p82 红蓝对抗-蓝队atckDs蜜罐威胁情报
数据来源
必备知识点:
在每年的安全活动中,红蓝队的职责,其中大部分强调学习红队技术,那么蓝队技术又有哪些呢?简要来说蓝队就是防守,涉及到应急、溯源、反制、情报等综合性认知和操作能力知识点。掌握红队攻击技术的前提下,蓝队技术能提升一个档次哦。
本课知识点:
- 认识ATT&CK框架技术
- 认识对抗的蜜罐技术的本质
- 掌握WAF安全产品部署及应用
- 掌握IDS在对抗中的部署使用
- 掌握威胁情报平台对应报告分析
- 作为一名干饭人要掌握的报告书写专业性
演示案例
案例1:专业用语-ATT&CK技术简要介绍-报告书写
原版:https://attack.mitre.org/matrices/enterprise
国内有ATT&CT翻译参考手册,可以下载参考学习。
github地址:https://github.com/Dm2333/ATTCK-PenTester-Book
案例2:掌握了解-安全攻防蜜罐技术的利用-配合威胁
反制溯源_欺骗防御_主动防御-HFish免费蜜罐平台
GitHub - hacklcx/HFish: 安全、可靠、简单、免费的企业级蜜罐
Hfish部署配合在线威胁平台实现自动分析,记录攻击者攻击手法及攻击过程,攻击IP等信息可作为黑名单。
我这里是在github上下载安装,会有详细的安装步骤
最主要的作用就是获取攻击者IP然后加入黑名单
案例3:攻击拦截-WAF安全产品部署及反制-多种中间件
一般的waf如安全狗,D盾之类的,支持的中间件比较少,推荐使用Openrasp。
目前,OpenRASP 支持 Java 和 PHP 两种语言,开发的网站,支持多种中间件
简介 - OpenRASP 官方文档 - 开源自适应安全产品
部署教程:OpenRASP安装使用教程
案例4:追踪反制-HIDS入侵检测系统部署测试-爆破|提权|规则
NIDS&HIDS
- NIDS:网络入侵检测系统
- HIDS:主机入侵检测系统
这里介绍两款HIDS:yulong-hids(国产)、wazuh(国外,推荐)
yulong-hids:优点:中文规则说明
https://github.com/ysrc/yulong-hids
wazuh:ELK日志,攻击行为分析等-爆破|提权
实现入侵行为分析,日志实时监控,规则触发拦截等功能:https://documentation.wazuh.com/4.0/index.html
安装wazuh服务端
这里建议使用虚拟机安装,直接下载wazuh的虚拟机打开即可,不建议手动安装太麻烦
百度网盘下载(自带提取码打开即可):百度网盘
访问 Wazuh 仪表板
启动 VM 后不久,可以使用以下凭据从 Web 界面访问 Wazuh 仪表板:
URL: https://<wazuh_server_ip> (就是虚拟机ip) user: admin password: admin
你会发现报错了,打不开
发现一些必要的进程没有启动(这里建议使用xshell连接虚拟机执行命令)
systemctl enable elasticsearch
systemctl start elasticsearch
systemctl start kibana安装代理的客户端与使用
1)部署代理,就是要监听的目标
我这里代理kali为例(注意:这一步不要翻译网页不然容易报错)
在要代理的主机下载一些必要的东西(这一步是要从国外下载会有点慢,要耐心等待)
这里需要注意的是kaili默认是安装了curl模块,其他系统需要手动安装 curl模块才能下载客户端:
sudo apt install curl
启动代理
最后回到首页就能看到代理信息了
2)查看代理机的加强防御建议(会扫描出目标主机的薄弱点/易被攻击的点)
3)查看技术框架的编号(对写渗透测试报告有用,写上技术对应的编号能体现我们的专业性)
4)查看攻击
我这里使用超级弱命令检查工具进行攻击
首先先打开监听页面
5)查看代理机的相关日志
案例5:应急溯源-威胁情报平台对于溯源分析意义-CS后门溯源
威胁情报一直是安全行业热议的话题,实际上在国内的发展还比较初级。威胁情报具有优秀的预警能力、快速响应能力,并且能改善管理层之间的沟通、加强策略规划和投资。但是大部分企业机构并不具备充分利用威胁情报的能力:
1.数据量太大且过于复杂。
2.拥有相关知识的人才匮乏。
日常应用:在安全事件、应急响应中,获取威胁情报,作为重要证据,辅助事件处置
高级应用:集成到企业安全管理平台提高监控预警响应能力、结合威胁数据和其他解决方案实现数据安全、优秀的数据展示功能
参考:https://blog.csdn.net/qq_29277155/article/details/79830927
利用cobaltstrikecobaltstrike生成的后门文件进行平台分析展示
利用威胁情报平台实现对未知文件及未知URL等信息进行分析朔源
实现步骤
1)首先使用cs生成一个后门文件(如果没有安装cs或不知如何使用的可先看这篇:cs安装与使用)
2)分析后门文件
https://s.threatbook.com/report/file/13597760b8f38ab16320b7a363c4d2274b65f839ee4a723b009915358b490d21
涉及资源:
如果要写报告可以参考这个平台上的资源:信息安全知识库 vipread.com
https://blog.csdn.net/qq_29277155/article/details/79830927
p82 红蓝对抗-蓝队atckDs蜜罐威胁情报相关推荐
- 红蓝对抗——蓝队手册
0x01 前言 红蓝对抗的思想最早可追溯到我国现存最早的一部兵书<孙子兵法>,在孙子·谋攻篇有这么一句话:"知彼知己,百战不殆:",意为如果对敌我双方的情况都能了解透彻 ...
- 红蓝对抗-蓝队知识点汇总
1.应急响应基本思路流程 收集信息:收集客户信息和中毒主机信息,包括样本 判断类型:判断是否是安全事件,何种安全事件,勒索.挖矿.断网.DoS 等等 抑制范围:隔离使受害⾯不继续扩⼤ 深入分析:日志分 ...
- 红蓝对抗-HW红蓝队基本知识
第一章 什么是蓝队 蓝队,一般是指网络实战攻防演习中的攻击一方. 蓝队一般会采用针对目标单位的从业人员,以及目标系统所在网络内的软件.硬件设备同时执行多角度.全方位.对抗性的混合式模拟攻击手段:通过技 ...
- 红蓝对抗-红队渗透下的入口权限快速获取
红队渗透下的入口权限快速获取 文章目录 红队渗透下的入口权限快速获取 前言 红队攻击流程概述 获取入口权限 利用常见组件的漏洞 高危漏洞的检测与攻击 POC的集成与自动化验证 POC bomber 前 ...
- 红蓝对抗系列之浅谈蓝队反制红队的手法一二
红蓝对抗系列之浅谈蓝队反制红队的手法一二 取证反查 针对ip 溯源一二 一般来说,红队大部分都是使用代理节点进行测试,假如我们捕获或者从样本里面分析拿到了真实ip ,那么以下操作场景就有用了,或者使用 ...
- 红蓝对抗之蓝队防守:ATTCK框架的应用
企业大规模数字化转型的浪潮下,各类网络入侵事件频发.APT和黑客团伙活动猖獗,合规性驱动的传统安全防护建设已无法满足需求.近年来随着各级红蓝对抗行动的开展,企业安全建设正逐步向实战化转型,而MITRE ...
- 红蓝对抗-红队打点的那些事
红蓝对抗-红队打点的那些事 攻防演练中作为攻击方,效率很重要,例如2019 BCS红队行动议题: RedTeam-BCS 半自动化的资产收集 域名/IP/需要交互的系统 当拿到目标的时候,首先需要利用 ...
- 红蓝对抗-2022年蓝队初级护网测试总结
2022年蓝队初级护网测试总结 文章目录 2022年蓝队初级护网测试总结 一. 设备误报如何处理? 二. 如何区分扫描流量和手工流量? 三. 网站被上传webshell如何处理? 四. 给你一个比较大 ...
- 总结--红蓝对抗中的蓝队。
CTF 什么是蓝队: 蓝队,就是防守的一方 工作: 前期:安全检查.整改与加固: 演习期间:行网络安全监测.预警.分析.验证.处置: 后期:总结问题并优化. 防守的三个阶段: 备战: 实战: 整顿. ...
最新文章
- 学长告诉你 java注解——深入浅出
- SAP BUSINESS ONE的优势
- 微软随.NET 4.5发布新REST API框架
- webhooks php,GitHub和WebHooks自动部署PHP项目
- JS 创建对象方法
- Angr安装与使用之使用篇(七)
- C语言练习——打印九九乘法表
- mysql的sql语句where,SQL之WHERE语句
- 信息论与编码曹雪虹第三版学习第二章总结
- 恒流LED升压驱动芯片2.5V~24V输入【待机功耗低 电流精度高3%】惠海半导体H6911方案分析
- C语言-编写函数isprime(int a),用来判断自变量a是否为素数。若是素数,函数返回整数1,否则返回0。
- (13.1.3.9)PMBOK之三:十大知识领域之采购管理
- 最大团问题【回溯法】
- 携程的旅游知识图谱构建和应用
- html图像缩小失真,图像放大和缩小不失真的方法!
- flyway的快速入门教程
- 高效c语言拧魔方算法,3阶魔方阵的算法
- Jquery 广告图片轮播切换
- 多项式辗转相除法求最大公约数_辗转相除法求最大公约数
- 知道创宇研发技能表v3.1