攻防演练个人小结 – 作者:me-free

一、扯

转眼之间这场安全圈的大戏已经落幕,回想活动结束前夕,艰难的防守方还在不停的打探着消息,A\B\C\D如何如何,当然我也是其中一员,每天打开微信第一个看到的,都是各路大神分享的各种心得,各种0day预警。

得知特定的0day后,发动所有业务运维人员、开发公司确认是否使用相关代码,演练期间视乎一切都要为攻防演练让步,忙忙碌碌的一个阶段过后我想到几个问题:

今年的活动结束了我们有什么收获呢?

我们的收获是或否有助于后期网络安全管理的工作呢?

是否可有以遗留下来为明年的防守带来改善呢?

带着这三个问题步入正文。

二、现状分析

作为一个上了年纪的网络安全从业者,回首过去,总能发现一些事情(被打穿)惊人的相似之处。在这里我就大概说一下我所经历的一些活动及过程出现思考。

时间:2017年 ***单位

监控方式:盯设备告警包括(IDS、IPS、WAF)

应对方式:封IP

收获:超过50个IP地址进入黑名单

时 间:2018年 ***单位

监控方式:盯设备告警包括(IDS、IPS、WAF)

应对方式:封IP

收获:超过200网段进入黑名单(活动结束后删掉)

时间:2019年7月 ***单位

监控方式:盯设备告警包括(IDS、IPS、WAF)、ACCESS日志、服务器部分文件监控

应对方式:封IP、编写安全设备检测规则、尝试日志SIEM 关联使用

收获:超过20B段、无数个C段进入黑名单(活动结束后删掉)、安全设备检测再某些情况下存在绕过(非特殊方式)

时间:2019年12月 ***单位(特定行业)

监控方式:SIEM监控、蜜罐

应对方式:编写安全设备检测规则、动态防御

收获:监控系统后台互联网开放、TRS后台互联网可见、超过5处敏感信息泄露

时间:2020年9月 ***单位

监控方式:SIEM监控、蜜罐

应对方式:编写安全设备检测规则、动态防御

收获:信息泄露N处、溯源报告一份、漏洞POC若干

1、关于信息收集

早期通过安全设备还能够发现NMAP类探测行为,但最近两次几乎没有出现大量端口探测行为,估计资产的信息收集各红队早有准备,且此类活动资产收集活动猜测也是以被动式为主,通过fofa、shodan、zoomeye等空间引擎进行,即使用了主动探方式来识别资产端口,探测的端口也数量也会受到严格的控制。

2、关于漏洞识别

早期红队行为还可通以过常规安全设备感知对方工作,如对方扫描器可能触发大量告警信息,如使用AWVS、APPSCAN等大型扫描器进行漏洞探测,由于扫描器指纹、POC特征等内容很容易被识别。所以前期依靠安全设备基于特征检测告警,还能看到红队痕迹。但随着游戏规则升级、大牛们的加入以及其他因素,越来越多的团队抛弃商用扫描器的使用,转而使用规小、请求少、低线程的方式进行。

如今年演练活动,除第一天被发现某地址外,未发现其他明显扫描行为,深入分析网络访问状态发现某攻击者用了6个小时扫描了我们某服务器不到200个url,每个次请求之间会随机间隔3-60分钟。

扫描url路径如下:

/config.inc.jsp.bak
/ewebwditor/upload.asp
/info.asp
/search/was5/web/css/manage.aspx
/hdjl2019/nsfwts/6dllmiln3h9d.php
/admin.aspx
/shop/goods/search.aspx
/search/was5/web/c99shell.php
/1.asp
/2.asp
/bsfw2019/sscx/eWebEditor/php/upload.php
/1.aspx
/config.inc.php.bak
/shell.php
/SbsqWW/gxcx.do
/ewebwditor/php/upload.php
/info.jsp
/config.jsp~
/index.jsp.bak
/saaspt/mobileshield.do
/kd/asp/file_manager_json.asp
/data/cache/ctx.php
/SbsqWW/gxcx.do
/memadmin/index.php
/.settings.asp.swp
/database.aspx
/saaspt/mobileshield.do
/d.php
/bsfw2019/bszn/gjss/y2hjl5wwtoaj.jsp
/debug.jsp
/debug.asp
/search/was5/web/advanced_2016.jsp.orig
/907b0a1bb2c218e97654e1f738ced127.jsp
/info.aspx
/ewebeditor/admin_login.asp
/ewebwditor/upload.asp
/inc/config.asp
/search/was5/web/filterword_error.jsp
/SbsqWW/gxcx.do
/ewebwditor/php/upload.php
xxgk2019/eWebEditorNet/upload.aspx
/database.asp
/db.asp.bak
/SbsqWW/gxcx.do
/SbsqWW/gxcx.do
/index.php
/search/was5/web/lol.php
/saaspt/mobileshield.do
/resourcedata/southidceditor/upload.asp
/version/2019/sswj/dz9yuqeqs88m.php
/search/was5/web/advanced_2016.jsp/js/jquery.min.js
/search/was5/login.jsp.bak
/SbsqWW/gxcx.do
/ssxc2019/tpxw/6jmbbkc3ihzq.jsp
/SbsqWW/gxcx.do
/xxgk2019/eWebEditorNet/upload.aspx
/config.asp~
/db.php.bak
/SbsqWW/gxcx.do
/ebook2019/202005/eWebEditor/php/upload.php
/config.inc.jsp.bak
/xxgk2019/sstj/eWebEditor/php/upload.php
/SbsqWW/gxcx.do
/clip/JobHistoryList.do
/index.php~
/phpMyAdmin/index.php
/config.php~
/config.jsp~
/adminer-4.4.0.php
/info.jsp
/config.jsp.bak
/SbsqWW/gxcx.do
/info.php
/saaspt/mobileshield.do
/resourcedata/ATpjv1LaOV.jsp
/SbsqWW/gxcx.do
/.settings.asp.swp
/w/index.php
/hdjl2019/zxft/wqhg/isyu9gticgvh.php
/saaspt/mobileshield.do
/qdsw_shinan/bsfw2019/ewebwditor/upload.asp
/search/was5/web/!advanced_2016.jsp
/search/was5/web/pi.php5
/new/wp-content/plugins/wp-file-manager/lib/php/connector.minimal.php
/saaspt/mobileshield.do
/SbsqWW/gxcx.do
/bbs/convert/index.php
/SbsqWW/gxcx.do
/search/was5/web/advanced_2016.jsp_old
/bsfw2019/xzzx/bdxz/yhbl/8lxh3zjavw56.jsp
/saaspt/mobileshield.do
/bsfw2019/12366pt/eWebEditor/php/upload.php
/2020/wp-content/plugins/wp-file-manager/lib/php/connector.minimal.php
/SbsqWW/gxcx.do
/SbsqWW/gxcx.do
/bsfw2019/ewebwditor/php/upload.php
/shell.php
/eadmin/news/keditor/asp/file_manager_json.asp
/907b0a1bb2c218e97654e1f738ced127.jsp
/config.aspx.bak
/SbsqWW/gxcx.do
/hdjl2019/zxft/wqhg/isyu9gticgvh.jsp
/hdjl2019/zxft/ewebwditor/php/upload.php
/login.aspx
/search/was5/web/nstview.php
/shop/pages/tenso.aspx
/test.aspx
/bsfw2019/bszn/cktms/69xk7ng1h9mr.jsp
/xxgk2019/tztg/dra.php
/was5/web/ewebwditor/php/upload.php
/bsfw/xzzx/czsc/201909/P020190918604300469247.docx%20
/qdsw_huangdao/bsfw2019/southidceditor/upload.asp
/ssxc2019/402rvt4y1sxq.jsp
/SbsqWW/gxcx.do
/saaspt/mobileshield.do
/kindeditor/asp/file_manager_json.asp
/config.inc.jsp.bak
/guanli/login

来源:freebuf.com 2020-09-28 08:27:00 by: me-free

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论