国家攻防演练对抗已经白热化,上篇我们分享了创宇安全团队根据以往多年参与攻防演练的实践,并结合创宇威胁情报的特点,总结出了在实战攻防演练中以【威胁情报】为核心,从【实战防守场景】出发作为立足点的6大实战防守技巧,提供多方位提升防守能力,助力防守方取得优异成绩。
场景一:利用创宇威胁情报实现资产梳理,减少攻防演练安全隐患
场景二:利用创宇威胁情报精准发现红队攻击IP
场景三:利用创宇威胁情报赋能安全设备安全能力
场景四:利用创宇威胁情报攻击行为数据获取攻防演练报告撰写材料
场景五:利用创宇威胁情报批量查询实现多源情报验证
场景六:利用创宇威胁情报协助追踪溯源
网络安全的本质在对抗,对抗的本质在攻防两端能力较量。在攻防演练中,除了应对攻击方技战法变化带来的风险之外,自身互联网暴露面过多,敏感信息外泄突出,存在影子资产,也是常见防守痛点之一。
ZoomEye作为一款网络安全搜索引擎和资产发现工具,可以在互联网暴露资产方面为蓝队提供宝贵支持。以下是ZoomEye在攻防演练中为蓝队提供的一些关键应用场景:
01
“分钟级”威胁情报研判
协助蓝队快速识别红队的攻击IP
在攻防演练的实际对抗中,如何快速研判红队的攻击行为,获取高价值的威胁情报,是蓝队防御工作的重要环节。
基于创宇安全智脑的海量高精准威胁情报和大数据联防联控能力, ZoomEye 联动全球最大的黑客威胁情报库和恶意机器流量威胁情报库,并通过知道创宇的云防御体系“向前防御、持续交火”获取独家威胁情报,结合 IP、域名的高精准信誉情报,可以帮助蓝队全方位掌握威胁情报,让红队的威胁行为无处遁形。
以搜索某个威胁IP为例,通过创宇安全智脑的AI+大数据分析,ZoomEye在资产数据列表页中标记该IP为2023攻防演练的红队IP,点击“查看威胁详情”可查看该IP的恶意行为详情,蓝队通过该功能,可及时对威胁IP进行封禁,阻断该IP带来的威胁,防止丢分。
图1:威胁IP查询结果
02
域名/IP关联查询
协助蓝队快速探测企业暗资产
蓝队可以通过ZoomEye快速地对暴露在互联网中的网络空间资产进行筛查,快速获得资产的数量、服务、类型、系统名称和分布情况。
通过 ZoomEye 提供的域名/IP 关联查询功能,对企业域名进行关联查询,得到更多的暗资产和可疑资产信息。还可以扩展发现域名资产的相关子域名,得到更多的下级资产信息。
比如查询域名baidu.com 的子域名,可以发现153,085条结果,通过域名 /IP 关联查询和子域名爆破这两个步骤,我们可以进一步发现需要防护的资产,避免被攻击者找到突破口。
图2:子域名查询
域名/IP关联查询功能同时支持通过API查询和导出,为主动资产探测。
03
实时资产数据更新
协助蓝队高效管理资产暴露面
在资产暴露面管理的过程中,如果发现平台存在部分数据的探测时间比较早,可以单击资产 Banner 结果右上角的"数据更新"按钮进行实时地对目标探测,从而获取实时暴露在网络空间上的资产,并及时处理暴露在公网上的暗资产,避免被红队攻击。
以域名资产“pbuff.org”为例,通过ZoomEye语法搜索域名相关的资产:site:“pbuff.org”,通过搜索结果可以看到该资产最后更新时间为2023-07-24 19:21:35。
图3:资产详情页
点击右侧“数据更新”按钮并同意即可对该资产进行更新。在更新队列中可看见该资产正在在更新,更新完成后将通过邮件形式告知更新结果。
图4:更新队列
更新完后,资产的信息已到最新:
图5:数据已更新
04
最最最最后:
本周创宇安全智脑检测新增漏洞检测插件62个,其中重点插件、暴露资产量及ZoomEye搜索地址如下:
(点击查看大图)
创宇还为大家整理了去年攻防演练期间红队使用的热门漏洞以及ZoomEye搜索语法,可帮助蓝队快速发现漏洞影响范围,检查己方资产是否已经修复,完善防守壁垒。
2022年攻防演练热门漏洞及ZoomEye查询语法如下:
| 序号 | 漏洞名称 | ZoomEye搜索语法 |
| 1 | 泛微云桥e-Bridge存在SQL注入漏洞 | app:"泛微云桥" |
| 2 | GitLab远程代码执行漏洞(CVE-2022-2185) | app:"Gitlab" |
| 3 | 泛微OA存在SQL注入漏洞(CNVD-2022-43843) | app:"泛微 协同办公OA" |
| 4 | 通达OA存在代码执行漏洞 | app:"Tongda OA" |
| 5 | 用友U8-OA企业版存在SQL注入漏洞(CNVD-2022-31182) | app:"yonyou U8" |
| 6 | 泛微OA存在命令执行漏洞(CNVD-2022-06870) | app:"泛微 协同办公OA" |
| 7 | 致远A8 getshell | app:"Seeyon OA A8-m" |
| 8 | 禅道存在SQL注入漏洞(CNVD-2022-42853) | app:"ZenTaoPMS" |
| 9 | 万户OA getshell | app:"wanhu" |
| 10 | 拓尔思mas5 getshell | title:"媒资首页" |
| 11 | thinkphp远程代码执行漏洞 | app:"ThinkPHP" |
| 12 | jboss EAP /AS 6.远程代码执行 | app:"JBoss" |
| 13 | thinkphp任意文件读取 | app:"ThinkPHP" |
| 14 | Laravel存在命令执行漏洞(CNVD-2022-44351) | app:"Laravel Framework" |
| 15 | 安恒web应用防火墙远程命令执行漏洞 | app:"安恒信息 明御WEB应用防火墙" |
| 16 | 某盟NF防火墙版本<6.0.3.198存在远程命令执行漏洞 | app:"绿盟 下一代防火墙" |
| 17 | 通达 OA 后台 SQL 注入漏洞 | app:"Tongda OA" |
| 18 | 通达 OA 后台文件上传漏洞 | app:"Tongda OA" |
| 19 | 华天动力OA前台任意文件上传漏洞 | app:"CNPOWER OA" |
| 20 | 启明星辰天玥网络安全审计系统SQL注入0day | app:"启明星辰天玥网络安全审计" |
| 21 | uniview监控设备oday | app:"宇视科技 视频监控" |
| 22 | 蓝凌OA授权RCE和未授权RCE | app:"蓝凌数字OA" |
| 23 | 泛微Office 10 SQL注入漏洞 | app:"泛微 E-office 10" |
| 24 | 泛微 V9 文件上传漏洞 | app:"泛微协同办公标准产品EOffice" |
| 25 | 小鱼易连疑似0day | title:"小鱼易连" |
| 26 | 泛微 E-office 文件包含漏洞(CNVD-2022-43247) | app:"泛微 E-office 10" |
| 27 | 泛微 E-office SQL 注入漏洞(CNVD-2022-43246) | app:"泛微 E-office 10" |
| 28 | 禅道 v16.5 SQL注入漏洞 | app:"禅道" |
| 29 | 疑似用友NC 0day | app:"Yonyou NC httpd" app:"Yonyou NC Cloud" |
| 30 | org.webjars:dojo 包 <1.17.2 多个漏洞 | title:"dojo" |
| 31 | 明御Web应用防火墙任意登录(逻辑漏洞) | app:"安恒信息 明御WEB应用防火墙" |
| 32 | 某某服VPN存在远程缓冲区溢出漏洞(非web服务) | app:"sangfor ssl vpn" app:"深信服 S5100" |
| 33 | Coremail Air邮件客户端附件后缀名显示不正确(非Web服务) | app:"Coremail mail" |
| 34 | qax天擎版本<6.7.0.4910存在安全漏洞(无漏洞详情) | app:"Tianqing terminal management" |
如需【免费试用】威胁情报&ZoomEye,请扫描下方二维码。
原文始发于微信公众号(安全宇宙):【蓝队实战技巧】解决防守难题!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论