业界动态
HVV|蓝队防猝死手册
2024-11-04 16:59

在HVV期间,蓝队主要就是通过安全设备看告警信息,后续进行分析研判得出结论及处置建议,在此期间要注意以下内容。

HVV|蓝队防猝死手册

1.攻击IP是内网IP,攻击行为不定,主要包括:扫描探测行为、爆破行为、命令执行等漏扫行为。

2.资产属性-内网攻击IP资产属性。

3.研判告警行为是否为攻击动作,如弱口令、SQL注入漏洞可能是业务行为。

1.告警主要包括:后门程序、代码行为、命令执行行为。

3.综合判断告警是否成功(成功的话就需要提供证据给规则反馈)。

1.告警主要包括:客户对外端口的服务对外开放。

3.综合判断业务是否对外开放(及时确认是否需要规避风险点)。

1.告警主要包括:成功+失陷的告警。

2.资产属性+流量确认+告警确认+数据分析+兄弟产品跟进。

3.协助客户上机排查,书写防守或溯源报告。

在发现资产被攻击之后,防守方需要及时进行溯源和排查,通常情况下,溯源需要获取到目标攻击者的一部分个人信息,比如手机号,邮箱,QQ 号,微信号等,通过这些信息在互联网可以进一步追溯攻击者的更多暴露信息。方便进一步溯源,下述介绍了一些整理了一些常见的方法和工具。

首先通过威胁情报平台确认攻击ip是否为威胁 ip,常用的平台通常有如下

https://x.threatbook.cn/ 微步在线威胁情报社区

https://ti.qianxin.com/ 奇安信威胁情报中心

https://ti.360.cn/ 360威胁情报中心

https://www.venuseye.com.cn/  VenusEye威胁情报中心

当发现IP的为攻击IP后,可以尝试通过此IP去溯源攻击者,具体实现过程通常会用到下述方法: 

1.ip 反查域名

2.域名查 whois 注册信息

3.域名查备案信息、反查邮箱、反查注册人

4.邮箱反查下属域名

5.注册人反查下属域名

定位到攻击者ip后,可以通过sgk、社交软件、指纹库等其它方式捕获到攻击者个人社交账号捕获到更精准的敏感信息,可以采取以下思路。

 1.支付宝转账,确定目标姓氏

 2.进行QQ账号、论坛、贴吧、等同名方式去搜索

 3.淘宝找回密码,确定目标名字

 4.企业微信手机号查公司名称

 5.度娘、谷歌、src、微博、微信、知乎、脉脉等知道的各大平台上搜索

攻击者如果在恶意攻击过程中对目标资产上传攻击程序(如后门、恶意脚本、钓鱼程序等,我们可通过对攻击者上传的恶意程序进行分析,并通过IP定位等技术手段对攻击进行分析溯源,常用的恶意程序分析网站有

微步在线云沙箱:https://s.threatbook.cn/
腾讯哈勃:https://habo.qq.com/
Virustotal:https://www.virustotal.com/gui/home/upload
火眼:https://fireeye.ijinshan.com
魔盾安全分析:https://www.maldun.com/analysis/

蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。

蜜罐溯源的两种常见方式

一种是在伪装的网站上插入特定的js文件,该js文件使用攻击者浏览器中缓存的cookies去对各大社交系统的jsonp接口获取攻击者的ID和手机号等。另一种是在伪装的网站上显示需要下载某插件,该插件一般为反制木马,控制了攻击者的主机后查询敏感文件、浏览器访问记录等个人敏感信息从而锁定攻击者。

整理了一下常见的溯源案例链接,希望能对大家起到帮助

https://www.freebuf.com/articles/web/246060.html  //记一次蜜罐溯源

https://www.freebuf.com/articles/web/254538.html  //从溯源中学到新姿势

https://www.secpulse.com/archives/141438.html  //蓝队实战溯源反制手册分享

https://blog.csdn.net/u014789708/article/details/104938252  //记一次溯源恶意ip僵尸网络主机的全过程

https://mp.weixin.qq.com/s/xW2u4s8xCTnLCkpDoK5Yzw  //记一次反制追踪溯本求源

主要就是下述反制手段做操作

1.可克隆相关系统页面,伪装“漏洞”系统

2.互联网端投饵,一般会在Github、Gitee、Coding上投放蜜标(有可能是个单独的网站地址、也有可能是个密码本引诱中招

3.利用JSONP、XSS、CSRF等前端类漏洞获取访问蜜标的攻击者网络身份(网络画像

安全防护基础较好的厂商,一般来说除了出动0day,物理近源渗透以外,最常见的就是邮件钓鱼了,在厂商收到邮件钓鱼的情况下,我们可以采取化被动为主动的方式,假装咬钩,实际上诱导攻击者进入蜜网。

可以尝试挖掘蚁剑、冰蝎、菜刀、BurpSuite、SQLmap、AWVS的0day漏洞(需要一定的技术水平,或利用历史漏洞部署相关环境进行反打 

攻击者可能通过盲打漏洞方式来获取权限,一般盲打都具备一个数据回传接口(攻击者需要接收cookie之类的数据,接口在Javascript代码中是可以寻找到的,我们可以利用数据回传接口做以下两件事情,并后续引导攻击者进入我们部署好的蜜罐。

1.打脏数据回传给XSS平台

2.打虚假数据回传给XSS平台

攻击者可能是通过自己搭建的公网服务器进行攻击的,或者是通过此服务器与后门进行通讯。其中服务器可能运行诸多服务,且未打补丁或设置强密码,导致防守方可以进行反打。

    以上就是本篇文章【HVV|蓝队防猝死手册】的全部内容了,欢迎阅览 ! 文章地址:http://sicmodule.glev.cn/news/9082.html 
     资讯      企业新闻      行情      企业黄页      同类资讯      首页      网站地图      返回首页 歌乐夫资讯移动站 http://sicmodule.glev.cn/mobile/ , 查看更多   
最新新闻
原创李子柒事件是什么为啥报警 深挖个人详细资料和丈夫
说起李子柒相信大家都不陌生,一个很多人都喜欢的网红博主,她用自己的故事向无数人呈现了中国传统饮食文化,是第一个在油管上走
李子柒的4亿赌局:揭开与微念“宣战”背后的神秘力量
在这个瞬息万变的互联网时代,一位女子以其独特的田园诗意生活,赢得了全球数千万粉丝的心。她,就是李子柒。近日,一则新闻犹如
李子柒回来后,下一步要怎么走
来源/电商报Pro撰文/周文君01李子柒回来了和微念撕破脸再到账号停更,李子柒退出了大众视野。两年过去了,期间仍有粉丝询问,李
50个最火的创新创业小项目
随着电商的兴起,人们对物流效率的要求越来越高。无人机送货成为创新创业的新方向之一。通过无人机送货,可以大幅缩短送货时间,
李子柒报警事件真相大白!
近日,一则关于中国美食博主李子柒报警的事件引发了广泛的关注。这一事件的背后真相究竟是什么?让我们一起来看看。李子柒,一个
2025年是“佛灯火”年,啥预兆?明年是蛇年,年成好吗?
推荐语:2025年是“佛灯火”年,啥预兆?明年是蛇年,年成好吗?2025年,天干地支对应的是乙巳年,被称为“佛灯火年”。这一称谓
最赚钱的热门行业分析:揭秘2019年最赚钱的行业领域!
一、人工智能与机器学习技术行业随着科技的飞速发展,人工智能和机器学习技术已成为当今时代最热门的行业之一。在大数据分析、智
全国青联委员李子柒回归,获高规格“礼遇”
李子柒近日回归,官方给予其超乎一般网红的高规格“礼遇”。11月12日,李子柒发布两则视频,引爆网络,这是她时隔三年后,再次更
李子柒归来为何仍是顶流
  停更3年后,那个长发布衣的姑娘回来了。11月12日下午4时30分,李子柒发布一条长达14分钟、展现非物质文化遗产漆器制作过程的
2年后,李子柒回来了,但江湖变了
狮子林桥封了停更两年的李子柒还剩多少流量和价值?李子柒终于回来了。几天前,李子柒出现在一个公开视频中,作为推广大使为中国