【蓝队实战技巧】解决防守难题!

admin 2023年8月20日20:39:44评论47 views字数 3019阅读10分3秒阅读模式

【蓝队实战技巧】解决防守难题!

国家攻防演练对抗已经白热化,上篇我们分享了创宇安全团队根据以往多年参与攻防演练的实践,并结合创宇威胁情报的特点,总结出了在实战攻防演练中以【威胁情报】为核心,从【实战防守场景】出发作为立足点的6大实战防守技巧,提供多方位提升防守能力,助力防守方取得优异成绩。


场景一:利用创宇威胁情报实现资产梳理,减少攻防演练安全隐患

场景二:利用创宇威胁情报精准发现红队攻击IP

场景三:利用创宇威胁情报赋能安全设备安全能力

场景四:利用创宇威胁情报攻击行为数据获取攻防演练报告撰写材料

场景五:利用创宇威胁情报批量查询实现多源情报验证

场景六:利用创宇威胁情报协助追踪溯源


网络安全的本质在对抗,对抗的本质在攻防两端能力较量。在攻防演练中,除了应对攻击方技战法变化带来的风险之外,自身互联网暴露面过多,敏感信息外泄突出,存在影子资产,也是常见防守痛点之一。


ZoomEye作为一款网络安全搜索引擎和资产发现工具,可以在互联网暴露资产方面为蓝队提供宝贵支持。以下是ZoomEye在攻防演练中为蓝队提供的一些关键应用场景:


【蓝队实战技巧】解决防守难题!




01

“分钟级”威胁情报研判

协助蓝队快速识别红队的攻击IP

在攻防演练的实际对抗中,如何快速研判红队的攻击行为,获取高价值的威胁情报,是蓝队防御工作的重要环节。


基于创宇安全智脑的海量高精准威胁情报和大数据联防联控能力, ZoomEye 联动全球最大的黑客威胁情报库和恶意机器流量威胁情报库,并通过知道创宇的云防御体系“向前防御、持续交火”获取独家威胁情报,结合 IP、域名的高精准信誉情报,可以帮助蓝队全方位掌握威胁情报,让红队的威胁行为无处遁形。


以搜索某个威胁IP为例,通过创宇安全智脑的AI+大数据分析,ZoomEye在资产数据列表页中标记该IP为2023攻防演练的红队IP,点击“查看威胁详情”可查看该IP的恶意行为详情,蓝队通过该功能,可及时对威胁IP进行封禁,阻断该IP带来的威胁,防止丢分。


【蓝队实战技巧】解决防守难题!

图1:威胁IP查询结果


【蓝队实战技巧】解决防守难题!




02

域名/IP关联查询

协助蓝队快速探测企业暗资产

蓝队可以通过ZoomEye快速地对暴露在互联网中的网络空间资产进行筛查,快速获得资产的数量、服务、类型、系统名称和分布情况。


通过 ZoomEye 提供的域名/IP 关联查询功能,对企业域名进行关联查询,得到更多的暗资产和可疑资产信息。还可以扩展发现域名资产的相关子域名,得到更多的下级资产信息。


比如查询域名baidu.com 的子域名,可以发现153,085条结果,通过域名 /IP 关联查询和子域名爆破这两个步骤,我们可以进一步发现需要防护的资产,避免被攻击者找到突破口。 


【蓝队实战技巧】解决防守难题!

图2:子域名查询


域名/IP关联查询功能同时支持通过API查询和导出,为主动资产探测。


【蓝队实战技巧】解决防守难题!




03

实时资产数据更新

协助蓝队高效管理资产暴露面

在资产暴露面管理的过程中,如果发现平台存在部分数据的探测时间比较早,可以单击资产 Banner 结果右上角的"数据更新"按钮进行实时地对目标探测,从而获取实时暴露在网络空间上的资产,并及时处理暴露在公网上的暗资产,避免被红队攻击。


以域名资产“pbuff.org”为例,通过ZoomEye语法搜索域名相关的资产:site:“pbuff.org”,通过搜索结果可以看到该资产最后更新时间为2023-07-24 19:21:35。


【蓝队实战技巧】解决防守难题!

图3:资产详情页


点击右侧“数据更新”按钮并同意即可对该资产进行更新。在更新队列中可看见该资产正在在更新,更新完成后将通过邮件形式告知更新结果。


【蓝队实战技巧】解决防守难题!

图4:更新队列


更新完后,资产的信息已到最新:


【蓝队实战技巧】解决防守难题!

图5:数据已更新




04

最最最最后:

本周创宇安全智脑检测新增漏洞检测插件62个,其中重点插件、暴露资产量及ZoomEye搜索地址如下:


【蓝队实战技巧】解决防守难题!

(点击查看大图)


创宇还为大家整理了去年攻防演练期间红队使用的热门漏洞以及ZoomEye搜索语法,可帮助蓝队快速发现漏洞影响范围,检查己方资产是否已经修复,完善防守壁垒。


2022年攻防演练热门漏洞及ZoomEye查询语法如下:

序号 漏洞名称 ZoomEye搜索语法
1 泛微云桥e-Bridge存在SQL注入漏洞 app:"泛微云桥"
2 GitLab远程代码执行漏洞(CVE-2022-2185) app:"Gitlab"
3 泛微OA存在SQL注入漏洞(CNVD-2022-43843) app:"泛微 协同办公OA"
4 通达OA存在代码执行漏洞 app:"Tongda OA"
5 用友U8-OA企业版存在SQL注入漏洞(CNVD-2022-31182) app:"yonyou U8"
6 泛微OA存在命令执行漏洞(CNVD-2022-06870) app:"泛微 协同办公OA"
7 致远A8 getshell app:"Seeyon OA A8-m"
8 禅道存在SQL注入漏洞(CNVD-2022-42853) app:"ZenTaoPMS"
9 万户OA getshell app:"wanhu"
10 拓尔思mas5 getshell title:"媒资首页"
11 thinkphp远程代码执行漏洞 app:"ThinkPHP"
12 jboss EAP /AS 6.远程代码执行 app:"JBoss"
13 thinkphp任意文件读取 app:"ThinkPHP"
14 Laravel存在命令执行漏洞(CNVD-2022-44351) app:"Laravel Framework"
15 安恒web应用防火墙远程命令执行漏洞 app:"安恒信息 明御WEB应用防火墙"
16 某盟NF防火墙版本<6.0.3.198存在远程命令执行漏洞 app:"绿盟 下一代防火墙"
17 通达 OA 后台 SQL 注入漏洞 app:"Tongda OA"
18 通达 OA 后台文件上传漏洞 app:"Tongda OA"
19 华天动力OA前台任意文件上传漏洞 app:"CNPOWER OA"
20 启明星辰天玥网络安全审计系统SQL注入0day app:"启明星辰天玥网络安全审计"
21 uniview监控设备oday app:"宇视科技 视频监控"
22 蓝凌OA授权RCE和未授权RCE app:"蓝凌数字OA"
23 泛微Office 10 SQL注入漏洞 app:"泛微 E-office 10"
24 泛微 V9 文件上传漏洞 app:"泛微协同办公标准产品EOffice"
25 小鱼易连疑似0day title:"小鱼易连"
26 泛微 E-office 文件包含漏洞(CNVD-2022-43247) app:"泛微 E-office 10"
27 泛微 E-office SQL 注入漏洞(CNVD-2022-43246) app:"泛微 E-office 10"
28 禅道 v16.5 SQL注入漏洞 app:"禅道"
29 疑似用友NC 0day app:"Yonyou NC httpd" app:"Yonyou NC Cloud"
30 org.webjars:dojo 包 <1.17.2 多个漏洞 title:"dojo"
31 明御Web应用防火墙任意登录(逻辑漏洞) app:"安恒信息 明御WEB应用防火墙"
32 某某服VPN存在远程缓冲区溢出漏洞(非web服务) app:"sangfor ssl vpn" app:"深信服 S5100"
33 Coremail Air邮件客户端附件后缀名显示不正确(非Web服务) app:"Coremail mail"
34 qax天擎版本<6.7.0.4910存在安全漏洞(无漏洞详情) app:"Tianqing terminal management"



如需【免费试用】威胁情报&ZoomEye,请扫描下方二维码。


【蓝队实战技巧】解决防守难题!

原文始发于微信公众号(安全宇宙):【蓝队实战技巧】解决防守难题!

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年8月20日20:39:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【蓝队实战技巧】解决防守难题!https://cn-sec.com/archives/1964094.html

发表评论

匿名网友 填写信息