藍隊應急響應處置案例

一、發現及研判組

【攻擊成功分析及舉證】

1630308078_612c86eeae5b5a42afaba.png!small?1630308079430

處置建議：排查可疑進程與TCP連接。

二、應急處置溯源組

【威脅等級】：嚴重

【事件鏈說明】：以時間點為出發點簡述如下：

處理記錄：

1>于2021-06-28 10:51登機排查

網絡連接

2>處置過程：查看對應進程的進程號并kill進程。

溯源過程：

通過搜索指定時間內系統內被修改的文件發現exp.so文件，通過對exp.so文件進行分析認定此文件用于redis主從復制rce漏洞攻擊。

全局查找被更改的文件

刪除exp.so文件

發現/tmp文件夾下存在軟連接，將其刪除

根據檢測情況可知10.10.60.58為跳板機IP。所以首先需要對10.10.60.58進行溯源追蹤

溯源過程如下：

Everything全局搜索發現存在exp.so文件

經查訪客桌面上存在利用程序與exp.so庫文件

在訪客下載文件夾中發現nmap掃描工具

nmap 掃描結果

發現存在高危端口（3389、6200-JavaRMI）

根據nmap掃描結果使用java rmi反序列化測試成功

日志記錄注冊惡意流量代理服務

清理服務

日志記錄guest訪客被打開并登陸

guest開啟時間點

標記guest security ID

guest被添加至管理員組

powershell啟動時間點

可疑IP（10.10.55.8）

可疑IP 10.10.66.12

services多個提權

system權限

驚訝的是服務器中僅有1個補丁

445端口開放

溯源綜述：

經查10.10.59.11存在文件上傳漏洞被上傳webshell，繼而對內網的其他機器進行攻擊。通過日志文件記錄10.10.59.11曾對10.10.60.58發起RDP爆破，根據日志文件判斷其未爆破成功，因服務器存在大量報錯日志及未打補丁，疑似通過其他操作系統命令執行漏洞(如MS17-010)對服務器發起攻擊，開啟guest用戶并添加管理員組后，登錄服務器使用nmap對10.201.0.0/16網段進行掃描，后作為跳板機通過nmap掃描結果利用端口漏洞進行攻擊。

藍隊阻擊紅隊的常用手段

藍隊是企業安全的守門員，既守護著企業安全的第一道防線，又保衛著企業安全的最后一道防線，因此，建議藍隊常態化的從攻擊者實戰視角去加強自身的安全防護能力，俗話說，未知攻焉知防，只有全面了解敵人的路數，熟悉對方的打法，才能從戰略上碾壓敵人，建立起無堅不摧的護城墻，增強企業安全韌性。

紅隊的打法一般為：

第一步：搜集情報，尋找突破口、建立突破據點；

第二步：橫向移動打內網，盡可能多地控制服 務器或直接打擊目標系統；

第三步：刪日志、清工具、寫后門建立持久控制權限。

藍隊應對紅隊的常用策略可總結為：防范被踩點 、收斂攻擊面 、立體防滲透 、全方位防護核心、全方位監控

防范被踩點：首先要盡量防止本單位敏感信息泄露在公共信息平臺，加強人員安全意識，不準將帶有敏感信息的文件上傳至公共信息平臺，對文件進行分機管理，定期對信息部門重要人員進行安全意識培訓，并且安全運營部門應常態化在 一些信息披露平臺搜索本單位敏感詞，查看是否存在 敏感文件泄露情況。

收斂攻擊面：要充分了解自己暴露在互聯網的系統、 端口、后臺管理系統、與外單位互聯的網絡路徑等信息。哪方面考慮不到位、哪方面往往就是被攻陷的點。互聯網暴露面越多，越容易被攻擊者“聲東擊西” ，最終導致防守者顧此失彼，眼看著被攻擊卻無能為力。結合多年的防守經驗，可從攻擊路徑梳理、互聯網攻擊面收斂、外部接入網絡梳理、隱蔽入口梳理收斂互聯網暴露面。

立體防滲透：互聯網端防護、訪問控制措施、主機防護、集權系統、無線網絡、外部接入網絡

全方位防護核心：集中火力（團隊、技術、資源）對核心系統進行防護。

全方位監控：全流量網絡監控、主機監控（輕Agent模式）、日志監控、情報監控。

最終達到：認證機制逐步向零信任架構演進 、建立面向實戰的縱深防御體系 、強化行之有效的威脅監測手段、、建立閉環的安全運營模式。參考文獻

【網絡安全學習攻略】

總結

以上是生活随笔為你收集整理的蓝队视角下的企业安全运营的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。