网络攻防实战演习之蓝队指南（二）

点击上方蓝字关注我们

实战防护阶段
1. 威胁情报
网络攻防演习活动中威胁情报的收集与监控至关重要，需要实时监控小组人员持续监控互联网最新漏洞的披露情况，对比资产清单符合漏洞影响特征的资产进行重点防护和加固。

另外有一部分攻击者会采用0day/Nday漏洞来攻击目标系统。针对此类行为，防守方应及时与专业厂商取得合作，建立漏洞通报渠道，参考厂商给出的建议实施安全加固工作。

2. 实战监控
网络攻防演习活动中实战监控工作主要由实时监测小组完成。活动中应重点关注核心目标业务系统，同时针对核心业务系统外与之关联的服务，对目标系统的出入流量和日志进行集中式的监控和分析。

全网流量监控：通过合理分配安全监控设备的部署，对企业外部与内部间的所有流量进行监控和分析，对于日志中存在的可疑攻击行为提交至快速反应小组进行研判，如果判定为攻击行为，则针对攻击IP地址进行封禁或采取其他防护措施；

主机流量监控：通过合理部署主机安全防护软件，应对操作系统层面的日志进行统一的集中汇总和监控分析工作；

日志监控：对业务系统日志的实时监控，应对重要系统日志实施独立的日志收集和存储机制，避免日志本地存储导致被攻击者删除情况，重要业务系统可安排专人进行实时监控分析。

在实战演习活动前，应对业务系统重要数据、数据库等进行备份工作，避免在活动中因攻击行为影响业务系统数据的正常运行。

战后总结阶段
1. 活动复盘
网络攻防实战演习活动结束后，应针对活动中暴露出来的问题进行统一的汇总，并在蓝队指挥中心统一组织下，对整个防护过程进行复盘工作，全面分析，总结经验和教训。复盘工作可能给包括资产梳理阶段是否存在漏网之鱼、风险分析阶段是否有遗留风险点、演习活动中各部门沟通渠道是否畅通以及业务系统运行状态是否平稳等各个方面综合评估，另外还要考虑在企业人员安全意识和应急预案的及时处置上是否存在问题。

2. 整改落实
对网络攻防实战演习复盘工作暴露出来的不足之处，如管理制度的缺失、技术层面的待优化等问题，企业管理层应积极改善，努力推动相关部门进行整改。完善安全防护措施，优化安全策略的同时提升人员安全防范意识，有效提升企业整体安全防护水平。

应急响应处置
1. 事件分类
网络攻防实战演习活动中，基于一定活动规则下的企业主要面临的事件类型可能主要以各类Webshell、远控后门、内网渗透等为主。

2. 准备工作
这里针对网络攻防实战演习活动的特点，简单列举几项常用工具以供参考（排名不分先后）：

Webshell查杀：

河马Webshell查杀:https://www.shellpub.com/

深信服EDR：https://edr.sangfor.com.cn/#/service/upload_virus

可疑文件扫描：

VirSCAN：https://www.virscan.org/

可疑文件分析：

火绒剑：https://www.huorong.cn/

腾讯哈勃系统：https://habo.qq.com/

威胁情报社区：

微步在线：https://x.threatbook.cn/

Rootkit查杀：

Chkrootkit：http://www.chkrootkit.org/

RPM check检查：

/rpm -Va >rpm.log

3. 排查思路
3.1 Windows

网络攻防实战演习活动中的应急响应处置大体上和常规应急处置流程相同，通常演习活动不会造成业务系统的宕机事故，但对于蓝队防守方再说，能够在攻击方攻击行为发起的第一时间识别攻击，及时采取阻断行为，则更能够体现蓝队安全防护能力。

这里简述一下常规Windows系统下应急响应的排查思路：

检查系统帐号安全

(1) 系统是否存在可疑帐号

(2) 检查guest帐号权限

(3) 系统是否存在弱口令

(4) 检查用户登录日志是否异常

检查异常进程和端口

(1) 通过进程PID查看进程文件的位置

netstat -ano

wmic process getname,executablepath,processid|findstr pid

检查系统启动项、计划任务、服务

检查系统基础信息

系统版本和补丁情况

常见可疑目录位置：Users、Recent等

本地查杀

(1) 本地安全防护软件查杀

(2) 在线查杀工具交叉使用弥补规则库差异性

系统日志分析

3.2 Linux

检查系统帐号安全

(1) /etc/passwd

(2) /etc/shadow

(3) 特权用户（uid==0）

awk -F: ‘$3==0{print $1}’ /etc/passwd

(4) 可远程登录的帐号

awk ‘/$1|$6/{print $1}’ /etc/shadow

History历史命令

(1) .bash_history文件

端口、进程

(1) netstat-antlp|more

(2) file/proc/$PID/exe

(3) ps aux | greppid

开机启动项

(1) 在/etc/init.d

计划任务

(1) crontab -l

(2)/var/spool/cron/*

(3) /etc/crontab

(4) /etc/cron.d/*

(5)/etc/cron.daily/*

(6)/etc/cron.hourly/*

(7) /etc/anacrontab

(8) …

                                            

END

*参考来源：网络

关于我们：

北京路劲科技有限公司(Beijing Lujin Technology Co. , Ltd.)成立于2019年1月4日，是一家提供全面系统集成与信息安全解决方案的专业IT技术服务公司。公司秉承“为网络安全保驾护航”的企业愿景及“提升国家整体安全”的使命，依据风险评估模型和等级保护标准，采用大数据等技术手段，开展网络安全相关业务。公司致力于为各个行业的业务信息化提供软件和通用解决方案、系统架构，系统管理和数据安全服务、以及IT咨询规划、系统集成与系统服务等专业化服务。公司立足北京，走向全国，始终坚持“换位、细节、感恩”的核心价值观，以“共赢、共享、共成长”的经营理念为出发点，集合了一批敢于创新、充满活力、热衷于为IT行业服务的优秀人才，致力于成为您身边的网络安全专家。

 

关注路劲科技，关注网络安全！

公司：北京路劲科技有限公司

地址：北京市昌平区南邵镇双营西路78号院2号楼5层504

PS：如果觉得本篇文章对您有所帮助，欢迎关注！帮忙点个赞，转发一下 分享出去吧！