HVV篇——监测

看监控——也是一种艺术！

最近纷争就要开始了，up的小团队里的x师傅已经入场，剩下一位师傅也即将奔赴客户现场，有一位今年即将毕业的摸鱼学弟就联系到了up，“嘴硬，我没参加过hvv欸，我今年进了公司领导让我看监控我不会怎么办，我没看过态感啊！”

好吧，好吧，今天这一期for看监控。

• 一、专注于高危告警

能利用并打入内网的攻击必定是至少中危起步的告警（并且在整个攻击过程之中由于需要穿越整个网络架构而使用不同攻击手段，不太可能只触发了一次告警），如果真有什么大牛低危日穿内网，请务必引荐给up认识一下...

大家需要明确一下概念，hvv的目的是为了快速得分，快速提交报告，总体来说红队虽然需要避免被溯源，但也不可能真的做到滴水不漏或者面面俱到的，突出的就是效率，红队又不是手上只有你这一家单位的资产。

当然了，并不是所有高危告警都有意义，除此之外还需要排除掉：

①无意义告警。这类就不泛举例了，玩过扫描器的师傅懂得都懂，实在不懂的师傅建议移步我写扫描器那篇。

②内网攻击。这里请注意甄别，不是说完全忽略内网之间攻击，而是如果出现什么内网访问未授权、内网xss、目录遍历诸如此类，当然了，仅仅针对非集权系统（堡垒机、ac网闸之类的），如果只是很普通的某个小打卡机之类的，价值意义不大、无法连接重要资产的忽略掉。

③404。很多攻击看着唬人，似乎碰见高玩了，一看返回404，笑都笑死他，在防守力量充足、且客户资产理的干净的情况下可以稍稍分析一下，确定这小子在玩大的就封IP，不过封了他也会换IP测试，小打小闹，只要是返回404的，防守力量不足的情况下能忽略就忽略了，集中力量看重要的。

④DDos。Hvv不会出现这种场面的，真要出现了运营商比你急，没有哪个攻击队的是傻子把动静上升到这种级别的，日常都不太可能出现。

• 二、关注失陷告警

针对已经被红队发现可利用漏洞并成功进入内网中上马子，态感已经出现了反连流量。来来回回就那几类嘛，up也写出来给大家参考，欢迎补充：

①各类webshell，冰蝎、哥斯拉、蚂蚁剑，请背熟流量特征（或者背着甲方偷偷查一下也行）。

②C2，这类没什么好说的，单反出现直接甩给研判组来判断是否需要应急响应，能进主机去排查自然是最好的，但是总要看情况的嘛，不是每一位师傅在客户现场都有足够的权限去做这样的事情的。

③反弹shell。Up手上刚好有截图，打个码给大家看看

这就没什么好说的了吧？还判断不出来的师傅面壁思过去。

④远程命令执行。RCE可能稍微需要多点时间去分析一下，看看执行类型、执行位置、回显/无回显，不赘述，监控岗的师傅不需要讲这个太深了。

⑤黑客工具。看检测出的工具类型，一般mimikatz、fscan、nmap这种探测类、提权的工具一旦出现要重点关注排查，还有frp、msf之类的，平时玩的玩具一旦出现在工作场合那都是大事。

⑥横向攻击。这类误报率通常很高，通常也没头没脑的，也因为系统管理员内网操作不大规范、内网管理不到位会产生一些横向攻击的告警，hw期间告警量激增，谨慎对待的好。

• 三、利用威胁情报

自己手头上的、客户的威胁情报共享群的、客户通报的，都可以进行筛选（也有些客户会直接封，看都不看，推荐先进行筛选，观察是否已出现这些IP的攻击行为，丢给研判组看看。）

威胁情报来源很广，某些路子up也不好在这里说，wb和一些社区公开情报也够大家用了，可以参考下。

• 四、熟悉安全设备

一场hvv从头到位不可能只看态感就过去的，各类安全设备只要是现场有的都应该利用起来，特别是要求高的金融行业、运营商、能源，这些重点对象现场安全防护等级极高，安全设备多如牛毛，对各类安全设备熟悉也是师傅们的必修课，简单点点收个尾：

①web多的、对外服务多的联动waf监测；

②内网资产多、内部业务多的联动edr看木马、敏感行为告警；

③公司内部部门划分多、员工多、非技术人员极多的联动ac，排查内部入侵和新用户上线；

④内外网隔离不严格、业务数据互通频繁的联动网闸看隔离情况；

⑤有移动办公、灵活办公、外地办公情况的，重点监测vpn使用，防钓鱼、不允许弱密码。

• 结尾

落下这篇，up就要去值班去了，各位师傅hvv见吧，期间up也会继续和大家分享一些讯息、技巧，希望大家一起越来越好。

原文始发于微信公众号（一己之见安全团队）：HVV篇——监测