设备有没有警告(高级就不清楚了),监控组因为负责实时汇报监控平台上的高危告警,所以不能有丝毫懈怠;于此同时还要与研判组保持紧密联系!

下面有可能监控组的日常:

因为ms-170永恒之蓝,导致电脑(Windows)蓝屏!

监测主机是否下载了敏感文件或者工具(比如:dll注入、白加黑、远程连接)

利用工具,导出内存马,无文件落地免杀的内存;后交给研判进行分析

0X04安全研判组
这个岗位,常常要和安全监测岗,相互配合!研判组的师傅得时刻准备好报告模板(这个到达目的地会有人发),需因为高危告警事件无论是否属于误报行为都要将针对此告警事件的结果回馈给监控组以及指挥中心。但是,毕竟各大厂商的机器误报率,确实高!怎么在上万条误报中找到,目标的攻击呢!有一下几个点,需要师傅们注意了!

研判经验谈
敏感操作

敏感命令

敏感时间点

日志记录

设备提示

流量信息

安全警告

物理设备报错

弱口令经验谈
爆破攻击告警需格外谨慎,可能是“正在进行时”。

更据数量及业务是否对外开放,判断报错的数量大小(如果是内网不开放却出现大量警告就是特征)

根据时间点(半夜还有人频繁登录,凌晨还有管理员在操作电脑)概率极小

更据返回值的字段(Burpsuite的使用,我们可以知道,如果登录成功,返回的字符长度不一样)

判断返回的请求值(不可取,可能不成功也会返回200)只能当一个弱特征!

内网经验谈
攻击IP可以是内网IP(大概率是远控)特征:扫描探测行为、爆破行为、命令执行等漏扫行为,这个时候可以考虑对该主机,流量进行检测

通过进一步研判确定行为是否有攻击特征(eg:可能是通过弱口令、SQL注入、RCE进入内网所导致的)

排查检测完毕后,对目标进行加固,并检查硬件设备和周围区域主机,篡写报告

告警排查经验谈
通过安全检测:检查是否存在后门程序、代码行为、命令执行等行为

练习研判师傅通过流量检测系统确认存在,攻击行为

应急与加固复责引导攻击进入蜜罐和修复漏洞,篡写报告

在线工具集
微步在线云沙箱:https://s.threatbook.cn/

腾讯哈勃:https://habo.qq.com/Virustotal

火眼:https://fireeye.ijinshan.com

魔盾安全分析:https://www.maldun.com/analysis/

0X05安全溯源组&&安全反制组
这两组分为两大方向,相互配合,又相互独立!属于能力强,取证经验丰富的师傅担任!

第一种:IP(云函数,DNS前置,第三方平台,区块链技术)===>威胁情报;whomai查询

第二种:更据payload代码进行查询!(代码风格,github项目,编译残留)

当发现IP的为攻击IP后,可以尝试通过此IP去溯源攻击者,具体实现过程通常会用到下述方法: 反查域名;邮箱反查域名;查询whois注册信息;查备案域名信息、反查邮箱、反查注册人… …

定位到攻击者ip后,可以通过社工库、社交软件、指纹库等其它方式捕获到攻击者个人社交账号捕获到更精准的敏感信息,如下:

利用邮箱找回,确定目标

微信和支付宝转账,拼凑姓名

利用办公软件手机号查公司名称

进行反现的账号、特殊字符串等,进行同名方式去查找

REG007通过邮箱、手机号查注册应用、网站

反制情报
更据攻击者的武器漏洞获得信息(sqlmap在linux环境下的bug…)

发现攻击后,引导工具者进入"蜜罐"

反钓鱼