【红蓝对抗】蓝队视角下的企业安全运营

瓦罗兰特顶级C位

已于 2024-01-27 19:42:11 修改

阅读量345

点赞数

文章标签：安全网络搜索引擎网络安全红蓝对抗

于 2023-05-24 17:01:03 首次发布

本文链接：https://blog.csdn.net/Wufjsjjx/article/details/130851045

版权

文章描述了一次蓝队对红队攻击的应急响应过程，包括进程排查、文件分析、日志追踪和安全防护策略。蓝队通过监控网络连接、删除恶意文件、查找系统漏洞来阻止攻击。此外，文章强调了蓝队应常态化的从攻击者的角度加强安全防护，了解并预测红队的攻击步骤，例如情报收集、内网渗透和权限提升。同时，提供了网络安全学习资源和防御建议，包括收敛攻击面、立体防渗透和全方位监控。

摘要由CSDN通过智能技术生成

蓝队应急响应处置案例

一、发现及研判组

【攻击成功分析及举证】

1630308078_612c86eeae5b5a42afaba.png!small?1630308079430

处置建议： 排查可疑进程与 TCP 连接。

二、应急处置溯源组

【威胁等级】： 严重

【事件链说明】： 以时间点为出发点简述如下：

处理记录：

1 > 于 2021-06-28 10:51 登机排查

1630309056_612c8ac07da2b2037f6d4.png!small?1630309057284

网络连接

2 > 处置过程：查看对应进程的进程号并 kill 进程。

溯源过程：

通过搜索指定时间内系统内被修改的文件发现 exp.so 文件，通过对 exp.so 文件进行分析认定此文件用于 redis 主从复制 rce 漏洞攻击。

1630312449_612c98017ba89ba31154c.png!small?1630312450465

全局查找被更改的文件

1630312718_612c990e0d0506f63d5c9.png!small?1630312718992

删除 exp.so 文件

1630313144_612c9ab86cbe8d0e1e76a.png!small?1630313145528

发现 /tmp 文件夹下存在软连接，将其删除

根据检测情况可知 10.10.60.58 为跳板机 IP。所以首先需要对 10.10.60.58 进行溯源追踪

溯源过程如下：

1630313531_612c9c3bc5d5894953de5.png!small?1630313532863

Everything 全局搜索发现存在 exp.so 文件

1630314091_612c9e6b386ff3a71f96a.png!small?1630314092143

经查访客桌面上存在利用程序与 exp.so 库文件

1630314398_612c9f9e397d82b1ea0e0.png!small?1630314399257

在访客下载文件夹中发现 nmap 扫描工具

nmap 扫描结果

1630315156_612ca294d72491b9d5256.png!small?1630315157891

发现存在高危端口（3389、6200-JavaRMI）

1630315312_612ca33061c93b6852d09.png!small?1630315313225

根据 nmap 扫描结果使用 java rmi 反序列化测试成功

1630320605_612cb7dd471036b128427.png!small?1630320606638

日志记录注册恶意流量代理服务

1630320708_612cb8440a92a53c2828a.png!small?1630320709739

清理服务

1630320858_612cb8da837251d1da934.png!small?1630320859920

日志记录 guest 访客被打开并登陆

1630321031_612cb987581e4e595278d.png!small?1630321032682

guest 开启时间点

1630321305_612cba99a6ed6b7a491ff.png!small?1630321306984

标记 guest security ID

1630328328_612cd60816e8a7fc792cf.png!small?1630328329409

guest 被添加至管理员组

1630330665_612cdf290e0748798a0dc.png!small?1630330666611

powershell 启动时间点

1630330752_612cdf809b28a031fb636.png!small?1630330754157

可疑 IP（10.10.55.8）

1630330824_612cdfc82c957a010dad5.png!small?1630330825584

可疑 IP 10.10.66.12

1630330972_612ce05ca99286ae67530.png!small?1630330973970

services 多个提权

1630331129_612ce0f9b966bad346923.png!small?1630331131255

system 权限

1630331234_612ce162c57276c2dc9f6.png!small?1630331236010

惊讶的是服务器中仅有 1 个补丁

1630331339_612ce1cb77fa696e6943a.png!small?1630331340791

445 端口开放

溯源综述：

经查 10.10.59.11 存在文件上传漏洞被上传 webshell，继而对内网的其他机器进行攻击。通过日志文件记录 10.10.59.11 曾对 10.10.60.58 发起 RDP 爆破，根据日志文件判断其未爆破成功，因服务器存在大量报错日志及未打补丁，疑似通过其他操作系统命令执行漏洞 (如 MS17-010) 对服务器发起攻击，开启 guest 用户并添加管理员组后，登录服务器使用 nmap 对 10.201.0.0/16 网段进行扫描，后作为跳板机通过 nmap 扫描结果利用端口漏洞进行攻击。

2、蓝队阻击红队的常用手段

蓝队是企业安全的守门员，既守护着企业安全的第一道防线，又保卫着企业安全的最后一道防线，因此，建议蓝队常态化的从攻击者实战视角去加强自身的安全防护能力，俗话说，未知攻焉知防，只有全面了解敌人的路数，熟悉对方的打法，才能从战略上碾压敌人，建立起无坚不摧的护城墙，增强企业安全韧性。

红队的打法一般为：

第一步：搜集情报，寻找突破口、建立突破据点；

第二步：横向移动打内网，尽可能多地控制服务器或直接打击目标系统；

第三步：删日志、清工具、写后门建立持久控制权限。

蓝队应对红队的常用策略可总结为：防范被踩点、收敛攻击面、立体防渗透、全方位防护核心、全方位监控

防范被踩点：首先要尽量防止本单位敏感信息泄露在公共信息平台，加强人员安全意识，不准将带有敏感信息的文件上传至公共信息平台，对文件进行分机管理，定期对信息部门重要人员进行安全意识培训，并且安全运营部门应常态化在一些信息披露平台搜索本单位敏感词，查看是否存在敏感文件泄露情况。

收敛攻击面： 要充分了解自己暴露在互联网的系统、端口、后台管理系统、与外单位互联的网络路径等信息。哪方面考虑不到位、哪方面往往就是被攻陷的点。互联网暴露面越多，越容易被攻击者 “声东击西” ，最终导致防守者顾此失彼，眼看着被攻击却无能为力。结合多年的防守经验，可从攻击路径梳理、互联网攻击面收敛、外部接入网络梳理、隐蔽入口梳理收敛互联网暴露面。

立体防渗透： 互联网端防护、访问控制措施、主机防护、集权系统、无线网络、外部接入网络

全方位防护核心： 集中火力（团队、技术、资源）对核心系统进行防护。

全方位监控： 全流量网络监控、主机监控 （轻 Agent 模式）、 日志监控、情报监控。

最终达到：认证机制逐步向零信任架构演进、建立面向实战的纵深防御体系、强化行之有效的威胁监测手段、、建立闭环的安全运营模式。参考文献

搞笑表情包的图像结果