Red-blue-confrontation

从攻防的核心理念出发，阐述了如何构建一个适应性强、与时共进的安全设计方案，并且如何建立一个全面的安全体系，包括资产收集、威胁分析、风险评估和信任边界的确立。 文章详细描述了网络战的军事化思维，对合格攻击队伍（红队）和防御队伍（蓝队）的特质进行了比较，强调了在攻防对抗中成本和信任行为的重要性。介绍了零信任模型、最小化和微分割、持续监控验证

红蓝对抗

攻防的核心在于 因地制宜 因势利导 兵无常形 水无常势 能因敌变化而取胜者，谓之神

怎么构建一个合适的安全设计方案，与产品共存，相互兼容，与时共进

怎么建立一个安全体系 全面进行资产收集，多维度的进行威胁思考，通过概率进行风险分析找出皇冠钻石 安全本质是对抗 对抗本质是成本

安全的本质是信任行为问题，什么是信任行为问题，一个流量，业务流量是可信任的，包含攻击特征的时候是可信任的，一个内网用户发正常邮件是可信任的，发恶意邮件是不信任的，怎么在可信任与不可信任中，确立信任边界 是解决安全问题的核心

网络战也是战争的一种，通过军事化的思维去理解攻防，什么样是一个合格的部队，孙子 兵争里面曾言 其疾如风，其徐如林，不动如山，侵略入火，难知如阴，动如震雷，同理化攻击队思维，怎么样的红队是合格的，行动敏健 分工明确 团队合作，攻击时候如火雷霆一样 多范围定点深穿透力打击，隐蔽的时候如阴云密布不见日月星辰的天气，那什么样是一个合格的防守队，任由侵略入火而不动如山 抓住关键流量 以静制动 主动防御

去理解事物的本质

零信任 最小化 分割（信任域和信任边界） 持续监控验证 数据加密 基于身份规划策略 MFA多因素认证 行为分析 会话控制 CTI 定期审查 确保没有未授权权限赋予和异常行为

兴起原因：

1.政策驱动 :大国对峙 网络战先行

2.安全威胁驱动

​ 1.关键基础设施 通信 医疗 交通 能源 金融 ：可影响面大

​ 2.工业互联网漏洞加剧 web>操作系统>移动互联网>网络设备>通信>工控>物联网>数据库（web攻击面最多，上手快 易学习，研究web的人数更多，两极分化，极低的门槛会加剧web方向的饱和，进一步产生内卷，反而熟悉二进制的人寥寥无几,暴露安全行业稀缺人才少）

攻方进化：互联网侧——系统漏洞和软件安全 ---设备侧 供应链 ---物理渗透 近源攻击 社工 钓鱼

随着蓝队能力的提升 攻击方的目标由传统外内网 转变为全方向 云物钓社发展

防御进化：从被动防御走向主动防御，预先威胁建模 沙盘演练 打造纵深联动防御体系

攻防对抗是一场不断进化的猫鼠游戏，是一场智商与智商的攻防较量

攻防演练的三个阶段

体力战---心理战---火力战 核心 没有绝对安全的系统，永远别相信用户的输入

**蓝队如何建立合理的安全防御体系将红队攻击全部拦截下来 严防死守 **

红队如何全面分析攻击面找出体系的脆弱点绕过端侧 流量的监控 一击致命

体力战（外网攻击 扫描 工具测试 手工测试）：

1. 边界防御：部署防火墙、入侵防御系统（IDS）和入侵防御系统（IPS）来监控和过滤进出网络的流量
2. 网络隔离：使用DMZ（非军事区）隔离公共服务，确保关键资产不在直接对外的网络中
3. 定期扫描：使用漏洞扫描工具定期检测系统和应用程序的安全漏洞
4. 安全配置：确保所有系统和设备都按照安全最佳实践进行配置，关闭不必要的服务和端口

心理战（内网攻击 钓鱼 端侧防护 操作系统漏洞）：

1. 员工培训：定期对员工进行安全意识培训，包括钓鱼攻击的识别和应对
2. 多因素认证：在关键系统上实施多因素认证，增加攻击者获取访问权限的难度
3. 主机防护：部署端点保护软件，如EDR，以及操作系统和应用程序的最新安全补丁
4. 权限最小化：实施最小权限原则，确保用户和程序只有完成工作所必需的最低权限

死拼战（持久性攻击 1＋1>2）：

1. 数据保护：实施数据加密和备份策略，确保敏感数据的安全和可恢复性
2. 日志监控：收集和分析安全日志，以便及时发现异常行为和潜在的安全事件
3. 安全事件响应：建立一个安全事件响应计划，确保在发生安全事件时能够迅速有效地应对
4. 供应链安全：对供应链进行安全评估，确保第三方服务和产品不会成为攻击的途径

红蓝攻防配置

红队

三五人一组 一人指挥 两人辅助 协同合作 综合对抗

红队技能栈：外内网渗透 云上渗透 APP渗透 漏洞挖掘 代码审计 免杀绕过 社工钓鱼 无线渗透 武器构造 安全架构分析 自动化POC编写 威胁情报收集能力

目标 建立据点 横向 靶标 集权（云管理平台 核心网络设备 堡垒机 SOC vpn） 服务器 核心业务（域控 OA 邮件 网管） 建立后门 无感攻击

蓝队

蓝队 运维 厂商 运营团队 和目标单位 目标 靶标 核心业务系统数据 设备 相关的上下级单位不被日

手法 进行资产规划安全运营 通过威胁情报狩猎，沙盘演练减少攻击面 打造纵深防御体系 7×24小时应急响应

产品 全流量威胁检测产品 如 主机威胁检测 蜜罐 威胁情报库 EDR waf 钓鱼 供应链

EDR和siem可以进行组建SOC EDR负责端点 快速响应， siem负责流量侧和应用层 实时监控和高级分析，

IDS与IPS更加关注互联网侧 而EDR与siem组建成SOC注重内网攻击 更关注内网环境，NAC则关注联网设备，堡垒机（内部网络边缘）则关注设备用户

影响双方的因素 知识宽度与广度 情报 工具 思维创新

知攻擅防 遇强则强

红蓝威胁建模

红队攻击 核心:无感攻击

流程 信息收集 外网打点/边界绕过 建立据点 跳板 内网信息搜集 横向 维权与控制 提权 继续横向 内网穿透 继续横向直到 拿下核心资产后建立后门 清理痕迹

红队攻击流程
│
├── 1. 信息收集
│   ├── 1.1 公开信息搜集（社交媒体、公司网站等）
│   ├── 1.2 网络扫描（Nmap、Shodan等）
│   └── 1.3 漏洞研究与情报收集
│
├── 2. 外网打点/边界绕过
│   ├── 2.1 识别脆弱点（开放端口、服务漏洞等）
│   ├── 2.2 利用已知漏洞或社会工程学
│   └── 2.3 绕过安全边界（防火墙、IPS等）
│
├── 3. 建立据点
│   ├── 3.1 获取初始访问权限
│   ├── 3.2 确保据点稳定性
│   └── 3.3 配置数据传输与通信加密
│
├── 4. 跳板
│   ├── 4.1 利用现有网络资源
│   ├── 4.2 扩展攻击范围
│   └── 4.3 隐藏真实攻击源
│
├── 5. 内网信息搜集
│   ├── 5.1 收集内网架构信息
│   ├── 5.2 识别关键资产和服务
│   └── 5.3 搜集用户凭证和访问权限信息
│
├── 6. 横向移动
│   ├── 6.1 利用弱口令和凭证重用
│   ├── 6.2 执行Pass-the-Hash或Pass-the-Ticket攻击
│   └── 6.3 利用系统间的信任关系
│
├── 7. 提权
│   ├── 7.1 本地提权（exploiting system vulnerabilities）
│   ├── 7.2 域提权（compromising domain controllers）
│   └── 7.3 权限维持（creating backdoors）
│
├── 8. 继续横向移动
│   ├── 8.1 攻陷关键业务系统
│   ├── 8.2 控制关键数据存储
│   └── 8.3 寻找更多攻击路径
│
├── 9. 内网穿透
│   ├── 9.1 突破网络隔离和分段
│   ├── 9.2 攻击核心网络资产
│   └── 9.3 获取敏感数据
│
├── 10. 权限和维持 植入后门
│   ├── 10.1 植入持久化机制
│   ├── 10.2 配置远程访问点
│   └── 10.3 确保后门隐蔽性
│
└── 11. 清理痕迹
    ├── 11.1 删除日志文件
    ├── 11.2 恢复系统默认设置
    └── 11.3 清除临时文件和网络缓存

攻击方阻力

红队 互联网侧首先需要面对 防火墙 IPS 过了是蜜罐 然后需要面对 IDS 网关 绕过了他们后 需要面对堡垒机 NAC 进入内网需要面对edr和sime 上网行为管理， 主要对抗为 流量对抗 端侧对抗 漏洞对抗

1. 防火墙：
   • 挑战：防火墙通过预定义的规则集来允许或阻止网络流量，是网络安全的第一道防线
   • 对抗：红队可能尝试绕过防火墙规则，例如通过使用非标准端口、加密流量或利用防火墙配置错误
2. IPS (入侵防御系统)：
   • 挑战：IPS能够实时监控网络流量，检测并阻止恶意行为和攻击
   • 对抗：红队可能使用复杂的攻击向量或零日漏洞来规避IPS的检测
3. 蜜罐：
   • 挑战：蜜罐是一种诱骗技术，用来吸引并监控攻击者的行为
   • 对抗：红队需要识别并避免蜜罐，以免被监控和捕获
4. IDS (入侵检测系统)：
   • 挑战：IDS通过分析网络和系统日志来检测潜在的安全威胁
   • 对抗：红队可能会尝试掩盖攻击痕迹，例如通过清除日志或使用低交互性攻击来避免被检测
5. 网关：
   • 挑战：网关设备如邮件网关、Web应用防火墙等，用于过滤特定类型的流量和攻击
   • 对抗：红队可能会尝试绕过网关的过滤机制，例如通过精心构造的请求或利用网关的弱点
6. 堡垒机/NAC/ (网络访问控制)：
   • 挑战：堡垒机用于监控和控制对关键系统的访问，而NAC可以限制未经授权的设备接入网络
   • 对抗：红队可能尝试获取合法凭证或绕过身份验证机制
7. EDR (端点检测与响应)：
   • 挑战：EDR在端点设备上监控和分析行为，以检测和响应恶意活动
   • 对抗：红队可能使用无文件攻击、内存攻击或进程注入等技术来规避EDR的检测
8. SIEM (安全信息和事件管理)：
   • 挑战：SIEM系统收集和分析来自网络中多个源的安全数据，以识别安全威胁和异常行为
   • 对抗：红队可能会尝试分散攻击、混淆攻击模式或利用SIEM的盲点
9. 上网行为管理：
   • 挑战：上网行为管理系统监控和控制用户的上网活动，防止数据泄露和不当使用
   • 对抗：红队可能尝试使用代理、VPN或其他匿名工具来绕过监控

外网打点脆弱点

1.VPN 2.web app 3.钓鱼 水坑 （外部 web 中间件 邮件 边界设备 外部OA 微信公众号 云平台 app）

• sql注入漏洞涉及业务 用户官网 web办公平台 网络应用 Apache Sky Walking （GraphQL接口请求伪造）与 Django Cms 函数过滤不足导致未授权注入

• XSS DedeCMS 对GetKeywordList函数不全导致 RCE 与 apachetomcat跨站脚本漏洞 JSP文件对用户转义处理不完全 可进行；字符攻击用户浏览器会话

• 文件上传或文件下载 涉及业务 后台编辑器 网站业务 OA办公系统

• 命令执行 （系统命令与代码） 涉及业务 web容器 框架软件 组件 OA GItlab vCenter Server插件远程代码 微软RDP cve 2019 0708

• 未授权绕过 apache shiro cve-2020-11989 与 MongoDB Server （cnvd 2020 35382） 没有正确序列化 绕过白名单

• 提权 weblogic 漏洞 log4g2 fastjson Struts2

内网渗透流程

维权—信息搜集—内网穿透/横向—提权—横向—内网穿透—维权植入后门—清理痕迹 核心信息收集

内网不一定有域 可能只有若干个工作组， 大型内网会设置不同的域环境 并且互相做好隔离

内网渗透的过程 拿下主机终端 建立了据点 绕过AV软件 EDR终端检测 流量分析 IPS行为检测，将据点做好隐蔽，隐蔽隧道外连 针对流量侧 核心 加密通信和端口转发 可借助三方工具（本地 动态 远程 Windows的netsh liunx的lcx htran socks代理类工具 frp proxifier）或目标边界设备 （边界网关端口映射 实现出网 如防火墙的PPTP L2tp sslvpn） 做好隐蔽据点后作为跳板进行信息搜集判断自己所在的区域与权限，是高权限还是低权限，是在DMZ区 还是联网区 内网不出网区，云平台 或者被蜜罐 docker了，判断企业拓扑结构 有那些服务和设备

根据信息收集的点往集权和核心业务横向，重点是凭据传递和流量行为隐僻，比如说可以进行内网漏洞利用，口令复用，仿冒认证，内网水坑或者钓鱼，核心是期间维权不被发现 针对设备 二开远控工具 白加黑绕过 通信数据加密 ，不出网情况下进行内网穿透（端口映射 隧道穿透） FRP ngrok，进程注入 持续的维权和通过凭证盗取 （Windows凭据管理器 hash 浏览器记录 配置文件） 钓鱼 水坑才能继续横向 进行跳板 拿下核心资产 进行后门植入并且清理痕迹，写入注册表 内存马 计划任务 日志污染

内网漏洞的特点 历史漏洞 利用容易 通用 邮件 OA 中间件漏洞 数据库 SMB漏洞

提权漏洞如：

1.Windows本地权限提升 cve-2021-1732 用户态回调时候 破坏 导致内核态内存越界读写

2.Linux sudo cve 2021 3156 sudo反斜杠转义审核不严格 缓冲区溢出

口令密码问题 弱口令 口令复用 默认口令

钓鱼 外网目标 对外业务交流人员 招聘人员 客服人员（客户和友商 服务投诉 合作 应聘） 内网目标 运维 重要业务人员（领导或同事 开门见山 抛出诱饵）

供应链攻击 网络或平台提供商 安全服务提供商 产品或应用服务商 著名攻击 SolarWinds

vpn仿冒接入 获取VPN信息 控制网关

近源 wifi （解码wifi认证 ） 物理

蓝方防御核心：实时阻止

蓝队 被动防御 （封ip 隔离主机 系统 修复业务） 主动防御（应急 溯源 反制）

流程 资产规划——威胁情报排查——威胁建模 ——安全建设运营——威胁狩猎反制——修复加固运营

主要为 资产规划 基线排查 安全加固 收缩攻击面 做好设备联动和运维，随时排查可疑流量和日志，随时应急修复并且反制

一个合格的企业安全建设环境 需要建立军事化的动态纵深防御体系，1.全面资产规划 做好等保 2.依靠设备与专业团队组建SOC （实现动态防御与实时检测） 3.提高人员安全意识和建立应急响应预案 4.定期通过威胁建模 攻防对抗来完善企业架构脆弱点和安全策略

蓝队组成

领导 指挥 工作（监测研判溯源处置） 后勤保障 情报联络组

蓝队技能栈：基线排查 安全加固 网络架构分析梳理 一定红队能力 常见漏洞与工具的原理和流量特征 应急响应 溯源反制 威胁情报收集与狩猎 安全建设审计评估与运营

一般防御者只具备监测 研判分析的能力，而真正决定攻防形式的是应急溯源反制的高阶人才 能够从告警日志中分析ip 攻击手法 进行反向渗透的才是最可贵的 主被动切换

钓鱼绝大数原因来自于敏感信息的泄露

设备部署

1.边界常用 FW-IPS-WAF-云WAF--蜜罐--防钓鱼——NTA全流量

2.内网设备 路由器交换机（负责内网的网络流量管理和划分网段，实现不同业务单元或部门之间的网络隔离）-服务器-安全运营soc（EDR 流量分析 SIME IDS(日志) 上网行为管理 主机威胁检测 堡垒机）——集权与运维终端——核心业务服务器-DLP(监控、控制和保护敏感数据的传输和使用，防止数据泄露)

• 互联网资产发现资产 web扫描和开源组件检测
• 流量态势感知（流量镜像 传感器 引擎） -威胁情报--规则引擎--文件虚拟执行--机器学习 作用 研判溯源证
• 蜜罐可溯源取证 规划攻击者画像，也能反制 通过jsonp 文件下载 Mysql RDP远程登录 获取攻击者隐私
• 威胁情报设备通过多种渠道收集威胁情报数据，包括公开的威胁情报源、安全厂商提供的情报订阅服务、黑客论坛、恶意软件样本等数据进行分析 应用到安全建设中 更新联动的设备规则比如防火墙 IDS eDR 实时检测和报告

设备误报

1. 硬件配置优化：在硬件层面，我们需要确保所有的非必要系统全部下线，这样可以最大程度上减少潜在的风险点。
2. 白名单策略：在访问控制层面，我们需要建立一个严格的白名单制度，限定允许访问的路径、流量特征甚至是白名单IP，这样可以有效防止非法访问的发生。
3. 情报整合：在威胁预警层面，我们需要充分利用从情报网络获得的漏洞情报，对这些情报进行特征整理，并将这些特征添加到我们的全流量设备和态势感知系统中，一旦有匹配的信息，就能够立即封禁对应的IP和路径，实现联动联防的效果。
4. WAF配置：在Web应用防护层面，我们需要对WAF进行细致的配置，勾选相关的过滤规则，并检查数据包中是否有任何payload关键字、工具的流量特征或者是异常目录的访问记录，以此来强化WAF的防护能力。
5. 应急响应：在面对攻击或防御失效的情况时，我们需要立即启动应急响应机制，并根据受害主机的情况进行反向排查，找出问题的根源，从主机状况、流量流向到攻击的具体方式，有针对性地调整策略，修改对应的规则，并验证其效果，以实现安全加固的目标。

天眼EDR 核心组成

1. 传感器：负责收集网络流量数据

2. 分析器：对收集来的数据进行分析，寻找潜在威胁

3. 中央管理器：协调传感器的数据收集工作和分析器的分析任务，并将结果显示在一个统一的界面中

   IPS主要针对流量

   UDP（用户数据报协议）的无连接特性，使得其在IDS旁路设置时会产生一些问题。具体来说，UDP没有像TCP那样有明确的连接建立和断开过程，因此，IDS很难准确地识别出UDP会话的，从而可能导致较高的误报率。

   例如，一个常见的场景是，当一个UDP应用发送一个数据报后，如果没有收到响应，那么它可能会重新发送这个数据报。在这种情况下，IDS可能会错误地将同一个数据报视为两个不同的会话，从而导致误报。

   堡垒机 统一权限控制为主，同时，对管理员操作各主机非常方便，相当于一个集中远程控制平台

4. 规则引擎：管理员需要根据企业的安全政策设定一系列规则，告诉天眼应该关注哪些特定的网络行为。

   • 例如，设定某些特定IP地址、端口或协议的通信将被视为可疑

5. 集中管理：天眼的传感器可以安装到其他的设备上，如防火墙、路由器、交换机，以便收集更多的网络流量数据，中央管理器接收来自各个传感器的告警信息，并将它们整合到一个单一的视图中

   • 管理员可以通过这个界面查看所有的安全事件，并决定如何处理每个事件

6. 事件处理：管理员可以决定是对某个事件进行手动干预，还是启用自动响应机制

   • 如果选择了自动响应，系统可能会封锁非法 IP 地址，阻止恶意流量，和其他网络安全设备（如防火墙、IDS/IPS等）协同工作，在检测到威胁时自动激活这些设备的防御功能，如开启入侵检测、增加访问控制策略等

   • 隔离受影响系统：在某些情况下，天眼可以识别出已经被攻克的系统，并自动将其隔离起来，避免恶意软件在网络内的横向移动

7. 报告和审计：天眼还可以生成详细的报告，用于记录安全事件的发生及其处理情况。

   • 这对于内部审计、监管合规以及未来的事件预防都是非常有价值的资源。

睿眼·沙箱的核心功能：

1. 高级威胁检测：结合静态和动态分析技术，检测已知和未知的恶意威胁。
2. 行为监控与分析：监控可疑文件的执行行为，分析其网络通信和系统交互。
3. 自动化威胁识别：通过智能分析引擎自动化处理检测数据，识别攻击特征和威胁等级。

睿眼·取证的核心功能：

1. 事件溯源：追踪和定位安全事件的源头，提供详细的取证分析。
2. 样本深入分析：对潜在的恶意样本进行深入分析，揭示其潜在危害。
3. 安全事件响应：通过自动化取证流程，快速响应安全事件，辅助制定应对策略

主要三方安全 边界安全 内网安全 供应链安全

1. 资产过多、无主、灰色、僵尸资产：（攻击面越多 暴露风险越多）
   • 定期的资产清点，识别并标记所有资产的状态，确保每个资产都有明确的负责人
   • 对于不再使用的灰色和僵尸资产，应进行安全处置，如断开连接、退役或销毁
2. 网络隔离不足：（容易被游龙和供应链攻击）
   • 需要在内部网络中实施分层和分区策略，以减少潜在的攻击面和风险传播
   • 对供应链网络实施额外的安全措施，如访问控制、加密通信等
3. 应用系统漏洞：（外网应用直接被日穿）
   • 定期进行应用安全评估，包括代码审计、渗透测试和漏洞扫描
   • 对于发现的漏洞，应及时打补丁和应用安全更新
4. 敏感信息泄露：（给了钓鱼和社工素材）
   • 加强数据保护措施，如数据加密、访问控制和数据分类
   • 实施数据丢失预防（DLP）策略，监控和防止敏感数据的非授权传输
5. 边界设备安全：（vpn 联网设备 近源）
   • 对VPN和其他远程访问解决方案实施严格的安全策略，如多因素认证、访问限制
   • 定期更新和加固边界设备的配置，确保没有已知的漏洞被利用
6. 内网集权设施：（一台死 百台生）
   • 限制对关键系统的访问，实施最小权限原则
   • 对于权限集中的设施，应有额外的监控和审计措施
7. 安全设备和基础设施：（同上）
   • 确保安全设备如堡垒机、终端管理工具等得到适当的配置和维护
   • 对云平台实施专门的安全措施，如隔离、加密和访问控制
8. 供应链安全：（沙比合作方 一张网就进来了 不要相信第三方老王）
   • 对供应链合作伙伴进行安全评估，确保他们也遵循严格的安全标准
   • 与供应链合作伙伴共享威胁情报，共同提高整个供应链的安全性
9. 员工安全意识：（你说你招他进来干嘛）
   • 定期进行安全意识培训，提高员工对网络安全威胁的认识
   • 建立安全文化，鼓励员工在日常工作中采取安全最佳实践
10. 设备检测：（一台设备顶百个运维 ）
    • 部署自动化工具进行持续的设备监控和安全评估
    • 对于检测到的安全问题，应及时进行调查和修复

总结 没有做好资产规划和安全运营，不了解攻击者思路，软硬实力不行，安全意识不够，知攻善防 才能遇强则强

监测研判分析关注点 流量 日志 进程

流量（东西南北入侵 ） 日志（核心 集权 系统） 进程（可疑 网络链接 ） 行为（可疑 ） 漏洞和补丁管理 威胁情报 安全策略和规则管理（设备 防火墙 acl） 域名和SSL证书管理（域名劫持 SSL证书滥用）

行为（UEBA 用户和实体分析）

• UBA用户行为分析 不寻常的登录时间、频繁的敏感数据下载或异常的网络访问等，这些可能表明账户被盗用、内部威胁或其他安全问题
• EBA 实体 一切联网设备 服务器的访问模式、网络流量的增减、服务的响应时间、应用程序的错误率

安全信息与事件管理系统，防火墙日志，入侵检测系统（IDS）/入侵防御系统（IPS）日志

服务器，网络设备，操作系统，应用程序 数据库日志 重点

1. 异常登录尝试：频繁失败的登录尝试可能表明正在进行暴力破解攻击。
2. 权限变更：对关键系统和数据的权限更改可能指示潜在的内部威胁或权限滥用。
3. 未授权的配置更改：系统配置的意外更改可能意味着攻击者试图维持访问或增强控制。
4. 数据访问和传输：对敏感数据的异常访问或大量数据传输可能指示数据泄露。
5. 系统错误和应用程序崩溃：频繁的系统错误或应用程序崩溃可能是恶意软件或攻击的迹象。
6. 网络活动：异常的网络流量模式，如意外的大量入站或出站连接，可能表明网络扫描或数据泄露。
7. 安全事件：安全设备和系统生成的警告和事件，如入侵检测系统（IDS）警报。
8. 系统警告：操作系统和应用程序生成的警告，如磁盘空间不足、服务未响应等

进程

1. 未知或可疑进程：不认识的进程或不在正常运行列表中的进程可能表明恶意软件的存在。
2. 资源使用异常：CPU、内存或磁盘使用率的突然增加可能指示恶意进程的活动。
3. 网络连接：进程的网络连接活动，特别是与已知恶意服务器的连接 反链 DNS查询 C2。
4. 父进程和子进程关系：检查父进程和子进程的关系，以识别潜在的恶意进程创建。
5. 定时任务和计划任务：检查定时任务和计划任务，以发现可能被用于持续活动的恶意脚本或程序。
6. 启动项和服务：检查启动项和服务，以识别可能用于持久化恶意活动的程序。
7. 进程权限和所有权：检查进程的权限和所有权，以确保它们与预期的用户和应用程序相符

流量

1. 入侵流量：涉及外部攻击尝试，如扫描、端口扫描、漏洞利用和恶意软件传播。

2. 异常流量：包括不寻常的数据传输量、数据包大小和频率，可能指示攻击或恶意软件活动。

3. 内部流量：监控组织内部网络，以识别潜在的内部威胁，如异常用户行为和权限滥用。

4. 数据包分析：通过深入分析数据包内容，检测攻击、恶意软件和数据泄露等行为。

5. DNS流量：监测DNS请求，以识别域名劫持、恶意域名和与C&C服务器的通信。

6. Web流量：分析HTTP和HTTPS请求，检测针对Web应用程序的攻击和恶意文件或脚本的传播。

7. 邮件流量：检查传入和传出的电子邮件，以识别垃圾邮件、恶意附件和钓鱼企图。

8. VPN流量：对于使用VPN进行远程访问的组织，监控VPN流量以检测异常连接和未授权访问

是否误报？为什么误报？ 怎么修复

根据流量 行为 日志 排查是否为误报 为误报进行检测 是否可以进行设备规则修复，不能做好事件记录 上报

常见漏洞与工具流量

top10漏洞原理与特征

1. java反序列化

   1. Apache Shiro 反序列化漏洞：攻击者可以利用Shiro框架的RememberMe功能，通过发送恶意的序列化对象，导致服务器端在反序列化时执行攻击者控制的代码，从而实现远程代码执行（RCE）
   2. Fastjson 反序列化漏洞：Fastjson是阿里巴巴开发的一个Java库，用于处理JSON数据 在某些版本中，由于AutoType功能处理不当，攻击者可以通过构造特殊的JSON数据，使得Fastjson在反序列化时触发恶意代码的执行
   3. Weblogic 反序列化漏洞：Weblogic服务器中的XMLDecoder组件在解析XML数据时存在漏洞，攻击者可以利用这个漏洞通过发送特制的XML数据，导致服务器在反序列化过程中执行任意命令

2. 未授权访问

   1. Redis未授权访问漏洞：Redis默认配置下，如果没有设置密码，任何人都可以访问数据库
   2. MongoDB未授权访问漏洞：MongoDB默认配置下，未设置密码验证，允许未授权访问

   Shiro漏洞

   原理: Shiro漏洞主要涉及两个版本号，分别是Shiro 550和Shiro 721。Shiro 550漏洞利用密钥碰撞，攻击者可以使用已知的密钥库进行攻击，无需Remember Cookie。Shiro 721漏洞则需要利用有效的RememberMe Cookie作为前缀，通过精心构造的RememberMe Cookie值来实现反序列化攻击，难度较高。解密流程包括base64解密、ASE解密和反序列化。

   流量特征:

   • Shiro 550漏洞可以直接爆破ASE的密钥，由于反序列化过程中未进行适当的过滤，导致漏洞。
   • Shiro 721漏洞的流量特征可能包括包含特定前缀的RememberMe Cookie，以及可能的反序列化数据。

   Fastjson漏洞

   原理: Fastjson漏洞利用AutoType功能，在处理带有@type标记的JSON对象时，未对@type字段进行充分的安全性验证。攻击者可以通过构造特定的JSON数据，指定恶意类库进行反序列化，从而执行危险操作。

   流量特征:

   • 请求包中可能包含带有@type字段的JSON数据。
   • 可能存在对危险类的引用和构造，以及远程RMI主机的连接。

   Redis未授权访问

   原理: Redis默认情况下绑定在0.0.0.0:6379，如果没有采取安全措施，如设置密码认证或防火墙规则，Redis服务可能会暴露在公网上。攻击者可以利用Redis提供的命令在目标主机上写入WebShell或SSH公钥。

   流量特征:

   • 直接使用Redis-cli工具连接到目标服务器。
   • 可能包含Redis命令，如config、save、bgsave等。

   MongoDB未授权访问漏洞

   原理: MongoDB在3.0版本以前，默认监听地址为0.0.0.0，未设置认证时，允许远程无需授权访问数据库。攻击者可以利用这一漏洞进行数据访问和篡改。

   流量特征:

   • 连接请求可能不包含认证信息。
   • 请求可能针对MongoDB默认端口27017。

   JBoss漏洞

   原理: JBoss漏洞分为两类，一类是未授权访问漏洞，允许攻击者上传恶意文件；另一类是反序列化漏洞，通过构造恶意序列化数据执行远程代码。

   流量特征:

   • 未授权访问可能表现为直接访问特定URL。
   • 反序列化漏洞的流量可能包含JSON格式的数据，特别是涉及Java反序列化操作的数据。

   Struts2远程代码执行漏洞

   原理: Struts2漏洞允许攻击者通过OGNL表达式访问或修改服务器资源，导致远程代码执行。

   流量特征:

   • 请求参数可能包含OGNL表达式。
   • 流量可能包含对Struts2处理动作的特殊请求。

3. Log4j JNDI注入漏洞：通过Log4j的lookup功能，攻击者可以利用构造的日志消息来执行远程代码

4. Log4j2漏洞：Log4j2处理日志时的缺陷可能允许攻击者通过特殊构造的日志消息执行远程代码

5. JNDI注入：攻击者通过JNDI服务加载恶意资源，可能导致远程代码执行

常见渗透工具 nmap msf burp AWVS CS Nessus webshell

• AWVS 扫描器：请求包中包含acunetix wvs字段
• Burp Suite：可能修改HTTP请求头，如添加User-Agent字段
• Nessus 扫描器：请求包中包含nessus字段
• Cobalt Strike
  1. 心跳包特征：定期发送的心跳包表明主机在线状态，缺失则可能下线
  2. 域名/IP特征：使用非标准端口，可能暴露或隐藏真实IP，取决于是否使用CDN或域名前置
  3. 指令特征：指令通过心跳包接收，执行结果通过加密的POST请求返回
  4. 数据特征：通信数据通常隐藏在伪装的jquery*.js文件中
  5. HTTPS特征：JA3和JA3S值在Client Hello和Server Hello阶段固定，反映操作系统特征
• MSF
  • 端口特征：MSF通常使用默认的4444端口作为反向连接端口 数据包特征：在MSF的数据包中，可能会包含"metepreter"，"revshell"等特定字符 加密特征：虽然MSF本身会对流量进行加密，但由于MSF太出名，其加密特征容易被IPS，WAF等可以检测带有攻击的特征的设备拦截或记录
• 菜刀：流量中存在特征字如eval和base64编码
• 蚁剑：用户代理（User-Agent）中包含antsword，加密特征以"0x.....="开头
• 冰蝎：
  • 冰蝎 2.0：特征在于Accept头部包含q=.2
  • 冰蝎 3.0：Content-Type设置为application/octet-stream 欺骗服务器为二进制流
  • 冰蝎 4.0：User-Agent和Referer头部特征，Accept默认使用aes128，密文长度为16的整数倍
• 哥斯拉：
  • User-Agent弱特征：哥斯拉默认UA会显示JDK版本信息
  • Accept弱特征：默认的Accept头部可能包含特定的媒体类型偏好，如"text/html, image/gif, image/jpeg"，并可能包含一个较低优先级的通配符"*"
  • Cookie特征：cookie末尾有分号
  • 请求体特征：进行base64编码或raw形式。检测时可以关注请求体中的不可见字符模式。
  • 响应体特征：在base64编码的数据前后分别添加一个32位md5散列的前后半部分。结构特征是：md5的前16位+base64编码的数据+md5的后16位

常见webshell流量

1. Java内存马：通过特定的URL访问执行系统命令，特征 自创过滤器filer，特殊的类加载器包含恶意代码，排查web xml注册表里面找未知的过滤器，本地不存在的类文件 没有对应的类，dump利用机制反射 专属的工具
2. PHP不死马 自我删除进入内存死循环繁殖，特征不断回连的url 两百但返回值为空 ，利用不同线程进程对共享资源的访问的条件竞争，文件完整性 异常的PHP进程

应急响应

响应流程

1. 准备工作：收集告警信息、客户反馈信息、设备主机信息等
2. 检测：判断安全事件类型，如钓鱼邮件、Webshell、爆破、中毒等
3. 抑制：控制范围，隔离失陷设备
4. 根除：分析研判，收集的信息进行深入分析
5. 恢复：处置事件类型，如进程、文件、邮件、启动项、注册表等
6. 输出报告：整理并输出完整的安全事件报告

入侵排查思路

Linux和Windows系统入侵排查的思路，分析安全日志、检查用户账户、查看命令执行记录、分析中间件和Web日志、查看登录日志和计划任务

1. 确定漏洞类型：识别报警所指的具体漏洞，例如登录框测试中的外部实体注入、SQL注入等
2. 攻击者行为分析：
   • 通过分析JNI函数命名、HTTPS握手过程、ARM32位指令等技术细节，追踪攻击者的来源
   • 识别勒索软件如Wanacry的特征，如蠕虫、僵尸病毒
3. 打补丁：对已知漏洞进行补丁修复，以防止进一步的攻击
4. 日志分析：查看系统日志（如/var/log/secure）和用户历史命令（如.bash_history），以追踪攻击者的行动
5. 查杀木马：使用Webshell或Shell查杀工具清除可能的恶意软件
6. 全流量分析：分析网络流量，确定攻击是否经过其他机器，追踪攻击路径
7. 攻击者信息收集：拿到攻击IP后，通过在线网站（如360、微步等）查询主机类型，判断是否为傀儡机或VPS跳板
8. Whois查询：对疑似攻击者的域名进行Whois查询，获取注册者信息
9. 社工信息搜集：通过邮箱反查询攻击者的社交账号，进一步获取手机号等个人信息
10. 撞库尝试：在知名网站上尝试撞库登录，以获取攻击者的更多信息

内网阻止跳板机

​ IDS/IPS监控并阻止异常活动并阻止访问、断开连接，最小化跳板机的访问控制，进行网络隔离，实时监控日志，并利用威胁情报更新黑名单以阻断恶意通信。

溯源反制

• 对外溯源：确认攻击者的真实身份，通过监测设备确定攻击IP，通过威胁情报平台查询IP信息，进行域名反查，获取攻击者的个人信息（手机号、邮箱、QQ号、微信号等）

• 对内溯源：确认攻击者的行为，分析攻击者上传的工具，阻断攻击者的控制，查看外部日志（如Apache日志），分析攻击请求，溯源攻击者的IP地址

• 溯源信息收集：利用开源情报和开放端口分析，通过IP定位攻击者的具体位置，收集攻击者的社交信息，使用恶意程序分析网站对上传的恶意程序进行分析

• 邮件钓鱼反制：部署虚假的内网环境，伪造钓鱼邮件中招假象，诱导攻击者下载VPN安装包进行反向控制

  紫队

  怎么去有监督 最大限度的去模拟真实网络攻击 检测安全

  参与四方 组织单位 技术支撑单位 攻击队（厂商攻击队和第三方） 防守队（厂商和第三方）

  阶段 组织策划 前期准备 实战攻防 应急演练（应急服务实施小组 样本分析组 漏洞分析组） 演练总结（参演单位进行分析整改） 沙盘推演

  红线 一切行为可回溯 不得使用恶意木马 勒索 挖矿 蠕虫 DDOS，网页篡改（需请示），破坏性的物理入侵（剪掉光纤） 内存溢出，演练结束后收集报告 清楚痕迹 不得留数据

  监督评查组

  ​ 攻方加分 获取权限 突破 漏洞 报告编写 沙盘演练 减分 违反规则 报告乱写 被溯源

  ​ 防御加分 监测发现 分析研判 应急处置 通报预警 协同联动 溯源 捕获0day 减分 红队操作成功

  沙盘推演

  攻击组 防守组（蓝队 业务系统负责人 财务 法务 公关） 指挥组 专家组

  攻击者进行攻击方案 防守组进行防御反击 互相对峙 两轮后 互相自评 再由专家组点评给出指导意见 攻防双方提交方案报告