点击上方“蓝字”,关注更多精彩
0X00前言
0X01前期演练组
防范被采集:子域名,文件目录,端口信息;弱口令(但是可以试试强口令!)收敛攻击面:排查C段,关闭不必要的服务,内网试验环境,内网的个人博客.....
搭建纵深防御体系:一层层的防火墙,隔离区,IDS,IPS,蜜罐,天眼(奇安信),雷池(长亭).....
0X02安全处置组
这里我就列举一些大家"耳熟能详"的技巧:遇见JAVA内存马,一键重启修复它;碰上内存不死马,只能条件竞争它;若是存在无文件,dump内存找函数!
WindowsVulnScan(Windows系统漏洞补丁检测):GitHub项目地址
DuckMemoryScan(CS无文件落地查杀):GitHub项目地址
河马查杀(Webshell查杀):文件项目地址
D盾查杀(Webshell查杀):文件项目地址
0X03安全监控组
下面有可能监控组的日常:
因为ms-170永恒之蓝,导致电脑(Windows)蓝屏!!!!
监测主机是否下载了敏感文件或者工具(比如:dll注入、白加黑、远程连接)
利用工具,导出内存马,无文件落地免杀的内存;后交给研判进行分析
0X04安全研判组
敏感操作
敏感命令
敏感时间点
日志记录
设备提示
流量信息
安全警告
物理设备报错
爆破攻击告警需格外谨慎,可能是“正在进行时”。
更据数量及业务是否对外开放,判断报错的数量大小(如果是内网不开放却出现大量警告就是特征)
根据时间点(半夜还有人频繁登录,凌晨还有管理员在操作电脑)概率极小
更据返回值的字段(Burpsuite的使用,我们可以知道,如果登录成功,返回的字符长度不一样)
判断返回的请求值(不可取,可能不成功也会返回200)只能当一个弱特征!
攻击IP可以是内网IP(大概率是远控)特征:扫描探测行为、爆破行为、命令执行等漏扫行为,这个时候可以考虑对该主机,流量进行检测
通过进一步研判确定行为是否有攻击特征(eg:可能是通过弱口令、SQL注入、RCE进入内网所导致的)
排查检测完毕后,对目标进行加固,并检查硬件设备和周围区域主机,篡写报告
通过安全检测:检查是否存在后门程序、代码行为、命令执行等行为
练习研判师傅通过流量检测系统确认存在,攻击行为
应急与加固复责引导攻击进入蜜罐和修复漏洞,篡写报告
Sysinternals(Windows套件分析系统进程响应):微软项目地址
Autoruns(Windows开机启动项检查工具):微软项目地址
Process Explorer(Windows进程浏览器):微软项目地址
Process Monitor(Windows过滤查询日志或注册表语句):微软项目地址
TcpView(Windows监测TCP、UDP的流量):软件下载地址
Sysmon(Windows监视和记录系统活动):微软项目地址(使用方法)
SysmonForLinux(Linunx监视和记录系统活动):GitHub项目地址
Manageengine(日志审计系统):文件项目地址
LogForensics(腾讯日志分析工具):文件项目地址
微步在线云沙箱:https://s.threatbook.cn/
腾讯哈勃:https://habo.qq.com/Virustotal
火眼:https://fireeye.ijinshan.com
魔盾安全分析:https://www.maldun.com/analysis/
0X05安全溯源&&反制组
第一种:IP(云函数,DNS前置,第三方平台,区块链技术)===>威胁情报;whomai查询
第二种:更据payload代码进行查询!!!(代码风格,github项目,编译残留)
利用邮箱找回,确定目标
微信和支付宝转账,拼凑姓名
利用办公软件手机号查公司名称
进行反现的账号、特殊字符串等,进行同名方式去查找
REG007通过邮箱、手机号查注册应用、网站
更据攻击者的武器漏洞获得信息(sqlmap在linux环境下的bug.....)
发现攻击后,引导工具者进入"蜜罐"
反钓鱼
微步在线:https://x.threatbook.cn/
奇安信威胁情报:https://ti.qianxin.com/
360威胁情报中心:https://ti.360.cn/#/homepage
启明星辰威胁情报:https://www.venuseye.com.cn/
绿盟的威胁分析中心:https://poma.nsfocus.com/绿盟的威胁分析中心
斗象科技威胁情报:https://mac-cloud.riskivy.com
0X06小结
感谢青藤云安全、FreeBuf、web安全工具库等文章的提示与分享,使得我对蓝队的防御,又有了新的认识,最后祝福大家,红队必入内网,蓝队必无误报!
作者:面包and牛奶 本篇文章转载自Freebuf原文地址:https://www.freebuf.com/articles/web/339792.html
END
• 往期精选