总结--红蓝对抗中的蓝队。

CTF

什么是蓝队:

蓝队,就是防守的一方

工作:

  • 前期:安全检查、整改与加固;
  • 演习期间:行网络安全监测、预警、分析、验证、处置;
  • 后期:总结问题并优化。

防守的三个阶段:

  1. 备战;
  2. 实战;
  3. 整顿。

常用攻击策略:(防微杜 渐、收缩战线、纵深防御、核心防护、洞若观火等)

三个阶段:
  • 前期搜集情报,寻找突破口、建立 突破据点;
  • 中期横向移动打内网,尽可能多地控制服 务器或直接打击目标系统;
  • 后期会删日志、清工具、 写后门建立持久控制权限。

常见的应急响应事件分类:

  • web入侵:网页挂马、主页篡改、Webshell
  • 系统入侵:病毒木马、勒索软件、远控后门
  • 网络攻击:DDOS攻击、DNS劫持、ARP欺骗

常规Windows系统下应急响应的排查思路:

  1. 检查系统帐号安全
  2. 检查异常进程和端口
  3. 检查系统启动项、计划任务、服务
  4. 检查系统基础信息
  5. 系统版本和补丁情况
  6. 常见可疑目录位置:Users、Recent等
  7. 本地查杀
  8. 系统日志分析

工具:

Webshell查杀:

河马Webshell查杀:https://www.shellpub.com/

深信服EDR:https://edr.sangfor.com.cn/#/service/upload_virus

可疑文件扫描:

VirSCAN:https://www.virscan.org/

可疑文件分析:

火绒剑:https://www.huorong.cn/

腾讯哈勃系统:https://habo.qq.com/

威胁情报社区:

微步在线:https://x.threatbook.cn/

Rootkit查杀:

Chkrootkit:http://www.chkrootkit.org/

RPM check检查:

/rpm -Va > rpm.log

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值