CTF
什么是蓝队:
蓝队,就是防守的一方
工作:
- 前期:安全检查、整改与加固;
- 演习期间:行网络安全监测、预警、分析、验证、处置;
- 后期:总结问题并优化。
防守的三个阶段:
- 备战;
- 实战;
- 整顿。
常用攻击策略:(防微杜 渐、收缩战线、纵深防御、核心防护、洞若观火等)
三个阶段:
- 前期搜集情报,寻找突破口、建立 突破据点;
- 中期横向移动打内网,尽可能多地控制服 务器或直接打击目标系统;
- 后期会删日志、清工具、 写后门建立持久控制权限。
常见的应急响应事件分类:
- web入侵:网页挂马、主页篡改、Webshell
- 系统入侵:病毒木马、勒索软件、远控后门
- 网络攻击:DDOS攻击、DNS劫持、ARP欺骗
常规Windows系统下应急响应的排查思路:
- 检查系统帐号安全
- 检查异常进程和端口
- 检查系统启动项、计划任务、服务
- 检查系统基础信息
- 系统版本和补丁情况
- 常见可疑目录位置:Users、Recent等
- 本地查杀
- 系统日志分析
工具:
Webshell查杀:
河马Webshell查杀:https://www.shellpub.com/
深信服EDR:https://edr.sangfor.com.cn/#/service/upload_virus
可疑文件扫描:
VirSCAN:https://www.virscan.org/
可疑文件分析:
火绒剑:https://www.huorong.cn/
腾讯哈勃系统:https://habo.qq.com/
威胁情报社区:
微步在线:https://x.threatbook.cn/
Rootkit查杀:
Chkrootkit:http://www.chkrootkit.org/
RPM check检查:
/rpm -Va > rpm.log