国外经典红蓝攻防演练方案+网络安全意识培训思路（一）

注射 1

在调查经理的系统时，服务台接到了其他西南卡车销售点的电话，报告称首席执行官发送了一封有关奖金的可疑电子邮件。一些用户报告说打开了电子邮件附件中的一个文件。

• 如果最终用户遇到网络钓鱼电子邮件，他们接受过哪些步骤培训？在这种情况下，这些步骤是否足够？
• 这些步骤是否方便用户使用？最终用户是否需要致电服务台，或者是否有其他方式报告问题？
• 这个场景现在被归类为事件或事故吗？
• 如果这是一起事故，目前其严重程度如何？
• 是否需要将此问题的详细信息通知其他方？
• 服务台是否会协同调查各种工单，还是其团队成员会分开行动？
• 目前，谁负责监督调查？
• 电子邮件能否被信息安全人员恢复和检查？谁来执行这些任务？

注射 2

信息技术部门调查了此事，发现该电子邮件已发送给西南卡车销售公司 25% 以上的员工。看来至少有来自 6 个地点的 36 名用户打开了该电子邮件，但这些员工是否打开了附件尚不清楚。

• 组织将如何调查谁打开了附件？组织是否能够快速做出这一判断？
• 该组织是否可以跨信息技术基础设施查询系统来寻找文件的证据，例如文件名或哈希值？
• 是否可以确定该文件在打开时会做什么（如果有的话）以及它包含什么内容？
• 信息技术能否从收件箱中提取电子邮件，以便其他工作人员不会打开它并可能点击或下载附件？
• 由于西南卡车销售公司的营业点遍布大片地理区域，信息技术团队是否有能力实时检查系统工件？如果有必要，信息技术团队是否可以捕获数据集（如 RAM 或日志）？
• 信息安全部门是否具备分析电子邮件和附件所需的技能？是否需要外部供应商提供分析？如果需要，聘请他们的流程是什么？

注射 3

信息安全部门对附件进行了调查。受害者打开后，系统会提示输入域用户名和密码，以访问恶意文档的敏感内容。输入凭证后，文档会打开，但看起来是空白的。信息安全部门确认，在用户输入凭证后，PowerShell 脚本会运行并将其他文件下载到系统中。

在分析过程中，信息安全团队识别了入侵指标 (IoC)，包括注册表更改、特定文件的 MD5 哈希值以及受感染系统尝试联系的 IP 地址。

• 如何解决泄露的用户凭证和受影响的系统？
• 除了 PowerShell 脚本之外，还有其他信息来源可用于确定其他用户是否受到影响？
• PowerShell 脚本是否会触发组织的安全工具的任何警报？
• 是否可以查询环境中的其余系统以确定哪些系统有恶意文件？注册表更改、MD5 哈希值和 IP 地址是否记录在任何系统或网络工件中？

注射 4

调查显示，至少有 5 个地点的 23 个系统存在恶意文件。这些系统属于一系列用户，包括财务、人力资源和管理层的员工。此外，一名例外——一位有权访问域管理员凭据的特权 IT 管理员也受到了攻击。一些用户报告称，他们在系统提示时输入了凭据，但其他用户不记得他们采取的具体操作。特权 IT 管理员认为他们输入了凭据，但不能 100% 确定。

• 该组织将如何处理点击该附件的用户的帐户？
• 是否可以确定域凭据是否已被泄露？如果是，它们是否会被公司环境之外的某人使用？
• 事件是否应上报至组织内的其他职位？此外，是否仍有合适的人员领导响应？
• 还应收集哪些证据？响应团队如何确保妥善处理？
• 由于可能存在域管理员帐户泄露问题，是否有流程可以更改整个组织内所有用户帐户密码，包括域管理员和服务帐户密码？该流程能否快速执行（几个小时内）？这会对业务运营产生影响吗？
• 上次测试或进行全局密码重置是什么时候？
• 现有的网络日志是否有记录来自系统的活动？

注射 5

技术人员已重置了整个组织的凭证。他们已重新映像了受影响的系统并正在重建它们。根据网络日志，似乎没有发生进一步的横向移动（即扩散到网络的其他部分）。

• 组织是否应考虑实施远程/VPN 访问的多因素身份验证，以降低未来遭受此类攻击的风险？对于任何管理访问又如何呢？
• 事件发生后，监控系统和环境是否再次感染的流程是什么？
• 是否有系统和网络日志可供检查内部横向移动或其他可疑凭证的异常使用情况？
• 事件发生后，应该通知谁（如果有的话）？
• 这一事件是否需要正式的教训吸取过程？

注射 1

服务台接到了更多电话，报告整个缅因制药公司都存在类似行为。几名员工报告说，他们的电脑上出现了一条消息，要求向指定的比特币钱包支付 20 比特币的赎金，以换取解密密钥和加密数据的访问权限。

• 服务台是否接受过识别潜在勒索软件事件的培训？
• 这现在是安全事件吗？它的严重程度如何？
• 此时还应该将谁拉入事件？他们将如何得到通知？
• 谁在领导应对行动？
• 是否有可能确定勒索软件的传播范围？
• 如何控制受影响的端点？是否有工具可以帮助隔离过程，还是必须手动完成？
• 隔离需要多长时间？隔离某些系统是否需要批准？如果需要，批准需要多长时间？
• 我们是否应该考虑隔离未受影响的关键系统，例如 Active Directory、备份或其他业务关键系统？（假设系统尚未受到影响。）如果是这样，那么如何隔离这些系统？
• 调查期间发现的证据将如何保存？

注射 2

用户现在报告无法访问多个 Maine Pharma 文件服务器上的文件。自首次发现此问题以来已过去了四个小时。

• 无法访问这些系统是否与勒索软件攻击有关？
• 如何检查受影响的服务器是否存在潜在的勒索软件？
• 组织如何辨别威胁行为者已获得哪些系统的访问权限？
• 事故的严重程度是否加剧？如果加剧，加剧到了什么程度？还有谁需要参与？
• 该组织能否在整个环境中领先于活动的明显蔓延？

注射 3

信息安全部门确定，对 Maine Pharma 的首次访问发生在一名财务用户点击鱼叉式网络钓鱼电子邮件中的链接时。此次攻击利用了 Microsoft Word 中一个尚未修补的漏洞，该漏洞已知正在被积极利用。微软在钓鱼电子邮件发送前三周宣布了该漏洞，自该公告发布以来，补丁已经可用。

• 补丁多久应用一次并推广到组织？
• 该组织如何监控新发布的补丁，尤其是周期外、高度关键的补丁？
• 是否有一个流程可以加快解决被积极利用的漏洞？
• 可以监控系统的补丁级别吗？是否有可能列出所有缺少相关补丁的系统的完整清单？
• 有哪些系统可以监控网络钓鱼？是否可以从邮箱中提取网络钓鱼电子邮件？

注射 4

在与 Maine Pharma 高层领导协商后，该组织决定不接受赎金，必须从可用备份中恢复数据。主要备份似乎未受到勒索软件的影响。

• 组织将如何验证备份是否可以安全使用？
• 上次测试备份恢复是什么时候？
• 在系统恢复并重新投入生产之前需要做什么？
• 如何验证系统以确保其不受任何恶意软件或漏洞的影响？
• 组织多快能将所有受影响的服务器恢复到可用状态？
• 哪些系统在恢复过程中将优先考虑？
• 恢复的数据将如何协调？

注射 1

查看 Dave's Crazy Donuts 的网络日志表明，每天下午 12:22，都会通过 SSH（TCP/22）向 IP 地址 1.2.3.4 发送不规则流量。此 IP 地址未包含在 Microsoft 的列表中，但该组织也不知道它。流量来自组织中的 46 个不同的工作站和服务器（代表八个餐厅位置以及公司总部），性质与可用威胁帖子中提到的流量相似。

• 有哪些工具可用于调查观察到的 TCP/22 网络流量的内容？
• 该公司如何确定不规则流量是源于微软报告的漏洞还是单独的问题？
• 这种行为是否被视为网络安全事件？如果是，其严重程度如何？
• 管理层或其他技术团队中是否有其他人需要被告知此问题的详细信息？
• 如何调查目标 IP 地址？源系统又如何调查？
• 收集哪些网络日志？这些日志会保留多长时间？是否有日志保留策略？
• 是否会部署任何遏制措施？用户是否通常需要使用 SSH 来访问互联网上的主机，或者是否可以禁用此服务？企业是否需要通过 SSH 访问环境内的服务器和网络设备？

注射 2

该组织在调查该事件时发现了 18 个新系统，所有系统都包含相同的 3 个可疑文件，表现出类似的行为，但指向新的 IP 地址 1.2.3.9，同样位于端口 TCP/22 上。由于之前的地址已被阻止，原始系统也已开始向这个新 IP 地址发送数据。

• 既然问题似乎正在迅速蔓延，我们可以（并且应该）采取什么行动来遏制事件？
• 如果信息技术确定特定的遏制措施是适当的，那么关闭可能影响 Dave's Crazy Donuts 餐厅运营的某些系统是否有限制？在对这些系统采取行动之前，团队是否必须经过书面批准流程？
• 事件是否应该升级，无论是内部还是外部？
• 组织中的谁可以调查可疑文件？或者，是否应该让第三方来调查这些文件？如果咨询第三方，组织是否聘请了事件响应公司或知道该联系谁？
• 组织是否可以咨询威胁情报来源以更好地了解正在使用的恶意文件或 IP 地址？
• 是否可以识别SSH连接的内容？

注射 3

CISA 和微软发布了一份关于快速传播的恶意软件 ROBber 的联合公告。根据报告，该恶意软件会在系统上植入多个文件，包括远程访问木马和击键记录器。

文件的哈希值已包含在公告中。CISA 建议各组织阻止特定网络块的流量并禁用 IIS 的内部版本（最高版本 10）。系统只有在修补后才能恢复在线状态，或者如果受到感染，则需要完成特定的补救步骤。

该恶意软件还会在临时文件夹中创建收集的击键日志文件。

• 组织如何确定公告中发布的恶意软件是否与影响其系统的恶意软件相同？
• 组织能多快确定这些 IoC 是否存在于网络上？这个过程需要多长时间？
• 鉴于这些文件是在分散于同一地理区域的八家不同餐厅发现的，该组织是否能够快速调查这些系统？
• 技术团队如何理解禁用 IIS 服务对业务的影响？团队可以采取哪些替代方案来确保运营连续性？实施这些应急措施需要多长时间？
• 法律部门已指示信息安全部门保留击键日志文件，以防敏感数据被捕获和泄露。这可能吗？如果可能，对响应工作有何影响？
• 是否有网络日志可能记录了包含按键的文件的泄露？

注射 4

快速查看公告中的 IoC 可确认 Dave's Crazy Donuts 已遭 ROBber 入侵。当前的 Web 服务器（包括主要电子商务网站）运行的是 IIS 8.5，均受到该恶意软件的影响。其他系统也已受到感染。

• 鉴于主要的电子商务网站运行着业务的许多方面，包括允许客户下订单并从当地商店提货，组织是否会暂时断开该网站与互联网的连接以控制事件？谁可以授权影响业务的行动，这种选择在技术上可行吗？
• 如果授权决策者不想影响餐厅运营，那么该如何控制这一事件？

注射 5

疫情爆发已经 24 小时了，事件似乎已经得到控制。没有发生新的感染，对击键记录器的日志文件的审查表明，它没有捕获任何业务关键或敏感信息。首席执行官要求制定让所有餐厅恢复全面运营的时间表。

• 谁能证明该事件已得到完全补救并可以开始恢复活动？
• 公司将如何开始将系统恢复到已知的良好状态？按照什么顺序，由谁来做？
• 该组织是否有其他资源（内部或外部）可以帮助恢复过程？
• 恢复各 Dave's Crazy Donuts 门店的系统实际需要多长时间？系统是否定义了恢复时间目标？

注射 1

NMBS 发布的附加信息表明，恶意版本在安全平台中创建了规则，以忽略 APT39 的工具集、启用其他潜在恶意活动并静音相关警报。在初始安装和 90 分钟的时间延迟之后，受感染的 EDR 软件立即在系统上安装 SEAWEED 后门并连接到 IP 地址 2.4.3.4，这表明 SEAWEED 已准备好接受威胁行为者的连接。

目前，Superior Automotive Parts 尚未发现其系统上存在任何恶意活动。

• 该组织如何利用来自 NMBS 的这些新信息？
• 谁来调查后门环境？回调到 2.4.3.4 怎么办？
• 网络日志的保留期限是多久？是否有明确的日志保留政策？
• 这些新信息是否会改变该组织的开展计划？
• 根据组织的事件响应计划，这是否是网络安全事件？
• 谁需要被通知？

注射 2

查看过去 30 天的网络日志显示，Superior Automotive Parts 的多个系统已连接到 IP 地址 2.4.3.4。在所有系统上安装版本 19.3（恶意版本）仅两天后，就出现了连接。此后，定期发生其他连接，最近一次是今天早上。

• 这一新发现会改变事件的严重性吗？
• 这些最新信息是否会改变场景介绍中商定的行动方针？
• 该组织将如何遏制这一事件？

注射 3

进一步检查网络日志发现，大量数据通过 FTP 从内部 IP 192.168.4.5 泄露。此次泄露发生在三天前的凌晨5:24。

• 这个系统是什么？它上面驻留着什么数据？
• 这个系统如何获取证据？
• 该组织是否有资源从系统收集完整的磁盘映像和内存转储？
• 该组织是否需要维护保管链？
• 是否有可能确定哪些数据已被泄露？
• FTP 之前是否被阻止出站？如果是，那么如何允许此流量？

注射 4

首席执行官要求“全体人员上岗”，迅速推出最新版本的 NMBS，重建系统，让组织恢复在线状态。他们要求对这项工作给出预计到达时间。总共有 43 个系统与 IP 地址 2.4.3.4 进行了通信：16 台服务器和 27 个端点。

• 重建已知受感染主机的信任的协议是什么？系统是否会被清理或从受信任的来源恢复？
• 根据情况，Superior Automotive Parts 有哪些人员可以支持修补系统、删除恶意软件和连接或重建系统？
• 该组织是否有人员全天候支持补救工作？
• Superior Automotive Parts 是否与可以紧急提供补充人员的供应商合作？
• 根据受影响系统的数量，预计恢复时间是多少？系统如何划分优先级？
• 是否应全局重置密码？这是否包括域管理员和服务帐户？
• 是否曾经发生过或测试过全局密码重置？