Hvv蓝队技战法

HW行动之“防守方”策略

“防守方”依据HW行动时间延展可分为四大阶段：备战阶段、临战阶段、决战阶段、总结阶段。具体策略概述如下：

备战阶段主要是对安全现状排查。目标是通过数据资产梳理、安全风险评估，以及自查自纠、安全培训，建立安全防护体系。

临战阶段主要是按照HW行动整体模式开展资产巡查、渗透测试，制定应急预案、开展实战应急演练，依据内外网检测结果进行系统安全加固及应急处置优化。

决战阶段主要是进行7*24小时现场值守。值守中，要实时监控安全态势，实时应急响应安全事件，确保整个重大活动期间的安全保障。具体任务：依据安全审计告警信息进行实时监控与上报，实时监测重点系统的风险及安全隐患并第一时间应急处置，现场依据策略调整进行突发事件处理，现场针对安全事件进行溯源分析等等。

总结阶段主要是对HW行动的工作及经验不足进行总结，并根据总结结果持续改进、优化网络安全整体建设水平。

0day防护

---

0day漏洞是一项复杂的任务，因为这些漏洞尚未被公开并且还没有相关的修复补丁，以下是几个明确的步骤来帮助您提高系统的安全性，并降低受到0day漏洞攻击的风险

漏洞情报：

订阅多个安全厂商、漏洞信息共享平台和邮件列表，以获取最新的漏洞情报。这些渠道提供了有关新发现漏洞的详细信息、影响范围和可能的解决方案。定期查看更新，并确保将关键漏洞信息传达给您的安全团队，以便他们能够做出相应的补救措施。

威胁建模：

分析您的系统和网络拓扑，包括服务器、网络设备、数据库等，并制定威胁模型。通过评估攻击者可能采取的威胁行为和路径，您可以确定最重要的资产和潜在攻击点。根据威胁模型的结果，实施相应的保护措施，加强这些关键组件的安全性。

补丁管理：

建立一个完善的补丁管理流程，并采用自动化工具来跟踪和应用操作系统、应用程序和设备的安全更新和修复补丁。确保您的系统和软件始终保持最新的状态，以及时修复已知漏洞。创建一个测试环境，先在其中进行补丁测试，然后再将其应用到生产环境中，以确保补丁不会引入新的问题。

漏洞扫描和渗透测试：

定期进行漏洞扫描和渗透测试，以发现系统中存在的漏洞，并评估潜在的威胁。使用专业的漏洞扫描工具对网络设备、服务器和应用程序进行全面扫描，检测已知的漏洞并生成报告。同时进行渗透测试来模拟真实攻击场景，评估系统的弱点和潜在风险。根据测试结果，制定修复计划并追踪漏洞修复进度。

应用白名单和沙箱环境：

使用应用白名单技术限制只允许运行授权的可信软件。将应用白名单策略应用到操作系统和应用程序层面上。这样可以有效防止恶意软件和未经授权的应用程序运行。此外，在沙箱环境中运行潜在有风险的应用程序，以便检测和拦截可能的恶意行为。沙箱环境提供了一个隔离的环境，确保潜在的恶意软件不会对实际系统造成伤害。

网络分段：

通过将网络划分为多个隔离的子网，限制内部系统之间的直接通信。这样即使一个系统受到攻击，也可以减少攻击者对其他系统的影响范围。使用网络防火墙和网络访问控制列表（ACL）来监控和限制不同子网之间的流量。此外，实施网络隔离策略，将关键资产放置在单独的受保护区域中，只允许经过严格身份验证的用户访问。

强化主机安全防护：

部分0day利用成功后需要主机读写文件权限，部署终端防护系统，一是监控非白名单地址的运维操作和敏感操作命令，及时发现异常命令执行行为，包括攻击者常用的whoami、id等。二是监控服务器敏感配置文件的读取，例如passwd、shadow、*.conf 文件。三是进制web目录写入脚本文件，防止webshell后门落地执行。

布置蜜罐

一是边界区域部署办公系统蜜罐。二是在核心计算区域布置核心系统和集权系统蜜罐。三是将真实系统的非业务端口访问流量转发至蜜罐，第一时间发现内网扫描行为。

部署高交互、高仿真蜜罐，将vpn、oa系统做蜜罐备份，攻防期间替换掉真实业务域名，混淆攻击者，捕获零日漏洞。同时将下载页面中vpn、oa客户端替换为cs免杀木马，在云服务器部署通过cna脚本进行上线微信提醒，一旦上线即可第一时间反制溯源

0day攻击应急响应流程

情报收集与分析：

收集关于0day漏洞的相关情报，包括CVE编号、受影响系统和软件版本等信息分析漏洞利用的方式和攻击者可能采取的行动，评估威胁程度和潜在风险

验证与确认：

确认系统是否受到0day攻击，通过检查异常活动、不寻常的日志记录或其他安全事件的迹象。验证攻击的范围和受影响的系统，确定攻击者获取的权限和可能的损害。

划定边界与隔离：

通过防火墙、入侵检测系统（IDS/IPS）或其他安全设备，将受感染的主机或网络隔离起来，以限制攻击扩散。划定边界并构建隔离环境，确保被感染系统无法连接到其他系统或网络

收集证据：

收集与攻击有关的所有证据，包括攻击流量捕获、日志文件、内存快照、恶意代码样本等。确保对证据进行正确的保留和存档。

应急修复与缓解措施：

采取紧急措施来阻止攻击，例如禁用受感染的账户、停止受感染的服务或断开受感染系统与网络的连接。如果可行，尝试应用已有的临时修复方案或补丁，并确保它们不会引入其他问题。

深度分析与恶意代码清除：

对受感染系统进行深度分析，以了解攻击者的行动方式和后门特征。使用专业的安全工具和反恶意软件软件，扫描并清除潜在的恶意代码。进行持久性检查，确保系统没有被重新感染，并通过监控日志和网络活动来发现任何异常行为。

系统恢复与完善防护：

在确认系统已经得到清理并修复后，开始系统恢复过程。确保先进行彻底的测试和验证，以确保系统的安全性和功能性。根据针对0day漏洞的最新信息，升级受影响的系统和软件，并加强防护措施，例如配置审计、访问控制和内网安全策略。

事后分析与总结：

进行事后分析，评估0day攻击的影响和损失，并确定应对措施的有效性和不足之处。撰写一份详细的报告，记录事件的经过、所采取的措施和应对结果。提供有关0day漏洞的信息共享给相关机构或社区完成整个应急流程的闭环

实战阶段防守技战法

监控设备方法，如果说现在做好的办法那就是封堵ip，每个头部厂商有自己的办法，当然了防守战法有3个方面：

日志设备监测：

日志检测可以 监控监测各设备的登录日志，重点关注管理员权限账号的登录和使用情况。通过分析登录日志发现如密码暴力破解和非法用户登录行为。这些是重点中重点。

网络流量监测：

通过日志异常请求，抓取网络的网络包回溯，前提在黄金5分钟搞定。可以离线下载分析cap包。使用wireshark即可。建议产品使用比较靠谱的一系列产品，比如流量回溯系统，WAF。

内网访问关系监测：

重点关注内网扫描探测，异常网络连接，非法外联等事件。如果是已经突破边界，进入内网扫描，或者非法连接，这个事情可以进一步证实前面判断。通过前2步的做法确认结果。

被打穿了怎么办？

提桶跑路

原文始发于微信公众号（Poker安全）：Hvv蓝队技战法