护网|蓝队防猝死手册(新手必知必会)

已于 2024-06-30 15:09:09 修改
阅读量4.3k 收藏 97
点赞数 5
文章标签: windows 安全 网络 web安全 网络安全
于 2022-08-04 17:24:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MachineGunJoe/article/details/126160402
版权

在HVV期间,蓝队主要就是通过安全设备看告警信息,后续进行分析研判得出结论及处置建议,在此期间要注意以下内容。

内网攻击告警需格外谨慎,可能是进行内网渗透。

1.攻击IP是内网IP,攻击行为不定,主要包括:扫描探测行为、爆破行为、命令执行等漏扫行为。

2.资产属性-内网攻击IP资产属性。

3.研判告警行为是否为攻击动作,如弱口令、SQL注入漏洞可能是业务行为。

4.上级排查与客户一起进一步确认设备问题。

企图类告警需格外谨慎,可能是“已经成功”。

1.告警主要包括:后门程序、代码行为、命令执行行为。

2.资产属性+流量确认。

3.综合判断告警是否成功(成功的话就需要提供证据给规则反馈)。

4.上级排查与客户一起进一步确认设备问题。

爆破攻击告警需格外谨慎,可能是“正在进行时”。

1.告警主要包括:客户对外端口的服务对外开放。

2.资产属性+流量确认。

3.综合判断业务是否对外开放(及时确认是否需要规避风险点)。

成功失陷追仔细,可能是”溯源不够细致,遗漏蛛丝马迹“。

1.告警主要包括:成功+失陷的告警。

2.资产属性+流量确认+告警确认+数据分析+兄弟产品跟进。

3.协助客户上机排查,书写防守或溯源报告。

常见溯源方式

在发现资产被攻击之后,防守方需要及时进行溯源和排查,通常情况下,溯源需要获取到目标攻击者的一部分个人信息,比如手机号,邮箱,QQ 号,微信号等,通过这些信息在互联网可以进一步追溯攻击者的更多暴露信息。方便进一步溯源,下述介绍了一些整理了一些常见的方法和工具。

1. 域名、ip 反查目标个人信息

首先通过威胁情报平台确认攻击ip是否为威胁 ip,常用的平台通常有如下

https://x.threatbook.cn/ 微步在线威胁情报社区
https://ti.qianxin.com/ 奇安信威胁情报中心
https://ti.360.cn/ 360威胁情报中心
https://www.venuseye.com.cn/ VenusEye威胁情报中心

当发现IP的为攻击IP后,可以尝试通过此IP去溯源攻击者,具体实现过程通常会用到下述方法:

1.ip 反查域名
2.域名查 whois 注册信息
3.域名查备案信息、反查邮箱、反查注册人
4.邮箱反查下属域名
5.注册人反查下属域名

2. 攻击者ID等方式追踪

定位到攻击者ip后,可以通过sgk、社交软件、指纹库等其它方式捕获到攻击者个人社交账号捕获到更精准的敏感信息,可以采取以下思路。

1.支付宝转账,确定目标姓氏

2.进行QQ账号、论坛、贴吧、等同名方式去搜索

3.淘宝找回密码,确定目标名字

4.企业微信手机号查公司名称

5.度娘、谷歌、src、微博、微信、知乎、脉脉等知道的各大平台上搜索

3. 通过攻击程序分析

攻击者如果在恶意攻击过程中对目标资产上传攻击程序(如后门、恶意脚本、钓鱼程序等),我们可通过对攻击者上传的恶意程序进行分析,并通过IP定位等技术手段对攻击进行分析溯源,常用的恶意程序分析网站有:

微步在线云沙箱: https://s.threatbook.cn/
腾讯哈勃: https://habo.qq.com/
Virustotal: https://www.virustotal.com/gui/home/upload
火眼: https://fireeye.ijinshan.com
魔盾安全分析: https://www.maldun.com/analysis/

4. 蜜罐

蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。

蜜罐溯源的两种常见方式:

一种是在伪装的网站上插入特定的js文件,该js文件使用攻击者浏览器中缓存的cookies去对各大社交系统的jsonp接口获取攻击者的ID和手机号等。另一种是在伪装的网站上显示需要下载某插件,该插件一般为反制木马,控制了攻击者的主机后查询敏感文件、浏览器访问记录等个人敏感信息从而锁定攻击者。

5. 常见案例链接分享

整理了一下常见的溯源案例链接,希望能对大家起到帮助

【经典案例】

常见反制方式

通过蜜罐反制

主要就是下述反制手段做操作

1.可克隆相关系统页面,伪装“漏洞”系统

2.互联网端投饵,一般会在Github、Gitee、Coding上投放蜜标(有可能是个单独的网站地址、也有可能是个密码本引诱中招)

3.利用JSONP、XSS、CSRF等前端类漏洞获取访问蜜标的攻击者网络身份(网络画像)

邮件钓鱼反制

安全防护基础较好的厂商,一般来说除了出动0day,物理近源渗透以外,最常见的就是邮件钓鱼了,在厂商收到邮件钓鱼的情况下,我们可以采取化被动为主动的方式,假装咬钩,实际上诱导攻击者进入蜜网。

渗透工具漏洞

可以尝试挖掘蚁剑、冰蝎、菜刀、BurpSuite、SQLmap、AWVS的0day漏洞(需要一定的技术水平),或利用历史漏洞部署相关环境进行反打

盲打攻击反制

攻击者可能通过盲打漏洞方式来获取权限,一般盲打都具备一个数据回传接口(攻击者需要接收Cookie之类的数据),接口在JavaScript代码中是可以寻找到的,我们可以利用数据回传接口做以下两件事情,并后续引导攻击者进入我们部署好的蜜罐。

1.打脏数据回传给XSS平台

2.打虚假数据回传给XSS平台

通过攻击服务器端口/web 等漏洞

攻击者可能是通过自己搭建的公网服务器进行攻击的,或者是通过此服务器与后门进行通讯。其中服务器可能运行诸多服务,且未打补丁或设置强密码,导致防守方可以进行反打。

应急响应工具箱

在hvv期间,或者是在平常工作时间段,难免会碰到一些应急场景,这里推荐GitHub上一个大佬的应急工具箱,整合了诸多的分析文章和常见工具。

【应急工具箱】

我是黑客
关注
  • 5
    点赞
  • 97
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
46-2 护网溯源 - 企业在护网中如何溯源得分
weixin_43263566的博客
06-09 79
还有启动容器也容易报错,如果你的虚拟机是用CentOS 7 系统,该系统是默认开启ssh服务22端口的,所以我们用启动命令的时候就会产生端口冲突,解决改一下启动的端口就行,例如,你可以将。,这样容器的 SSH 服务将使用外部的 2222 端口,而不是系统的 22 端口。
46-3 护网溯源 - 溯源报告编写
最新发布
weixin_43263566的博客
06-09 546
在这部分,需要详细描述钓鱼邮件的基本情况,包括收到的邮件内容、寄件人信息、邮件附件或链接等。还需说明收到邮件的时间和频率。
蓝队浅析一
weixin_43977912的博客
05-10 2631
第一章 什么是蓝队 蓝队,是指网络实战攻演习中的守一方。 蓝队一般是以参演单位现有的网络安全护体系为基础,在实战攻演习期间组建的守队伍。蓝队的主要工作包括演习前安全检查、整改与加固,演习期间进行网络安全监测、预警、分析、验证、处置,后期复盘总结现有护工作中的不足之处,为后续常态化的网络安全护措施提供优化依据等。 实战攻演习时,蓝队通常会在日常安全运维工作的基础上,以实战思维进一步加强安全护措施,包括提升管理组织规格、扩大威胁监控范围、完善监测与护手段、增加安全分析频率、提高应急响应速度、
2024蓝队护网HW面试全攻略概览:经验与技巧先行看二
jennycisp的博客
05-23 843
蓝队初中级sql注入的原理以及御方式,预编译的原理xxe的原理以及xxe漏洞无回显该怎么办shiro漏洞的原理,只能爆破出key该怎么办怎么判断是一个是一个fastjson框架shiro绕WAF有了解过吗库站分离的时候你有数据库权限怎么判断数据库与那个服务器进行连接讲一下宽字节注入的原理weblogic的端口号redis未授权访问怎么利用10.白银和黄金票据了解吗,他们的区别11.给你一个公司名怎么进行信息收集12.使用过那些漏洞检测工具13.3389是什么端口。
护网(HVV)溯源
qq_35358965的博客
04-19 3323
(2)情报收集,判断是百度云、阿里云、腾讯云等厂商的ip,通过ip可以查到域名信息、邮箱和手机号等。(1)判断是不是肉鸡,如果是肉鸡,尝试入侵肉鸡,如果可以成功入侵,可以查询登录日志、账号信息、昵称、黑客是否上传工具、历史操作记录、后门文件、进程、外连ip。​ 模拟各种常见的应用服务,诱导攻击者攻击,从而记录攻击者的入侵行为,获取攻击者的主机信息、浏览器信息、甚至是真实 IP及社交信息。姓名、攻击IP地址、地理位置、QQ、IP地址所属公司、IP地址关联域名、邮箱、手机号、微信、微博、人物照片、博客。
网络安全演习手册.pdf
06-09
网络安全演习手册 为提高信息系统及信息基础设施安全护水平,构建网 络安全综合控体系,组织参加网络安全演习;此次演 习制作《网络安全演习手册》 ,希望发挥全专家、专 业机构、用户单位各自优势,构建威胁情报可共享、安全风 险早预安全事件快处置、"打一体" 网络安全演 习, 做到一点预警、 全网联动的网络 "安全罩" 。 大部分企业的网络安全建设并没有系统化的考量, 《网络 安全演习手册》 希望引导守方了解网络安全演 习的要求,结合企业实际情况开展工作,配置基础安全设备 提升网络安全护能力,面对常见类型攻击时知晓应对操 作,并建立 7*24 小时应急保障体系。 一、网络安全演习的守要求 1、 建议由各单位、企业领导层人员负责整体守指挥。 包括从上而下的统一协调调度,推动建立守保障机制,推 动守工作的执行、进行守资源的申请。 2、 需要整理并更新企业的相关网络资产清单, 包括互联 网资产、办公资产等。 3、需要建立对网络资产的基础安全保障能力,包括信息 系统及基础安全设备和相应的人员。 4、有相关的人员针对企业自身资产进行 7*24 监测预 警,针对高风险威胁告警进行分析,研判、处置并上报公 安机关。 二、资产梳理 守方需要对自身目标系统及关联资产梳理,形成资 产清单。资产清单应包括 IP 地址、操作系统、中间件、应 用软件、域名、端口、服务、责任人、联系方式等,便于 快速的进行资产定位、风险处置、应急等工作的开展。 1、针对互联网资产梳理 缩减或集中互联网出入口。一是对所有的互联网出入 口,按照就近归并的原则进行缩减或集中;二是对于新建 系统,保证其网络出口统一;三是做好 VPN 的入口管理。 加强域名管理,缩减应用。一是废弃域名及时清理; 二是网站归集,对于互联网上的多个域名,尽量集中、集 约建设,方便统一护。 互联网暴露敏感信息梳理。包括对文档信息(云盘、 文库) 、代码(github、gitee) 、人员信息等进行发现、清 理或联系上传者或平台方删除等工作。 互联网资产扫描。企业自身组织或采购安全服务商服 务,探测自身在互联网上暴露的资产,发现未知资产和风 险端口,与现有资产清单进行对比梳理,形成准确的资产 清单,并对风险端口进行评估关闭。 测试和临停梳理。测试系统和临时关停下线的系统, 无法做到有效护应做好访问控制或下线。 2、其他资产梳理 个人办公电脑的登记审核。一是包括 IP、MAC 地址、 操作系统、是否安装毒软件、二是对新增办公电脑要做 好准入要求,对安全补丁、病毒、密码强度等进行检查。 办公设备的登记审核。包括打印机、复印机、扫描仪、 传真机,保密文件存储介质、电子门禁等。 网络设备的登记审核。包括交换机、路由器、网关、 火墙等,要做好相关梳理,如无必要不应暴漏在公网, 并核查相关安全策略。 网络安全产品登记审核。包括 WAF、NF、IDS、IPS、 HIDS、EDR、邮件网关、杀毒软件、网页篡改等,并确认 其安全补丁是否更新,安全策略及日志留存是否开启。 3、新增资产 新增资产归类登记。 包括新增的 IP、 域名、 敏感文件、 业务代码、新上线业务、新增测试环境、新增安全设备等 需要分类登记建档,并定期对变更状态进行更新,如测试 环境在测试后应及时下线关停。 新增资产的上线核查。新增业务系统应由公司内部安 全团队或第三方进行新上线检测,杜绝安全隐患;新增安 全设备需检查安全策略配置并确保正常生效后启用;敏感 文件和代码需做好相应的加密措施;办公设备需符合安装 病毒软件、开启火墙等后才可使用,禁止无保护状态 接入办公网。 三、建立网络安全护能力 1、常见的网络拓扑 任何一家参与网络演习守单位, 网络拓扑、 业务 应用各不相同,为了便于理解,我们从多家单位的网络拓 扑中抽出共性特征,做出如图 2-1 的网络拓扑。 图 3-1:采用较多的网络安全拓扑 安全域的划分分为互联网接入域(负责互联网访问的 接入及护) 、 互联网服务安全域 (负责面向互联网服务的 业务系统) 、 办公域 (员工办公使用) 、 内部业务安全域 (公 司内部使用的业务系统) 、 安全系统管理域 (需要与互联网 进行交互、但不向互联网提供服务的系统) 。 2、安全域的划分和全局安全域划分。一是根据业务、功能、地域、安全需求 等划分安全域;二是安全域的访问采取访问控制(网络 火墙、主机火墙) 、恶意监测护(入侵护、恶意代码 检测)等安全护措施;三是业务流量与管理流量分离, 攻击者即便攻破一个安全子域,也无法控制数据库或是获 取数据;四是明确核心业务与非核心业务应用的管理边界 与责任。安全子域之间的必须进行有效的访问控制,必须 进行有效的流量攻击检
护网蓝队(初级)
AiENG_07的博客
05-31 4451
以linux为主(一般都会问linux的),查看/var/log/secure系统日志,查看登录失败的记录,还有Linux历史命令-->home目录的bash\_histor,查看执行过的命令。参考见:https://blog.csdn.net/scanf\_linux/article/details/100995055。开始检测漏洞,如XSS,XSRF,sql注入,代码执行,命令执行,越权访问,目录读取,任意文件读取,下载,文件包含,远程命令执行,弱口令,上传,编辑器漏洞,暴力破解等。
10年网安经验分享:一般人别瞎入网络安全行业
aobulaien001的博客
06-08 7213
蓝队,一般是指网络实战攻演习中的攻击一方。蓝队一般会采用针对目标单位的从业人员,以及目标系统所在网络内的软件、硬件设备同时执行多角度、全方位、对抗性的混合式模拟攻击手段;通过技术手段实现系统提权、控制业务、获取数据等渗透目标,来发现系统、技术、人员、管理和基础架构等方面存在的网络安全隐患或薄弱环节。蓝队人员并不是一般意义上的电脑黑客。因为黑客往往以攻破系统,获取利益为目标;而蓝队则是以发现系统薄弱环节,提升系统安全性为目标。
什么是护网(HVV)?需要什么技术?(内附护网超全资料包)
m0_71744960的博客
06-09 3003
护网行动是以公安部牵头的,用以评估企事业单位的网络安全的活动。 具体实践中。公安部会组织攻两方,进攻方会在一个月内对守方发动网络攻击,检测出守方(企事业单位)存在的安全漏洞。
护网HVV(蓝队)小白必知必会
qq_35358965的博客
04-21 5278
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全护能力。在发现资产被攻击之后,守方需要及时进行溯源和排查,通常情况下,溯源需要获取到目标攻击者的一部分个人信息,比如手机号,邮箱,QQ 号,微信号等,通过这些信息在互联网可以进一步追溯攻击者的更多暴露信息。
护网行动守小总结
Julia & Rust & Python
08-15 1万+
护网行动守小总结 安联智库WTX 安联智库 今天 0x00 前言 首先强调下,下文所有的思路均是”因地制宜”,根据客户业务实际情况开展。这次HW是跟某国企合作一块进行安全御,之前一直是做的乙方的安全服务,第一次切换到护角色。 首先,整个项目分为两个阶段: 护网护网中 0x01 护网护网前的工作相当重要,国企的安全工作想必各位都有所了解这里就不多说了,如何在这么多的时间内尽量做到全面安全覆盖实在是太考验守团队了。 前期的准备工作主要分为两个部分: 1、自检 2、加固 自检是最快发现问题的手段,
HVV(护网蓝队视角的技战法分析_护网技战法报告,一个网络安全程序员的腾讯面试心得
m0_61549591的博客
04-03 1397
发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算**
2022年蓝队初级护网总结
热门推荐
zlloveyouforever的博客
06-09 2万+
提供一个思路,需要读者手动验证,否则只知其然而不知其所以然。如有错误或不同观点请指正。
HW-蓝队工作流程(1)
m0_37638874的博客
08-10 8777
由多领域安全专家组成攻击队,在保障业务系统安全的前提下,直接在真实网络环境开展对抗,对参演单位目标系进行可控、可审计的网络安全实战攻击,通过攻演习检验参演单位的安全护和应急处置能力,提高网络安全的综合控能力。近几年我国相继举办了几次较大规模的护网行动,由多个行业单位和监管单位组织相关演习工作,通过实战网络攻击的形式检验我国关键信息基础设施安全护和应急处置能力,取得了十分显著的效果,督促各单位有效提升了网络安全护水平。,结合安全人员的分析,可快速发现攻击行为,并提前做出针对性守动作。.......
护网行动HW中的蓝队和红队的区别和关系?
goodxianping的专栏
03-24 1244
红队则是攻击方,他们的主要任务是模拟真实攻击者的行为,对蓝队网络安全御进行挑战。红队的攻击行为旨在提高组织的网络安全意识和技能,并促进整体网络安全御水平的提升。红队则扮演攻击方的角色,其任务是模拟黑客的行为,对蓝队御体系进行挑战和测试。他们通过相互的攻演练,模拟真实的网络安全威胁,从而检验和提升组织的网络安全能力。护网行动中的蓝队和红队各有其独特的职责和作用,他们之间的关系是既对立又统一的。在网络安全领域,蓝队和红队各自承担着不同的任务,它们通过模拟对抗和攻演练来共同提升组织的网络安全能力。
红蓝对抗--蓝队
七天
01-11 8587
2019年参加护网行动的时候,想着是信安专业,可以去赚点零花钱。 蓝队的工作。。。。。后面总结了一下护网行动和蓝队的一些工作重心。刚刚换电脑的时候翻出来了这个文章。只是个人拙见,大佬勿喷。 文章目录一、团队组建二、梳理资产三、风险梳理四、减少攻击面附部分查看系统是否有可疑行为的方式 下面是我对红蓝对抗中蓝队工作的一些总结: 一、团队组建 在团队建设时,蓝队主要分为四个部门: 1、指挥中心:主要进行统筹,管控蓝队事务。 2、监测小组:主要对流量监控平台、日志平台等系统进行7*24小时监控;以保证可以及时的
第72篇:近年HVV、红队攻比赛中常见外围打点漏洞的分析与总结
ABC_123的博客
07-29 4351
前言大家好,我是ABC_123。前一段时间我花时间花精力总结了最近两三年中,在攻比赛中比较常见的Web打点漏洞类型,捎带着把钓鱼邮件的主题类型也总结了一下。今天分享出来,相信无论是对于攻击方还是守方,都能从中获得一些启发(一些小型攻比赛、地级*攻比赛,由于用各种常规漏洞也能打点成功,所以暂时不在以下统计范围之内)。信息来源主要有以下几点:1、以往的攻比赛中积累的经验;2、作为裁判研判...
HVV(护网蓝队视角的技战法分析
HUANGXIN9898的博客
10-23 1652
智能新型技术的广泛应用,信息基础架构层面变得更加复杂,传统的安全思路已越来越难以适应安全保障能力的要求。必须通过新思路、新技术、新方法,从体系化的规划和建设角度,建立纵深御体系架构,整体提升面向实战的护能力。从应对实战角度出发,对甲方现有安全架构进行梳理,以安全能力建设为核心思路,面向主要风险重新设计政企机构整体安全架构,通过多种安全能力的组合和结构性设计,建立起能够具备实战护能力、有效应对高级威胁、持续迭代演进提升的安全御体系。CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享。
护网行动、红蓝队专题
Ye的博客
08-18 2558
护网行动介绍、红队介绍、蓝队介绍、护网那些事儿、项目职业素养、现场注意事项
2022护网蓝队排名
07-27
护网蓝队排名是指在网络安全竞赛或演练中,参与者根据其在攻对抗中的表现和得分进行排名。根据提供的引用内容,没有提到2022年的护网蓝队排名。因此,无法提供关于2022年护网蓝队排名的具体信息。 #### 引用[.reference_title] - *1* [红蓝对抗-2022年蓝队初级护网测试总结](https://blog.csdn.net/lza20001103/article/details/126550377)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [2022年蓝队初级护网总结](https://blog.csdn.net/zlloveyouforever/article/details/125174473)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我是黑客

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值