攻防演练中一些心得总结(蓝队视角)_集群智慧网络安全云
全国客户服务热线:4006-054-001 疑难解答:159-9855-7370(7X24受理投诉、建议、合作、售前咨询),173-0411-9111(售前),155-4267-2990(售前),座机/传真:0411-83767788(售后),微信咨询:543646
企业服务导航

攻防演练中一些心得总结(蓝队视角)

发布日期:2024-05-19 浏览次数: 专利申请、商标注册、软件著作权、资质办理快速响应热线:4006-054-001 微信:15998557370


攻防演练中一些心得总结(蓝队视角)

一. 监测 攻防演练开始前,要对监测设备的告警规则进行调优。 僵尸、木马、蠕虫、C2远控类告警可以直接忽略 挖矿病毒类告警视情况而定,如果时间充裕可以去处置 重点关注web层面的攻击,如SQL注入,命令执行、文件上传+中高危+攻击成功 各种高危CVE漏洞+攻击成功重点关注 Webshell类告警单独设规则,设备上不一定显示攻击成功,可能显示尝试,但这并不代表它没有攻击成功,而要去看流量上下文,看命令执行和响应体,看是否持续访问固定webshell路径即关注频率 像类冰蝎Webshell类告警很有可能是魔改后的冰蝎马,需要持续关注 内存马需上机排查,在告警设备上的特征是持续告警攻击成功,但是路径不固定,响应体中无内容。上机排查关注error.log,使用脚本进行扫描。 真实场景中,由于网络拓扑环境错综复杂,简单的00,10判断方向往往失效,要随机应变 frp、fscan、隧道流量单独设规则 二. 研判 一般进行研判的思路,就是通过流量上下文+手工验证+攻击频率次数来判断是否漏洞是否存在,是否攻击成功。 如下图,就可以判断访问webshell进行命令执行,可以判断攻击成功且上传了webshell: 又如最近的Nacos授权绕过漏洞,原始告警如下图: 通过查看流量原文可以确定攻击成功,如下图: 这里需要注意,很多告警如redis未授权,mongodb未授权等未授权漏洞攻击成功在流量上下文中不能体现,需要去手动验证。 如redis验证未授权redis-cli -p 端口 -h 受害者IP 其他未授权可以直接访问路径查看 但是即使你无法验证成功,也不能就研判为误报,而要结合攻击成功告警的频率(比如说它已经告警成功了20000+),很有可能由于网络拓扑的复杂,在你当前所处的环境中无法验证成功,此时可以让其他不同的网络环境中同事帮忙验证。 三. 应急溯源 攻防中大家分工明确,应急溯源分工又不是很明确,可能多个团队在做同一件事,所有沟通非常重要。 时效性非常重要,必须尽快出报告。 - end - 作者:捞起月亮的渔民, 来源:FreeBuf.COM 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担! 如侵权请私聊我们删文 END

攻防演练中一些心得总结(蓝队视角)