HVV技战法 | 0Day漏洞逆向利用+线下社工防护+自动化封禁IP

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

高度重视网络安全工作，深入贯彻落实习近平总书记对网络安全工作重要指示精神，按照公安部“护网2020”网络安全攻防演习统一部署，在演习中使用“0Day漏洞逆向利用+线下社工防护+自动化封禁IP”战法，防御来自攻击队的攻击，并主动诱捕攻击者。

一、0Day漏洞之逆向利用

我方针对0Day漏洞的逆向利用目标有两个，一、为我单位建立互联网前沿观察哨，攻击者扫描或攻击时，第一时间预警通知。二、利用0Day漏洞来诱捕攻击者。

我方防守思路如下：

0Day漏洞一直是攻击者的大杀器，无任何有效的防御手段，故在有0Day漏洞时，攻击者很大概率会使用0Day漏洞来攻击防守方。故我方将计就计，使用仿真的0Day漏洞来诱惑攻击者，在攻击者上钩进行攻击时，我方仿真0Day漏洞对我方发出预警，并伺机反控攻击者。

如下为本次案例中的VPN系统0Day漏洞逆向利用的流程图

2019年，某安全厂商的VPN产品爆了0day漏洞，今年又出了新的0day漏洞。故我方猜测该厂商的VPN肯定会成为攻击者重点利用的对象，因此提前准备了vpn仿真蜜罐等待攻击者上钩。我方在VPN蜜罐中内置了反制木马，只要人下载执行了此文件，我方就可以通过蜜罐管理后台进行反控攻击者。

2020年9月16日首次发现攻击者对我方互联网vpn蜜罐进行探测。

9月18日再次检测到该攻击者访问互联网蜜罐的行为，并有访问反制插件的记录。同一时间，发现该攻击者同网段的其他ip对互联网vpn沙箱进行扫描。

本次攻击者的目的为探测、踩点。同时攻击者下载了木马，我方猜测是尝试对VPN系统进行攻击。

在2020年9月21日，上午9点58分，攻击者执行了反制木马程序，我方迅速通过蜜罐后台对攻击者进行反控，捕获到攻击者使用终端的大量信息，包括：用户信息、进程信息、网卡信息、IP信息、桌面文件信息。

二、线下社工防护

我方针对线下社工的防御目标为：

防止攻击者通过社工方式混入现场对我方网络进行攻击，提高我方人员的警惕意识，为来自未来的不可预知事件做好准备。

我方防守思路如下：

单位大楼加强门禁管理，定时巡检大楼外侧、及时盘查陌生人身份。建立应急响应机制及时处置突发的线下社工事件。

如下为本次案例中的线下社工防护流程图

在2020年9月16日 20:50分。我方内网蜜罐发现攻击者的探测行为。攻击者IP地址为我单位无线网IP，我方第一时间通过无线网IP定位到无线网账号所属人，并确认该行为非无线网账号所属人的操作。故我方判断该行为为线下社工行为。我方马上派人在大楼外巡检，未发现可疑人员，同时与指挥部确认是否为演习行为，在得知为非演习行为后，我方第一时间与管片民警沟通。同时继续监测处置。

该行为持续6天，我方在6天内持续监控封堵恶意攻击行为，且积极进行反线下社工工作。在持续6天的反社工行动中，我方大概确认了攻击者所在的位置，推断该行为是非报备的演习行为。

在为期6天的集团无线网攻击中，我方严防死守，严密监控，仔细推理，积极进行反线下社工工作。在超出我方反溯源能力后，我方及时报警处理，对攻击队进行震慑处理，我方无线网攻击行为得以停止。

三、自动化封禁IP

我方自动化封禁IP的目标为：

防止攻击者攻击者不遵守规定，在非演习时间内攻击，降低我方防守人员的防守压力。

我方自动化封禁思路如下：

收集我防守单位内各个监测设备的告警数据，综合分析，在演习时间段内发出告警，在非演习时间段内自动化封禁高可疑IP。

在本次演习过程中，我方总计分析告警日志1545837条，自动化封禁IP6419个。极大缓解了我方防守人员的防守压力。

四、总结

在本次演习中使用“0Day漏洞逆向利用+线下社工防护+自动化封禁IP”战法。“0Day漏洞逆向利用”战法，利用攻击者急切想打入集团内网的心态，故意露出破绽，引诱攻击者上钩，顺藤摸瓜，抓获攻击者；“线下社工防护”战法，及时监测并阻断了攻击者的攻击，在无法继续溯源的情况下，及时采取相应措施，打退攻击者的进攻；“自动化封禁IP”战法防御了大量来自攻击队的攻击，减轻了防守人员的防守压力，让我方防守人员留出更多精力来应对攻击队的真实攻击

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：HVV技战法 | 0Day漏洞逆向利用+线下社工防护+自动化封禁IP