蓝队视角下的企业安全运营
蓝队应急响应处置案例
一、发现及研判组
【攻击成功分析及举证】
1630308078_612c86eeae5b5a42afaba.png!small?1630308079430
处置建议:排查可疑进程与TCP连接。
二、应急处置溯源组
【威胁等级】:严重
【事件链说明】:以时间点为出发点简述如下:
处理记录:
1>于2021-06-28 10:51登机排查
网络连接
2>处置过程:查看对应进程的进程号并kill进程。
溯源过程:
通过搜索指定时间内系统内被修改的文件发现exp.so文件,通过对exp.so文件进行分析认定此文件用于redis主从复制rce漏洞攻击。
全局查找被更改的文件
删除exp.so文件
发现/tmp文件夹下存在软连接,将其删除
根据检测情况可知10.10.60.58为跳板机IP。所以首先需要对10.10.60.58进行溯源追踪
溯源过程如下:
Everything全局搜索发现存在exp.so文件
经查访客桌面上存在利用程序与exp.so库文件
在访客下载文件夹中发现nmap扫描工具
nmap 扫描结果
发现存在高危端口(3389、6200-JavaRMI)
根据nmap扫描结果使用java rmi反序列化测试成功
日志记录注册恶意流量代理服务
清理服务
日志记录guest访客被打开并登陆
guest开启时间点
标记guest security ID
guest被添加至管理员组
powershell启动时间点
可疑IP(10.10.55.8)
可疑IP 10.10.66.12
services多个提权
system权限
惊讶的是服务器中仅有1个补丁
445端口开放
溯源综述:
经查10.10.59.11存在文件上传漏洞被上传webshell,继而对内网的其他机器进行攻击。通过日志文件记录10.10.59.11曾对10.10.60.58发起RDP爆破,根据日志文件判断其未爆破成功,因服务器存在大量报错日志及未打补丁,疑似通过其他操作系统命令执行漏洞(如MS17-010)对服务器发起攻击,开启guest用户并添加管理员组后,登录服务器使用nmap对10.201.0.0/16网段进行扫描,后作为跳板机通过nmap扫描结果利用端口漏洞进行攻击。
蓝队阻击红队的常用手段
蓝队是企业安全的守门员,既守护着企业安全的第一道防线,又保卫着企业安全的最后一道防线,因此,建议蓝队常态化的从攻击者实战视角去加强自身的安全防护能力,俗话说,未知攻焉知防,只有全面了解敌人的路数,熟悉对方的打法,才能从战略上碾压敌人,建立起无坚不摧的护城墙,增强企业安全韧性。
红队的打法一般为:
第一步:搜集情报,寻找突破口、建立突破据点;
第二步:横向移动打内网,尽可能多地控制服 务器或直接打击目标系统;
第三步:删日志、清工具、写后门建立持久控制权限。
蓝队应对红队的常用策略可总结为:防范被踩点 、收敛攻击面 、立体防渗透 、全方位防护核心、全方位监控
防范被踩点:首先要尽量防止本单位敏感信息泄露在公共信息平台,加强人员安全意识,不准将带有敏感信息的文件上传至公共信息平台,对文件进行分机管理,定期对信息部门重要人员进行安全意识培训,并且安全运营部门应常态化在 一些信息披露平台搜索本单位敏感词,查看是否存在 敏感文件泄露情况。
收敛攻击面:要充分了解自己暴露在互联网的系统、 端口、后台管理系统、与外单位互联的网络路径等信息。哪方面考虑不到位、哪方面往往就是被攻陷的点。互联网暴露面越多,越容易被攻击者“声东击西” ,最终导致防守者顾此失彼,眼看着被攻击却无能为力。结合多年的防守经验,可从攻击路径梳理、互联网攻击面收敛、外部接入网络梳理、隐蔽入口梳理收敛互联网暴露面。
立体防渗透:互联网端防护、访问控制措施、主机防护、集权系统、无线网络、外部接入网络
全方位防护核心:集中火力(团队、技术、资源)对核心系统进行防护。
全方位监控:全流量网络监控、主机监控(轻Agent模式)、日志监控、情报监控。
最终达到:认证机制逐步向零信任架构演进 、建立面向实战的纵深防御体系 、强化行之有效的威胁监测手段、、建立闭环的安全运营模式。参考文献
【网络安全学习攻略】
蓝队视角下的企业安全运营相关推荐
- 一语中的丨高对抗重实战攻防视角下,企业安全运营到底该怎么做?
从2016年公安部第一次举办正式的攻防演练行动已经经过了六个年头,作为国家应对网络安全问题所做的重要布局之一,攻防演练行动也在这几年的开展过程中得到了长足的发展,逐渐演变成现在的高对抗.重实战.常态化 ...
- 【学习资料】红蓝紫队视角下的实战攻防演习
欢迎关注我的微信公众号:安全攻防渗透 信息安全领域原创公号,专注信安领域人才培养和知识分享,致力于帮助叁年以下信安从业者的学习和成长. 本次给大家带来的是[红蓝紫队视角下的实战攻防演习]相关方面知识: ...
- 实战攻防之紫队视角下的实战攻防演习组织
声明 本文是学习实战攻防之紫队视角下的实战攻防演习组织. 下载地址 http://github5.com/view/55010而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们 什么 ...
- 攻防演练-紫队视角下的实战攻防演练组织
紫队视角下的实战攻防演练组织 紫队作为实战攻防演练的组织方,着眼于演练的整体局势,同时 兼顾着红蓝双方的演练成果与风险.通过制定合理的演练规则与完备 的应急预案,在确保不影响生产的前提下,利用攻防对抗 ...
- 《人力资源视角下的企业数字化转型》高峰圆桌论坛圆满闭幕
如今,数字化进程正在以惊人的速度铺设开来,新一代数字化技术正颠覆着人类的生产和生活方式,数字化转型已经成为企业的核心战略.人力资源作为企业管理的重要组成部分,也在经历着数字化带来的深刻变革. 6月8日 ...
- 数字中台视角下的企业技术平台规划与实践
数字中台是基于云原生.大数据和人工智能等新技术打造的共享服务平台,是数字新基建的新形态.数据中台包括业务中台和数据中台双中台,基于双中台的数字中台建设,对企业IT规划提出了更高的架构设计要求.技术要求 ...
- 红队视角下的防御体系突破之第二篇案例分析
文章目录 0x04 红队三十六计--经典攻击实例 一. 浑水摸鱼--社工钓鱼突破系统 二. 声东击西--混淆流量躲避侦察 三. 李代桃僵--旁路攻击搞定目标 四. 顺手牵羊--巧妙种马实施控制 五. ...
- 红队视角下的防御体系突破之第一篇介绍、阶段、方法
文章目录 0x01 什么是红队 一.红队与黑客的区别 二.红队的工作与业界熟知的渗透测试区别 三.红队的组成 0x02 红队三板斧--攻击的三个阶段 一. 第一阶段:情报收集 二. 第二阶段:建立据点 ...
- 谁是鱼谁是饵?红队视角下蜜罐识别方式汇总
引言 蜜罐技术本质上是对网络攻击方进行欺骗的一项技术,通过在服务上布置一些仿真的系统.网络服务.或是模拟一些物联网设备来诱惑攻击方对其实施攻击从而捕获攻击行为.分析攻击手段与方式.或是收集一些攻击者的 ...
最新文章
- C++为什么空格无法输出_算法竞赛C++常用技巧——输入输出优化(防止TLE)
- oracle 条件查询,比较运算符,逻辑运算符,特殊运算符,判断空值,大小写敏感,多行,多列子查询...
- CAN总线数据帧/标准帧/扩展帧/远程帧/错误帧的组成格式对比
- C# IIS ManagementException: 访问遭到拒绝
- Jquery mobile问题总汇
- 中小企业成败关键在于老板
- ORA-00923: 未找到要求的 FROM 关键字
- shell 脚本编程总结
- 6个基本screen命令
- ubuntu卸载和安装mysql
- 微型计算机电路基础第四版答案,(完整word版)微机习题答案-20210412072430.docx-原创力文档...
- Laravel文档梳理9、Blade模板
- 复合型数据结构:C数组
- 今日发现:BlueJ和MenuetOS
- matlab之创建图像轮廓图函数imcontour
- 网页制作之HTML+CSS布局
- 【awk】输出不同列、左对齐or右对齐
- “Open3d:ImportError: DLL load failed: 找不到指定的模块”解决思路和方法
- windows系统安装live-server
- 功能需要富文本编译器图片不转base64,琢磨了一下,上代码
热门文章
- 成功解决VMware虚拟机中的please remove the installation medium then press enter
- AI公开课:19.03.06何晓冬博士《自然语言与多模态交互前沿技术》课堂笔记以及个人感悟
- EL之DTRFGBT:基于三种算法(DT、RF、GBT)对泰坦尼克号乘客数据集进行二分类(是否获救)预测并对比各自性能
- Py之urllib2:Python库之urllib、urllib2、urllib3系列简介、安装、使用方法之详细攻略
- sklearn中的分类决策树
- ASP.NET Core 实现带认证功能的Web代理服务器
- 蓝桥杯-打印十字图-java
- CentOS中安装MySQL数据库
- struts解决form提交的中文参数乱码问题
- NHibernate部分错误