作者：@oldhand

诗词歌赋

  今天是HW的第三天，我们没挂，一个有若干红队攻击人员和杂牌军组成的防守团队，很多小伙伴给我抱怨晚班太辛苦，很多设备都是误报，请稍安勿躁，小心火防。

    进入我们放松环节，反正我们都是红队出身去防守系统怕什么呢。用自己的攻击方式换个角度来防守而已。思路上能对的上。具体实施上还是有很多不同，红队在于攻击，蓝队在于防守，使用的分析工具完全不一样，团队还是以大带小的策略，实现无缝的防守策略。

虞美人·春花秋月何时了

【作者】李煜【朝代】五代

春花秋月何时了？往事知多少。

小楼昨夜又东风，故国不堪回首,月明中。

雕栏玉砌应犹在，只是朱颜改。

问君能有几多愁？恰似一江春水向东流。

问题区 ＆ Todolist

• 🔲1：组织不清晰

• 🔲2：每人不知道自己干啥事

• 🔲3：对设备使用功能不知道

• 🔲4：派驻的人员能力很差，基本上都是初学者

• 🔲5：没有做预演习，也没有做过渗透

• 🔲6：自身资产未整理清晰过

• 🔲7：对钓鱼攻击类型和危害都不懂

一、红队武器库更新

（1）.冰蝎webshell

1.冰蝎毒介绍

  传统webshell管理工具“菜刀”的攻击流量特征明显，容易被检测设备拦截，攻击方迫切需求具有加密通信功能的webshell。由于流量加密，传统的WAF、IDS设备难以检测。因此，一款动态二进制加密网站管理客户端“冰蝎”应运而生，这给安全设备造成很大困扰。

  2020年7月份的HW行动，rebeyond团队突然发布冰蝎3.0版本，并持续更新Beta版本，使诸多检查策略或相应的安全检查设备猝不及防。大多数安全设备原有对冰蝎1.0或2.0的安全策略的强特征识别失效。

2.冰蝎毒webshell 利用

  主要功能方面包括虚拟终端、socks代理、文件管理、反弹shell、内网穿透、数据库管理等等，功能全面，可用性高。

一如既往，webshell的利用基于webshell服务端程序被上传到指定服务器，通过webshell客户端进行连接后，即可对指定服务器进行进一步的控制。俗称“挂马”。冰蝎3.0也不例外。冰蝎3.0不同版本利用的基础为服务器程序上传并可运行，webshell客户端与服务器成功通信。

3.冰蝎3.0beta7 更新

https://github.com/rebeyond/Behinder/releases/

Behinder_v3.0 Beta 7  下载访问以下link：

https://github.com/rebeyond/Behinder/releases/download/Behinder_v3.0_Beta_7/Behinder_v3.0_Beta_7.zip

rebeyond released this 2 days ago

###2021.4.8 v3.0 Beta 7 更新日志

修复：

1.数据库查询内容显示不正常；

2.关闭主界面后，虚拟终端后台线程继续请求；

3.某些场景下中文路径显示乱码；

4.优麒麟系统无法弹出窗口；

5.备忘录不能自动保存；

6.某些场景下提示数据库被锁定；

7.目标https证书过期连接问题；

8.Jar包体积缩小，Jar包执行不再区分操作系统平台，提供跨平台版本；

9.去除了一些特征；

10.其他一些问题；

新增：

1.反弹shell中增加CobaltStrike一键上线；

2.新增Java内存马注入功能，支持多种Web容器，包括但不限于Tomact、jboss、weblogic；

3.新增反向DMZ功能，可以将VPS或本地局域网监听端口映射进目标内网，在目标内网不出网的情况下，实现目标内网反向木马回连；

4.反弹Shell支持一键穿透，在目标内网不能出网的情况下，可以实现将meterpreter、shell、CobaltStrike直接上线至本地、本地局域网主机、远程VPS。msfconsole、CobaltStrike Server不再需要部署在公网；

5.新增Shell关键字搜索功能；

6.新增shell批量存活检测功能；

7.新增Shell多选删除；

8.新增老版本数据库Shell批量导入；

9.新增文件时间戳修改功能；

10.文件管理UI细节优化；

11.增加基于端口映射的的Socks代理；内网直接将Socks代理服务开到远程VPS；

12.命令行优化，支持命令历史记录；

补充：beta7版本客户端不再内置JavaFX库，请使用Java8运行；Java 11及以后的版本，需要下载JavaFX库；

4.冰蝎3.0beta7 截图

启动

运行：

（2）.cobaltstrike4.3

大名鼎鼎的CS就是MSF的分支，只不过界面化，红队比较喜欢用他，入门比较低。个人认为还是使用MSF比较爽，可能本人喜欢习惯使用kali和ubuntu这样系统办公，输入命令成了习惯，不管怎样，红队不被发现这才是终极目标。

二、蓝队防守

1. 实战阶段防守战法

      防守方法，如果说现在最好的办法那就是封堵方法，封IP。每个头部厂商有自己的办法，当然，WIS-hunter团队提供，防守战法有3个方面：日志，网络流量，内网访问关系检测。

 日志设备监测：日志检测可以 监控监测各设备的登录日志，重点关注管理员权限账号的登录和使用情况。通过分析登录日志发现如密码暴力破解和非法用户登录行为。这些是重点中重点。

建议产品使用比较靠谱日志审计产品，开源用ELK也可以，重点是把日志收集过来，统一管控分析。

网络流量监测：通过日志异常请求，抓取网络的网络包回溯，前提在黄金5分钟搞定。可以离线下载分析cap包。使用wireshark即可。建议产品使用比较靠谱的一系列产品，比如流量回溯系统NFT， 威胁感知系统TAR，WAF。

内网访问关系监测：重点关注内网扫描探测，异常网络连接，非法外联等事件。如果是已经突破边界，进入内网扫描，或者非法连接，这个事情可以进一步证实前面判断。通过前2步的做法确认结果。

建议产品使用比较靠谱的产品，比如流量访问关系系统 FE

2.封禁ip

事件1：

xxx域网检测到9.72.34.99有被成功攻击行为，请相关单位关注

其他省信息，请大家注意防范，提高警惕：

CS server IP：

159.75.111.152
157.119.95.52
47.100.139.53
47.118.34.205
39.106.204.11
82.156.102.252
103.66.57.92
103.147.12.11
168.206.191.199
121.36.209.113
180.215.195.245
199.19.224.92
5.8.18.112
168.206.184.195
168.206.191.200
8.136.119.24
121.41.203.12
204.44.76.161
81.70.28.20
154.92.16.126
155.94.133.15
120.77.61.136

新增一批可疑红队IP

125.106.184.40,
59.33.68.151，
218.76.254.23，
47.114.114.117，
47.111.176.86，
8.140.157.232,
8.133.231.34，
116.85.44.231，
59.173.13.219、
45.155.205.211、
123.246.129.50、
45.155.205.151、
45.146.165.165、
45.148.10.45
139.214.87.183,
51.210.166.116,
167.71.175.162,
139.155.230.32,
47.98.187.238,
42.193.37.228,
123.56.72.196,
14.116.218.7,
121.5.39.223,
37.49.225.166

处置建议：封禁&溯源

事件2 社工类：

我辖区xxx银行上报，今天4月10日12:41分，xxx银行xxx分行收到号码18285064335的电话，本地口音，说是移动公司要来机房巡检，线路编号和对应的移动客户经理名字说不清楚，疑似hvv行动社工攻击试探，被xxx银行xxx分行人员婉拒。特报告。

以上是银行客户提供的HVV情报

事件3 ：

亿邮电子邮件系统远程命令执行

POC  见下图：

2.冰蝎毒的防御

   关于冰蝎的防御，目前没有人给出比较全方案和最佳实践，虽然很多公众号给出了，可以检测。但是从攻防角度看，为什么冰蝎在在HW阶段更新呢，就是为了打时间差。让红队伙伴掌握战术的主动权。李云龙说了，只有手里的家伙硬了，才有能力和小日本正面拼刺刀，就是这个道理。

   对于我们蓝队伙伴怎么办呢？防御建议如下：

(1) 重点防御文件上传、文件写入漏洞

(2) 对冰蝎V3.0的内置所有类型Webshell的流量侧进行分析，针对性检测各个类型webshell

(3) 开启异常流量监控，检测反弹Shell、命令执行等高危行为

(4) 做好安全基线的检查，及时修正安全基线，对可疑文件的可疑行为做好记录预警，方便审计

(5) 重点利用手里的流量回溯系统 NFT 和 威胁防御系统 TAR，WAF，日志审计。

检测主机检测使用河马查杀支持对冰蝎V3.0 Beta 7检测，无需更新！他们公众号贴出来。

day3 感想

    整个HW周期里面，很多自媒体除了发了一些红队ip情报和漏洞情报以外，我感觉很多人都是水文，浪费读者时间。

    比如韩毅事件，第一天就火了，可能全网最火的蓝队队员。我们这些真正踏实做技术的人，也就踏踏实实做我们守夜人。其他类似于这样的图片，我吃吃瓜就行了。

   从第三天开始，攻击次数明显增多，就是因为红队在边界突破和钓鱼攻击有一定效果。

三、公众号

oldhand

团队成立于2016年，我们的目标是，让您的数字系统更加安全，更加稳定；诚信真心为您服务，成就你我！

团队理念：

【理念】

• 1、社会价值
  深深嵌入社会价值的生物链中，成为社会价值链中“不可缺少”的一环，实现企业自身社会价值的最大化！
  

• 2、向死而生
  企业自成立伊始起，败是天经地义的宿命，所以，每一分钟我们都需要如履薄冰、 求最好！
  

【文化】

• 1.明白人：知其然，知其所以然！不要迷惑于表象而要洞察 事务的本质，要有文盲学习知识的心态，有时我们的学历，是我们学习过程中 最大的障碍。
  2.出品人：本人出品，必属上品！有自我荣誉意识、追求卓越意 识。乔布斯：人这辈子没法做太多事情，所以每一件都要做到精彩绝伦。
  

本文始发于微信公众号（oldhand）：Day3 HW 蓝队防守笔记 冰蝎毒更新