在护网期间,蓝队主要就是通过安全设备看告警信息,后续进行分析研判得出结论及处置建议,在此期间要注意以下内容。
内网攻击莫忽视
内网攻击告警需格外谨慎,可能是进行内网渗透。
1.攻击IP是内网IP,攻击行为不定,主要包括:扫描探测行为、爆破行为、命令执行等漏扫行为。
2.资产属性-内网攻击IP资产属性。
3.研判告警行为是否为攻击动作,如弱口令、SQL注入漏洞可能是业务行为。
4.上级排查与客户一起进一步确认设备问题。
企图告警需排查
企图类告警需格外谨慎,可能是“已经成功”。
1.告警主要包括:后门程序、代码行为、命令执行行为。
2.资产属性+流量确认。
3.综合判断告警是否成功(成功的话就需要提供证据给规则反馈)。
4.上级排查与客户一起进一步确认设备问题。
爆破行为也要看
爆破攻击告警需格外谨慎,可能是“正在进行时”。
1.告警主要包括:客户对外端口的服务对外开放。
2.资产属性+流量确认。
3.综合判断业务是否对外开放(及时确认是否需要规避风险点)。
成功失陷追仔细
成功失陷追仔细,可能是”溯源不够细致,遗漏蛛丝马迹“。
1.告警主要包括:成功+失陷的告警。
2.资产属性+流量确认+告警确认+数据分析+兄弟产品跟进。
3.协助客户上机排查,书写防守或溯源报告。
常见溯源方式
在发现资产被攻击之后,防守方需要及时进行溯源和排查,通常情况下,溯源需要获取到目标攻击者的一部分个人信息,比如手机号,邮箱,QQ 号,微信号等,通过这些信息在互联网可以进一步追溯攻击者的更多暴露信息。方便进一步溯源,下述介绍了一些整理了一些常见的方法和工具。
1. 域名、ip 反查目标个人信息
首先通过威胁情报平台确认攻击ip是否为威胁 ip,常用的平台通常有如下
https://x.threatbook.cn/ 微步在线威胁情报社区https://ti.qianxin.com/ 奇安信威胁情报中心https://ti.360.cn/ 360威胁情报中心https://www.venuseye.com.cn/ VenusEye威胁情报中心
当发现IP的为攻击IP后,可以尝试通过此IP去溯源攻击者,具体实现过程通常会用到下述方法:
1.ip 反查域名
2.域名查 whois 注册信息
3.域名查备案信息、反查邮箱、反查注册人
4.邮箱反查下属域名
5.注册人反查下属域名
IP/域名定位常用网址
站长之家IP查询网址:https://ip.tool.chinaz.com/ipbatch
IP138查询网:https://www.ip138.com/
高精度IP定位:https://www.opengps.cn/Data/IP/LocHighAcc.aspx
IP信息查询:https://www.ipip.net/ip.html/
IP地址查询在线工具:https://tool.lu/ip/
多地Ping检测:http://ping.chinaz.com/
Whois查询:https://whois.chinaz.com/
2. 攻击者ID等方式追踪
定位到攻击者ip后,可以通过社工库、社交软件、指纹库等其它方式捕获到攻击者个人社交账号捕获到更精准的敏感信息,可以采取以下思路。
1.支付宝转账,确定目标姓氏
2.进行QQ账号、论坛、贴吧、等同名方式去搜索
3.淘宝找回密码,确定目标名字
4.企业微信手机号查公司名称
5. REG007 通过邮箱、手机号查注册应用、网站
6.度娘、谷歌、src、微博、微信、知乎、脉脉等知道的各大平台上搜索
3. 通过攻击程序分析
攻击者如果在恶意攻击过程中对目标资产上传攻击程序(如后门、恶意脚本、钓鱼程序等),我们可通过对攻击者上传的恶意程序进行分析,并通过IP定位等技术手段对攻击进行分析溯源,常用的恶意程序分析网站有:
微步在线云沙箱:https://s.threatbook.cn/
腾讯哈勃:https://habo.qq.com/
Virustotal:https://www.virustotal.com/gui/home/upload
火眼:https://fireeye.ijinshan.com
魔盾安全分析:https://www.maldun.com/analysis/
2022HW报名群 ,群满后加 feigegehacker
4. 蜜罐
简介:
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
蜜罐溯源的两种常见方式:
一种是在伪装的网站上插入特定的js文件,该js文件使用攻击者浏览器中缓存的cookies去对各大社交系统的jsonp接口获取攻击者的ID和手机号等。另一种是在伪装的网站上显示需要下载某插件,该插件一般为反制木马,控制了攻击者的主机后查询敏感文件、浏览器访问记录等个人敏感信息从而锁定攻击者。
5. 常见案例链接分享
整理了一下常见的溯源案例链接,希望能对大家起到帮助
https://www.freebuf.com/articles/web/246060.html //记一次蜜罐溯源https://www.freebuf.com/articles/web/254538.html //从溯源中学到新姿势https://www.secpulse.com/archives/141438.html //蓝队实战溯源反制手册分享https://blog.csdn.net/u014789708/article/details/104938252 //记一次溯源恶意ip僵尸网络主机的全过程https://mp.weixin.qq.com/s/xW2u4s8xCTnLCkpDoK5Yzw //记一次反制追踪溯本求源
常见反制方式
通过蜜罐反制
主要就是下述反制手段做操作
1.可克隆相关系统页面,伪装“漏洞”系统
2.互联网端投饵,一般会在Github、Gitee、Coding上投放蜜标(有可能是个单独的网站地址、也有可能是个密码本引诱中招)
3.利用JSONP、XSS、CSRF等前端类漏洞获取访问蜜标的攻击者网络身份(网络画像)
邮件钓鱼反制
安全防护基础较好的厂商,一般来说除了出动0day,物理近源渗透以外,最常见的就是邮件钓鱼了,在厂商收到邮件钓鱼的情况下,我们可以采取化被动为主动的方式,假装咬钩,实际上诱导攻击者进入蜜网。
渗透工具漏洞
可以尝试挖掘蚁剑、冰蝎、菜刀、BurpSuite、SQLmap、AWVS的0day漏洞(需要一定的技术水平),或利用历史漏洞部署相关环境进行反打
OpenVPN配置后门
OpenVPN配置文件(OVPN文件,是提供给OpenVPN客户端或服务器的配置文件)是可以修改添加命令的。
盲打攻击反制
攻击者可能通过盲打漏洞方式来获取权限,一般盲打都具备一个数据回传接口(攻击者需要接收Cookie之类的数据),接口在JavaScript代码中是可以寻找到的,我们可以利用数据回传接口做以下两件事情,并后续引导攻击者进入我们部署好的蜜罐。
1.打脏数据回传给XSS平台
2.打虚假数据回传给XSS平台
通过攻击服务器端口/web 等漏洞
攻击者可能是通过自己搭建的公网服务器进行攻击的,或者是通过此服务器与后门进行通讯。其中服务器可能运行诸多服务,且未打补丁或设置强密码,导致防守方可以进行反打。
应急响应工具箱
在hvv期间,或者是在平常工作时间段,难免会碰到一些应急场景,这里推荐GitHub上一个大佬的应急工具箱,整合了诸多的分析文章和常见工具。
地址链接:https://github.com/No-Github/1earn/blob/master/1earn/Security/BlueTeam/%E5%BA%94%E6%80%A5.md
参考链接:
https://www.freebuf.com/articles/neopoints/252229.html
https://www.freebuf.com//261597.html
2021HW之蓝队溯源手册
https://mp.weixin.qq.com/s/AsiPMJmDl6J1XPO8B0m0xg
浅谈蓝队反制手段
https://mp.weixin.qq.com/s/qjM7Fh0u0Edsz5C7L_ErGQ
天眼分析经验总结
https://www.cnblogs.com/123456ZJJ/p/13261049.html
HW工具包集合
http://www.4hou.com/web/11241.html 史上最全攻击模拟工具盘点https://github.com/infosecn1nja/Red-Teaming-Toolkit 信息收集、攻击尝试获得权限、持久性控制、权限提升、网络信息收集、横向移动、数据分析(在这个基础上再做持久化控制)、清理痕迹https://github.com/toolswatch/blackhat-arsenal-tools 黑帽大会工具集https://www.cnblogs.com/k8gege K8 哥哥工具包集合。解压密码 Kk8team,Kk8gegehttps://github.com/n00py/ReadingList/blob/master/gunsafe.txt 安全工具集https://github.com/Ridter/Pentest 安全工具集https://github.com/redcanaryco/atomic-red-team win、linux、mac 等多方面 apt 利用手段、技术与工具集https://github.com/Cooolis/Cooolis.github.io Cooolis 是一个操作系统命令技巧备忘录,https://cooolis.payloads.onlinehttps://github.com/LOLBAS-Project/LOLBAS 常见的渗透测试利用的脚本与二进制文件集合https://www.owasp.org/index.php/File:CSRFTester-1.0.zip csrf 验证工具https://github.com/ufrisk/MemProcFS 以访问文件系统的方式访问物理内存, 可读写, 有易于使用的接口. 当前支持Windowshttps://github.com/vletoux/SpoolerScanner 检测 Windows 远程打印机服务是否开启的工具https://github.com/sirpsycho/firecall 直接向 CiscoASA 防火墙发送命令, 无需登录防火墙后再做修改https://github.com/jboss-javassist/javassist 能够操作字节码框架,通过它我们能很轻易的修改class 代码文件https://github.com/ConsenSys/mythril-classic 用于以太坊智能协议的安全分析工具https://github.com/a13xp0p0v/kconfig-hardened-check 用于检查 Linux 内核配置中的安全加固选项的脚本https://github.com/lionsoul2014/ip2region ip 地址定位库,支持 python3 等多接口。类比 geoiphttps://github.com/m101/hsploit 基于 rust 的 HEVD 漏洞利用程序https://github.com/ticarpi/jwt_tool 针对 json web token 的检测https://github.com/clr2of8/DPAT 域密码配置审计https://github.com/chenjj/CORScanner 域解析漏洞,跨域扫描器https://github.com/dienuet/crossdomain 域解析漏洞,跨域扫描器https://github.com/sfan5/fi6s ipv6 端口快速扫描器https://github.com/lavalamp-/ipv666 go,ipv6 地址枚举扫描https://github.com/commixproject/commix 命令注入漏洞扫描https://github.com/Graph-X/davscan DAVScan 是一款快速轻便的 webdav 扫描仪,旨在发现 DAV 启用的 Web 服务器上的隐藏文件和文件夹https://github.com/jcesarstef/dotdotslash 目录遍历漏洞测试https://github.com/P3GLEG/WhaleTail 根据 docker 镜像生成成 dockerfilehttps://github.com/cr0hn/dockerscan docker 扫描工具https://github.com/utiso/dorkbot 通过定制化的谷歌搜索引擎进行漏洞页面搜寻及扫描https://github.com/NullArray/DorkNet 基于搜索引擎的漏洞网页搜寻https://github.com/panda-re/lava 大规模向程序中植入恶意程https://github.com/woj-ciech/Danger-zone 关联域名、IP 和电子邮件地址之间的数据并将其可视化输出https://github.com/securemode/DefenderKeys 枚举出被 Windows Defender 排除扫描的配置https://github.com/D4Vinci/PasteJacker 剪贴板劫持利用工具https://github.com/JusticeRage/freedomfighting 日志清理、文件共享、反向 shell、简单爬虫工具包https://github.com/gh0stkey/PoCBox 漏洞测试验证辅助平台,SONP 劫持、CORS、Flash 跨域资源读取、GoogleHack 语法生成、URL 测试字典生成、JavaScriptURL 跳转、302 URL 跳转https://github.com/jakubroztocil/httpie http 调试工具,类似 curl,功能更完善https://www.getpostman.com/ http 调试工具,带界面漏洞收集与 Exp、Poc 利用https://github.com/Lcys/Python_PoC python3 的 poc、exp 快速编写模板,有众多模范版本https://github.com/raminfp/linux_exploit_development linux 漏洞利用开发手册https://github.com/mudongliang/LinuxFlaw 包含 linux 下软件漏洞列表https://github.com/coffeehb/Some-PoC-oR-ExP 各种漏洞 poc、Exp 的收集或编写https://github.com/userlandkernel/plataoplomo Sem Voigtländer公开其发现的 iOS 中各种漏洞,包括(Writeup/POC/Exploit)https://github.com/coffeehb/Some-PoC-oR-ExP/blob/master/check_icmp_dos.py CVE-2018-4407,macos/ios 缓冲区溢出可导致系统崩溃https://github.com/vulnersCom/getsploit py2,仿照 searchsploit 通过各种数据库的官方接口进行 payload 的查找https://github.com/SecWiki/CMS-Hunter CMS 漏洞测试用例集合https://github.com/Mr5m1th/0day 各种开源 CMS 各种版本的漏洞以及 EXPhttps://github.com/w1109790800/penetration CMS 新老版本 exp 与系统漏洞搜集表https://github.com/blacknbunny/libSSH-Authentication-Bypass CVE-2018-10933,libssh 服务端身份验证绕过https://github.com/leapsecurity/libssh-scanner CVE-2018-10933,libssh 服务端身份验证绕过https://github.com/anbai-inc/CVE-2018-4878 Adobe FlashExploit 生成payloadhttps://github.com/RetireJS/grunt-retire 扫描 js 扩展库的常见漏洞https://github.com/coffeehb/SSTIF 服务器端模板注入漏洞的半自动化工具https://github.com/tijme/angularjs-csti-scanner 探测客户端 AngularJS 模板注入漏洞工具https://github.com/blackye/Jenkins Jenkins 漏洞探测、用户抓取爆破https://github.com/epinna/tplmap 服务器端模板注入漏洞检测与利用工具https://github.com/irsdl/IIS-ShortName-Scanner Java,IIS 短文件名暴力枚举漏洞利用工具https://github.com/lijiejie/IIS_shortname_Scanner py2,IIS 短文件名漏洞扫描https://github.com/rudSarkar/crlf-injector CRLF 注入漏洞批量扫描https://github.com/hahwul/a2sv SSL 漏洞扫描,例如心脏滴血漏洞等https://github.com/jagracey/Regex-DoS RegEx 拒绝服务扫描器https://github.com/Bo0oM/PHP_imap_open_exploit 利用 imap_open 绕过 php exec 函数禁用https://www.anquanke.com/post/id/106488 利用 mysql 服务端恶意配置读取客户端文件,(如何利用 MySQL LOCAL INFILE 读取客户端文件,Read MySQL Client'sFile,【技术分享】从 MySQL 出发的反击之路)https://www.waitalone.cn/awvs-poc.html CVE-2015-4027,AWVS10 命令执行漏洞http://an7isec.blogspot.com/2014/04/pown-noobs-acunetix-0day.html Pwn the n00bs -Acunetix 0day,awvs8命令执行漏洞https://github.com/numpy/numpy/issues/12759 科学计算框架 numpy 命令执行 RCE 漏洞https://github.com/petercunha/Jenkins-PreAuth-RCE-PoC jenkins 远程命令执行https://github.com/WyAtu/CVE-2018-20250 WinRar 执行漏洞加使用介绍
来源:https://jishuin.proginn.com/p/763bfbd4e89d
原文始发于微信公众号(安全帮Live):蓝队护网具体实施方法
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论