安全-HVV防守事记

Posted 小狐狸FM

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了安全-HVV防守事记相关的知识,希望对你有一定的参考价值。

前言

信息比较敏感就不放图片和防守方具体的信息了,只写文字记录一下。
第一次打攻防,是某学校的防守方,学校的网络部署有些乱。
IPS、APT比较好用一些
APT只能监控不能阻断流量,可以检测到内网和外网的攻击流量
IPS主要用来阻断流量和-封禁IP,只能看见外网对内网的攻击,
WAF可以阻断流量封禁IP,但是检测很鸡肋
堡垒机,主要被来控制服务器,可以远程进入服务器,不是我在操控

人员组成: 3~4人
攻防时间: 5天
安全设备: WAF(WEB防火墙)、IPS(入侵防御)和APT(态势感知)、堡垒机

攻防前两天

提前了两天过去现场进行摸排
发现了天蝎木马sky.php在远控一个服务器,使用天蝎连接对应的木马成功连接
连上去后是一堆的乱码,输入命令可以返回乱码的内容

域名指向的服务器IP需要找厂商进行确认,到结束了还是没找到那个服务器是哪个。
剩下的时间都在进行外网的资产收集

攻防前一天

在APT上发现了一个天蝎马conn.php,使用天蝎同样可以连上去。
在APT上看见流量的HTTP状态码200,对方成功连接了木马。

在APT上又发现了一个木马plug2.php连接上去了一个OA系统
使用堡垒机登录了对应的OA服务器后,根据APT里的流量,到了木马连接的路径下
查看木马内容后发现了几个字: edgnb
发现了有很多的plug1.phpplug.php等等的测试木马,删掉木马的同时攻击者又传了好几个马
然后我们就边删他还边传马,保存了木马和截图
根据流量包找到了上传的接口,把含有对应上传功能的php也保存了,但是被OA加密过了

运维增加了安全策略,隔离了被远控的两个服务器。
写了一下OA系统的溯源报告

上午进行外网的资产收集,下午进行漏洞扫描,大佬提交了一个内网扫描的报告。
在收集资产时,发现内网有一个网络空间安全协会的网站对外开放,而且不在上交资产表中。
隔离了网络空间安全协会的网站。

攻防第一天

运维增加了安全策略,只允许了大陆的IP访问学校网站
同时无法访问除大陆以外的网站

12点多在APT设备上发现有HTTP弱密码连接,查看了一下流量
使用了一个testhv的账户登录学校的学报网站,访问该网站发现可以在线注册账户
立马就在IPS上隔离了该学报网站,但是晚上被通报了学报系统和另一个系统被攻陷了。

14点40分左右在IPS设备上发现了哥斯拉木马的连接告警,有许多条连接请求都通过了
当下就封禁了两三个对应的攻击IP,在APT设备和WAF设备上都没有发现任何的哥斯拉流量威胁日志

因为使用了nginx反向代理,那个代理设备使用了公网的IP,而且是位于安全设备以外
所以在IPS上面只能检测到那个反向代理的服务器的IP地址

最致命的是IPS上只能看到威胁报警,无法看流量,流量包信息只能在APT或WAF上看
而且IPS不能封禁反向代理的服务器,一封禁就会影响到正常业务,所以只能看着服务器被攻击

15点05分左右在IPS上发现一台10.x.x.160内网服务器开始对其他的内网服务器进行漏洞探测
发现了问题后就对该主机进行了断网隔离,之后还发现了一台172.x.x.x开头的内网主机开始扫描永恒之蓝漏洞
然后又对172.x.x.x的内网主机进行隔离,后来发现分数被扣了

在10.x.x.160服务器被隔离之后,使用堡垒机登录上去,发现服务器没有装任何的杀软
安装了D盾和火绒后进行木马查杀,在一个目录下发现了一个ss.exe远控木马

晚上使用学校的vpn连接安全设备,有一些攻击流量在远程连接,当即进行封禁处理。

攻防第二天

早上使用堡垒机登录了大多数的windows设备,安装了火绒并查杀,未发现问题

流量稍微变少了,修改了一下WAF和IPS上对应的检测特征,调高了安全等级
之前有很多高危的攻击请求没有被阻断,现已修改成阻断且封禁其IP到动态黑名单(中危5分钟、高危30分钟)

下午运维发现可以登录上Nginx反向代理的服务器来查看web日志,还没去溯源
优先在服务器安装杀软扫描木马,linux服务器上使用河马进行查杀

晚上发现还是有外网的IP在漏洞扫描,有一些已经被IPS动态封禁了,剩下的是手动封禁

攻防第三天

上午开始对12月1日的10.x.x.160服务器攻击进行溯源,另一个被攻陷的系统还是不知道为什么被攻陷

17点30多分发现内网的172.x.x.x的几台主机在对10.x.x.x服务器网段进行msf 17-010永恒之蓝漏洞检测
172网段属于内网中学生和老师使用的办公网,防护设备没法监控到
而且IPS上封禁了对应的IP无效果,运维就登录到了核心交换机让172网段无法访问服务器网段
推测是172网段的学生或老师的主机已经被钓鱼攻陷,172网段已经不可信了

晚上看分数时又被扣掉了一些分数
运维建议剩下的两天我们不要同时去学校,他先过去学校,我们再过去
在他路途中,我们两个使用vpn连接安全设备进行监控

攻防第四天

又来了一个运维来帮忙监控,早上的攻击流量很少

下午在IPS设备上发现了一些IP正在攻击一个一卡通网站
14点多一直在利用fastjson漏洞检测一卡通网站,都被IPS阻断并封禁
运维排查后发现一卡通2到3个外网IP,我们只能够拦截到其中的一个

16点多发现被扣了几千分,还有Apache Shiro漏洞流量在继续攻击一卡通

攻防第五天

继续远程vpn连接安全设备进行监控,将之前IPS上的动态黑名单里的IP手动设置成了无期限封禁

10点多APT设备上发现了172.x.x.x财务处的服务器开始横向攻击10.x.x.x的OA系统,之前没有检测到外网IP攻击财务处的流量,登录了源服务器进行排查

11点在APT上发现172.x.x.13在横向172.x.x.127,将两者都进行了隔离
11点20分之后攻击流量减少,12点结束攻防

以上是关于安全-HVV防守事记的主要内容,如果未能解决你的问题,请参考以下文章

2022HVV系列蓝队手册更新版(建议收藏)

网络安全 -- 常见的攻击方式和防守

安全-渗透事记

安全-渗透事记

安全-渗透事记

安全-渗透事记