Hwang
作者:互联网
- 认清形势,提升站位,切实增强责任意识。
- 精心组织,确保安全,稳步推进攻防演习
- 以攻促防,查漏补缺,网络安全防线。
攻防演练是什么?
公安部主办,获取目标系统的最高控制权为目标。保障业务系统安全前提下,不限制攻击路径,不限制攻击手段。形成有组织的网络攻击行为。
攻击方:由组织方给定目标系统,不允许进行破坏性攻击和物理暴力攻击。
以获得系统权限,进入生产网为目标。
- 网络安全公司
- 互联网公司
- 网络安全监管单位
- 各行业自有红队
- 高校联盟
防守方:防守方自行组织监控,溯源,防守能力,对攻击行为进行识别和处置。
- 国家部委及直属机构
- 公检法
- 金融,证券,保险
- 央企
- 传媒
- 卫生,医疗
- 军工
攻防得分技巧
有能力的前提下,就需要加点战略战术了。
蓝队
退赛规则-目标系统被控
- 位于互联网区的目标
- 位于业务内网的目标
- 位于核心生产网的目标
万一,也不要一走了之,要溯源,证据,还原攻击链条。
加分规则-发现类
发现的攻击ip来自演习平台,扫描类攻击行为不给分
4. 发现webshell木马,主机木马 //网络重要性
5. 发现账号异常,并采取处置措施 //
6. 发现恶意邮件(恶意链接,病毒)
加分规则-消除类
基础条件是发现攻击ip来自演习平台
7. 处置现场接触式攻击
。。。
加分规则-应急处置
积极配合应急组工作,快速定位受害系统,提供日志记录
加分规则-追踪溯源
溯源反制
加分规则-演习总结
-----蓝队算分工具
失分原因
正面渗透--应用漏洞,框架漏洞,0day,中间件漏洞,系统漏洞,弱口令
迂回社工---**专线**,近源攻击,钓鱼邮件
红队
加分规则-靶标分
- 位于互联网区的目标
- 位于业务内网的目标
- 位于核心生产网的目标
加分规则-突破边界(路径分)
4. 进入逻辑隔离业务内网
5. 进入逻辑强隔离业务内网
6. 进入核心生产网
7. 其他情况
加分规则-获取权限(路径分)
8. 获取参演单位的域名控制权限
9. 获取终端计算机权限
10.获取邮箱账号权限
10. 获取web应用,ftp等应用的用户权限
11. 获取单点登录认证系统sso权限
12. 服务器主机权限
13. 域控系统权限
14. 获取堡垒机,运维机权限
15. 云管理平台权限,大数据系统控制权
16. 获取数据库连接账号密码(含sql注入)
17. 防火墙,路由器,交换机,网闸,vpn等网络设备权限
18. 。。。。
加分规则-发现演习前已有攻击
19. 已植入webshell木马,主机木马
20.新增账号
隐蔽通道
溯源
。。。。
红队算分工具
网络整体策略优化
安全防护设备概述
防火墙,web防火墙waf,入侵防御ips,入侵检测ids,防毒墙等。
网络安全架构评估
”一中心三防护“
什么是网闸? this
互联网暴露面检测
可能被利用和入侵的应用,系统,设备,信息等
- 存活资产发现(互联网地址段
- 开放端口检查
- 开放服务识别
- app查找(七麦数据
- 公众号和小程序
- 域名发现
防守保障的经验和技巧
监控和分析研判
分析研判思路 – 资产信息
- 资产信息(资产组件,资产全面性,资产网络架构
- 网络信息(区域划分,第三方接口,流量流向(nat转换)
- 安全设备(入侵检测,入侵防御,蜜罐,态势感知,流量分析,高持续威胁检测
分析研判思路–换位思考
攻击者入侵目标,冬季,方法,途径?
- 在复杂的网络环境中,难以快速发现和定位威胁点,
未知网络区域?
分析研判思路–行为维度
- 偏离日常业务(业务流量端口,业务访问逻辑,业务事件暴增
- 违规外联(业务访问客户端,业务访问互联网,业务访问第三方网络
非工作时间
事件时间趋势对比
分析研判思路–事件维度
- 事件名称(cve,webshell,命令执行,反序列化,webshell连接
- 事件级别(高危:主动研判,排除辅助|中危:研判和排除占工作量各50%|低危:排除为主
- 事件频率(源地址/目地址/事件名称 5分钟大于20次;统计事件前top5分析
- 响应状态(具备回显:200,404|不具备回显:分析目的地址,手动测试payload,结合资产判断
分析研判思路–恶意代码分析
(平台)
分析思路-hw分析实战技巧
- 定时刷新
- 数据清洗(白名单
- 溯源定位(手机号注册网站查询,ip地址地图定位
- 先封后判
- 优先级(命令执行,漏扫,文件上传优先研判;爬虫,信息泄露最后;而已文件,C2针对性研判
- 善于利用小道威胁情报(hw时爆发的事件,漏洞,预防,攻击队ip,0day事件等)
攻击场景 --互联网扫描
流量中包含扫描器特征
端口扫描
漏洞扫描
目录爆破
攻击场景–sql注入
攻击场景–命令注入
攻击场景–文件上传
攻击场景–webshell连接
攻击场景–xss攻击流量特征
手工验证
漏洞分析
漏洞分析 --hw常见攻击
漏洞分析–
应急/溯源/反制
windows 应急思路
- 检查系统账号安全
linux 排查思路
内存马
标签:分析,攻击,漏洞,研判,权限,Hwang,溯源 来源: https://blog.csdn.net/weixin_43123409/article/details/117932415