1.我们目前承接了金融、能源行业的网络安全检查工作,以及中央网信办,工信部,公安部的通报成员单位,SOAR告警主要有基于流量的各厂家安全设备态势告警和DNS/DPI原始日志威胁情报告。
2. 我们要筛选单位一亿营收以上(要不然没有网络安全的需求)
3. 运营商那边有DNS和DPI的服务器,有移动网的都会配置DNS日志,DPI(Deep Packet Inspection) 深度包检测,在他们的省网出口部署的设备,主要是上网行为。
具体步骤:
1. 筛选出能做实恶意行为的告警(如代码执行、命令执行等漏洞利用型攻击),区别正常请求(弱口令、SSH登录等)
2.通过载荷是否携带攻击特征,确认不是误报告警:
3.构造相同POC进行漏洞复现。
4.找到攻击IP的归属单位。找到受害IP所属单位。(在告警页面有域名和ICP备案等选项, 可以搜索出相关的页面并且导出)
情报告警主要为DNS日志,记录了某个IP请求了哪个域名以及最终响应的IP地址,一般来说,如果某个恶意域名被请求,请求的一方为受害主体,可能会因此感染病毒木马、接收C2指令,建立挖矿通信。
具体步骤:
1.设备类型选择DNS,高级搜索排除动态域名、短链接导出告警。
2.在excel表中筛选掉IP情报、DGA告警等;
3.去重域名后,研判是否误报;
4.去重请求IP, 找到归属单位;
注意事项:开放53端口的是DNS服务器。
5.挖矿会消耗算力,
接下来我们就开始找资产:
1.ICP备案关联:
我们的SOAR系统目前集成了部分离线ICP备案数据,通过智能标记--ICP关联:源/目的,可筛选出对应单位。
DNS域名关联:
我们的SOAR系统目前集成了部分离线DNS域名解析数据,通过智能标记--DNS解析:源/目的,可筛选出对应资产。通过对域名的ICP备案查询,可查出一些单位。
6. 查端口,查域名, 查ICP备案信息,如果是确定的恶意攻击IP, 但是没有查到域名,没有查到备案信息,也没法写报告。换域名的代价比换IP的代价大。就算没有找到ICP备案信息,通过找到这个IP开放的端口, 比如:https://117.167.136.94:9207 访问之后直接出现单位。
7. marks.details:1723 1723端口开放, pptp协议。就是VPN,可以查一下这个VPN 是否合法。
8. XFF, 有的请求包是通过NAT转发过来的,会出现XFF, 有XFF的话, 一般XFF才是真是的源IP, XFF可能有多个,有两个或者三个,
9.找关键字,shell 一般都是蠕虫。
1391
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
