蓝队攻击溯源分析实战(1).docxVIP

蓝队攻击溯源分析实战 2022年，受全球疫情及经济发展等诸多因素影响，网络黑产和APT攻击大行其道，且技术界限正日渐模糊，根据《APT攻防趋势半年洞察》数据显示，当前0day漏洞数量激增，直指历史峰值，且APT攻击技巧持续创新，对防御和溯源带来前所未有的挑战。同时，经济、科技、民生发展需求之下的供应链安全隐患也变得愈发迫在眉睫。另外一方面，API已经成为网络应用流量最重要的出入口，通过攻击API来破坏信息系统和窃取数据，将成为数字时代黑产活动最集中的方向之一。为全面提升我国关键信息基础设施整体安全防护水平，构建多部门协同合作、共同提高、攻防相长的网络安全综合防御体系，从而举行网络攻防演习。通过攻防实战，提高攻防双方技术对抗、决策指挥及应急处置能力，排查化解网络安全领域重大风险。本次内容将围绕蓝队防御实践展开，旨在构建以能力为核心的安全理念，从资源，技术，管理和持续迭代对抗训练落地。01 红队攻击模式 “红蓝对抗”目标 落地层面：实战攻击，检验防御体系有效性，找风险，找方向；执行层面：以查带打，抓薄弱环节；以点带面，定责促改进；战略层面：摸底企业信息安全保障能力，提升安全防御能力。 “红蓝对抗”企业价值 ①挖掘渗透测试不关注的漏洞或者无法覆盖的点；②检验整体安全态势和防护水平，检验企业安全防护体系：态势感知、防护阻断、响应溯源的能力，完成安全闭环；③梳理风险盲点和攻防场景，梳理系统每个攻击面、路径，分离出关键场景；④提高公司全员安全意识，提升安全防御能力。 红队突破方向 模拟真实黑客，无所不用其极的攻击手法，全面深入盘点企业防护短板。红队常用的攻击手段有：弱口令、攻击集中管控类、0day、钓鱼软件、供应链攻击等。02 企业安全应急响应体系 应急响应概念 安全事件(Security Accident)是指影响一个系统正常工作的情况。这里的系统包括主机范畴内的问题，也包括网络范畴内的问题，例如黑客入侵、信息窃取、拒绝服务攻击、网络流量异常等。应急响应（Emergency Response)是指组织为了应对突发/重大信息安全事件的发生所做的准备以及在事件发生后所采取的措施。应急响应是信息安全防护的 最后一道防线！应急响应体系(Emergency Response System)是指在突发/重大信息安全事件后对包括计算机运行在内的业务运行进行维持或恢复的各种技术和管理策略和规程。信息安全应急响应体系的制定是周而复始、持续改进的过程，包含以下几个阶段：a) 应急响应需求分析和应急响应策略的确定；b) 编制应急响应计划文档和技术管理规范；c) 应急响应计划的测试、培训、演练和维护。 团队组织结构 领导小组：领导小组统一组织并协调安全工作，对重要事件提供决策意见。领导组成员由企业（组织方）CSO或者其他负责人组成。综合研判组：负责制定方案、梳理资产、负责安全检查、和演习准备工作、与公安部联系沟通。防护监测组：一是梳理现有网络安全监测、防护措施，查找不足；二是对全网系统资产进行安全检查，发现安全漏洞、弱点和不完善的策略设置；三是根据综合协调组安全自查发现的安全漏洞和风险进行整改加固及策略调优，完善安全防护措施。应急处理组：一是制定应急方案；二是负责攻防演习攻击事件的应急响应处置工作；三是完善应急响应体系。 应急响应流程 应急响应流程分为：响应、阻断、分析、清除和加固，具体步骤操作可参考下图： 应急响应体系重大信息安全事件报告表 03 蓝队防御溯源分析思路与工具 应急溯源分析思路——架构版级别 网络流量分析：通过日志异常请求，抓取网络的网络包回溯，使用wireshark即可。日志分析：tail -10f 1.log网络关系分析：A--B A/=C 应急溯源分析思路——流量分析和回溯 采用wireshark+存储的方式 攻击特点及常用手法 网络杀伤链：“网络杀伤链”由洛克希德-马丁公司提出，用来描述针对性的分析阶段攻击。每一环节都是对攻击做出侦测和反应的机会。 安全攻击溯源追踪方式  溯源分析思路 溯源分析的整体思路可以依据：文件排查-进程排查-系统信息排查-工具排查-日志排查，五个进程。 病毒溯源分析工具Windows 1.?病毒分析PCHunter：火绒剑：Process Explorer：/zh-cn/sysinternals/downloads/process-explorerautoruns：/en-us/sysinternals/downloads/autoruns2.?病毒查杀卡巴斯基: ?/devbuilds/KVRT/latest/full/KVRT.exe火绒安全软件:?3.webshell查杀D盾_Web查杀:?/index.asp河马webshell查杀:  常用分析工具Win