看完你就学会了——研判

• ​前言

研判可是个大学问，学问在哪里呢，看完这篇就知道啦。

研判是一个重要的分水岭，猴子和牛马还是有区别的，各位师傅们是否能够真正入行网安就看这个了。研判其实是比较细致、发散思维的活，可能很多师傅觉得套用公式、看看帖子也能精进，这是不可能的，研判是很需要积累和锻炼的，只有客户拿gun指在你头上的那一刻你才能意识到自己的水平，万幸，up刚刚交了报告客户把gun放下来，所以赶忙敲下这篇文章和xdm分享分享研判的一些技巧。（本篇不包括应急处理，后续或许会挖这方面新的坑，仅仅分析研判技巧。）

• 了解网络拓扑

第一步是必要的，可能很多师傅是临时被拉过来应急或者就是参加hvv，对客户现场的网络拓扑情况并不了解的，了解情况是首要的，一定要知道从外到内会经过多少层设备以及探针的位置，确认地址转换发生在哪一个位置，才能综合利用已知情况来帮助研判，尤其是还有其他安全设备联动的情况下对研判是有利的，所以除了厚着脸皮吃零食还得厚着脸皮了解情况才行。

• IP地址分析

首先要确定方向，内对外、内对内或是外对内，绝大多数情况下是外对内或者内对内的攻击，确认好IP地址方向后排查思路更清晰些：

①外对内的情况下查看是否有历史攻击记录、是否存在提前打点、扫描等情况，查询威胁情报，看看IP是否有tag等。

②内对内的情况下查看IP划分，是否为办公段主机进行的攻击，如果是就落实到人上去核实，判断是正常请求还是真实攻击；如果是业务系统对业务系统的攻击一般情况下都是误报，主要是要确认是否为木马或者病毒类，是的话就需要更谨慎些分析数据包和查看告警文件。

③内对外的情况相对比较少见，但具体思路和内对内攻击的情况大差不差，还是要落实到人员身上，确认时间、地点去逮人。

• 告警类型分类分析

我个人一般喜欢分成几个类型：注入型攻击（含部分RCE等）、木马病毒类、未授权类（含权限绕过）、其他可查类、0day。这个得看师傅们习惯，我就单纯按照我的方向来分享吧：

  注入型攻击

特别常见也特别容易误报，注入sql注入啊、xss、xxe等，我个人习惯也把jndi注入、一些可以直接rce执行的洞洞也放在这部分，也很容易分析的，就一句话，你自己试试就知道有没有了（当然，先问过甲方爸爸！先问过甲方爸爸！先问过甲方爸爸！可不敢说是我教你们的），这类由于常见度太高，扫描器也能触发的，所以建议师傅们自己常备着一些规则库，到时候导出数据包了正则匹配一下就行，不然自己看那么多条还是很难受的...

  木马病毒类

这类是我处理的大头，也是常见中比较难应急的一类，首先定位恶意文件，做做待审，实在不行就丢在线沙箱：vt、微步、各大厂家全过一遍，实测exe不太可能全过，很厉害的师傅一般也会在某一个翻车，或者被打上恶意tag，如果正好碰上某个大牛师傅改好马子在你这处女首秀，那就认栽吧，不是hvv就老老实实摇人、找警察叔叔，是hvv的话改简历吧早点找个保安当当少走弯路。

• 未授权类

这类也很好判断，打开url路径看看是不是真的未授权，最常见的就是路径没做限制、没设置验证这些，其他未授权类也是搜一搜就知道怎么利用了，自己测试一下是最好的（当然，先问过甲方爸爸！先问过甲方爸爸！先问过甲方爸爸！可不敢说是我教你们的），之后就是该整改整改，毕竟要是因为未授权类被穿了那就太睿智了。比较需要注意一些的就是权限绕过类，有时候的告警信息会有些驴头不对马嘴，确实是有这么个事情在，但是告警信息对不上，up判断也是规则库的问题，还是结合请求的原则，问题大多是在请求json上或者替换了cookie，cookie的问题搞不定不确定不明白，运维在就摇运维，研发在就摇研发。

• 其他可查类

这类就特别特别广了，不是那种出现概率很高的漏洞，但是都是带着漏洞编号或者攻击告警名称，一查就查得到的，百度为主csdn为辅，如果对漏洞不了解但又不是很紧急的就慢慢看一遍人家复现的过程再去推敲即可，问题也不是特别大。

0day

NULL，遇到0day还能说个啥，打开boss直聘，定位，搜索网络安全工程师，一键立即沟通。

另外，关于扫描器

这里没有把扫描器单独写是因为很多时候态势感知告警不一定会是扫描器扫描，因为修改流量或者自写的一些poc是不在特征库内的，只会触发poc类型的告警。判断IP是否为扫描器要去看IP攻击历史，短时间内大量攻击且攻击类型不同直接实锤；威胁情报tag带着扫描器或者傀儡机等也基本扫描器实锤，直接封堵IP就完事了。

• 数据包分析

研判的重点难点，关于数据包的分析先po上一张图：

这是up今天处理的某一条误报，经验老道的师傅可能一眼看出来是个啥类型告警的误报了，告警的数据包就长这个样子了，其实只需要关注具体传输内容和请求路径、请求方式就可以了，有些时候需要看看cookie是否被替换（这个要结合告警类型，针对一些权限绕过的漏洞），

研判的过程就是为了确认机器的判断是否准确，数据包中有时候会有一些参数触发了态势感知的规则造成误报，重点要去关注数据包的异常情况与告警类型相关的部分，最直接的就是直接访问url嘛，当然了，得结合上一条，告警类型来确认。

另外对于个人电脑的告警情况（极大情况下是木马病毒类的了），因为环境比较复杂，不像是服务器要按照严格的规定去操作，极有可能是下载不明软件或文件时附带的，也有可能是一些垃圾文件等，实际无威胁，最好就是现场查杀，用杀毒软件（或者客户现场有edr设备的也可，能查出来就行）去二次确认，最终以客户的态度定论吧，没有edr的情况下不一定能找到木马/病毒文件的位置，进行查杀后如果没什么问题一般就盖棺定论了。

• 总结

篇幅有限，只是简单分享分享研判的一个过程，研判是安服仔们必须必须掌握的一个能力，实际工作中也好hvv也好，都是必备的，蓝初就图一乐，现在的行情来说蓝中水平左右真的就刚够入行了，期待和师傅们齐头并进，争取下次发蓝高技能的帖子。

诚邀您关注一己之见安全团队公众号！我们会不定期发布网络安全技术分享和学习笔记，您的关注就是给予我们最大的动力！