一个蓝队的思考复盘

Posted xialuoxialuo

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了一个蓝队的思考复盘相关的知识,希望对你有一定的参考价值。

参加完 hw 总结总结思考思考

限于水平 写到地方可能有限 还望各位师傅能多多指点

想到之前看的一篇文章 阿里云内部攻防演练中 攻击队进去之后升级了内网的一台电视机的版本导致攻击路径暴露 更是深刻感受到了一个优秀的蓝队要考虑到的方面太多了

一、发现风险

当接手这个项目的时候 我第一步先做的是信息收集

着眼点在以下几个方面

1、暴露在互联网中的资产

web页面——中间件、CMS、框架 的版本以及类型

对应的IP以及其C段–——易发现被遗忘的各类设备、以及忘关闭的测试环境

IP开放端口

2、暴露在互联网中的个人信息

手机号码、邮箱、qq、微信

3、向用户索要网络拓扑图、以及资产表

收集以上信息可以让我们有效的了解可能存在的被攻击面、发现暴露在公网但被用户遗忘的资产

二、收敛风险

收集以上信息之后 开始对风险面进行一个收敛 我将这一步理解为

(查漏 补缺 做记录 顺序从外到内)

0X01外网

1、查漏:属于自己的资产但被遗忘 以及 端口临时开启忘记关闭 设备配置错误使得外网可以访问 安全设备配置错误导致没将保护面覆盖到网站

首先 将步骤一中发现到的被遗忘的测试环境下线、完全不需要对外开放的各类设备改为内网才能访问

不需要对外的端口如各类数据库、ssh、ftp、smtp等端口 关闭或加白名单 白名单策略是否生效

检查各类安全设备是否在架构层面是否合理 能否覆盖到所有对外的网站 waf配置是否生效

网站的备份文件

2、补缺 (对必须暴露在外的设备和应用进行检查 是否存在漏洞)

页面

使用的CMS、中间件、框架、插件(Fastjson、jackson等rce漏洞)安全设备是否存在已知漏洞 及时打补丁

应用的渗透测试和漏洞扫描 发现应用层面的漏洞 发现后及时修补、来不及修上RASP

(在修补前可以通过配置waf 对该接口的访问进行记录 观察异常行为及时封IP)

3、记录

账号

​ 在演习开始前对 数据库、SSH、公司人员邮箱账号、各类硬件设备、网站系统的账号进行记录 同时检查是否存在弱口令 检查是否存在被遗忘的测试账号(这一步在本次hw中没有做的很好 但觉得这也是做好防守的一步)

功能点

​ 了解网站中的有哪些功能点,同时对网站系统中的登录、注册、上传等可能会存在漏洞的地方的日志进行收集并持续监控 因为这些在攻击队眼中 是一个很好的入手点 比如说一个上传身份证的地方 有人上传了无危害但后缀为txt文件 探测规则 waf不会记录 我们就需要从日志中发现该行为 重点关注该IP

至此外网的风险收敛完毕

0x02内网

内网部分我了解的不多 只能从知道的部分简单讲讲 这也是本次演习中做的不到位的地方 (因为菜)

从攻击者的角度来看 攻击手段主要是使用poc进行扫描和口令爆破

因此 应提前对内网中的设备进行漏洞扫描 以及端口扫描

重点关注445等高危端口是否开放以及是否打补丁

数据库、ssh、rdp等口令强度是否足够

0x03人员

人员安全意识

在演习开始前下发通告文件

第一步中收集到的暴露在互联网中的个人信息 要求其修改当前邮箱账户密码 防止社工库撞库

要求 对外服务的客服人员 不接收用户发送的文件 不点击用户发来的链接 发现有以上行为的用户 及时上报

员工OA或邮箱不使用 弱口令或复杂度够但较常规的密码如 !@#QWE123 防止密码喷洒攻击

在收到同事从邮箱中发来的文件时 先与同事进行核对 之后再打开 防止单个用户密码被猜解后 被扩大攻击面

三、过程中

一般来说 若能很好的收敛以上的风险面 ,在演练过程中 压力会小很多

同样我的经验还不够丰富 没有碰到过被打进到内网的情况

所以这在hw过程中和应急处置中 我考虑到的面还有限

这些都是很常规的东西了 在演练过程中 关注

1、外网、内网各类安全设备 有没有报警 及时封禁IP

2、上文中提到的各个功能点检测日志 关注有异常行为的ip 若网站有注册功能 这段时间注册的用户 可以重点关注一下

3、web服务器中有没有新账户的创建、有没有异常登录

四、处置

要做最坏的打算 当出现入侵后 怎样最大程度的减少损失

相当于应急响应了 很大一块内容 这里简单谈谈 经验不足 还望指点

发现服务器已经被入侵

切断网络 将服务器进行隔离 排查攻击路径 寻找有无新添加的用户 和新增加的文件 在重新上线前填补漏洞

通过沦陷机器留存日志、中间件日志、 以及与其互通的其他主机情况 重新判断被攻击范围

对互通机器进行全面检查

小结:

这次行动中 让我从甲方的视角考虑安全问题

风险面的收敛

整个业务运行时的监控

在攻击未发生时 如何从流量中发现潜在的攻击行为

有攻击行为时的如何遏制、处置、以及排查

公司人员的安全意识的培养

各类安全准则的制定到落地

就本次hw的加固措施还都是在已知攻击手段下 针对性的进行加固

若作为甲方 还要能够应对在面对未知攻击手段时 如何防御 如何将损失降到最低

以上的每一条都有很深的学问

以上是关于一个蓝队的思考复盘的主要内容,如果未能解决你的问题,请参考以下文章

一个蓝队的思考复盘

一个蓝队的思考复盘

对于最近工作的一些感悟和复盘

AAR 复盘法 -规则

对几次通宵加班发版的复盘和思考

复盘 陈中 阅读笔记