1. 監(jiān)測(cè)

攻防演練開始前，要對(duì)監(jiān)測(cè)設(shè)備的告警規(guī)則進(jìn)行調(diào)優(yōu)。

• 僵尸、木馬、蠕蟲、C2遠(yuǎn)控類告警可以直接忽略

• 挖礦病毒類告警視情況而定，如果時(shí)間充?？梢匀ヌ幹?/p>

• 重點(diǎn)關(guān)注web層面的攻擊，如SQL注入，命令執(zhí)行、文件上傳+中高危+攻擊成功

• 各種高危CVE漏洞+攻擊成功重點(diǎn)關(guān)注

• Webshell類告警單獨(dú)設(shè)規(guī)則，設(shè)備上不一定顯示攻擊成功，可能顯示嘗試，但這并不代表它沒有攻擊成功，而要去看流量上下文，看命令執(zhí)行和響應(yīng)體，看是否持續(xù)訪問(wèn)固定webshell路徑即關(guān)注頻率

• 像類冰蝎Webshell類告警很有可能是魔改后的冰蝎馬，需要持續(xù)關(guān)注

• 內(nèi)存馬需上機(jī)排查，在告警設(shè)備上的特征是持續(xù)告警攻擊成功，但是路徑不固定，響應(yīng)體中無(wú)內(nèi)容。上機(jī)排查關(guān)注error.log，使用腳本進(jìn)行掃描。

• 真實(shí)場(chǎng)景中，由于網(wǎng)絡(luò)拓?fù)洵h(huán)境錯(cuò)綜復(fù)雜，簡(jiǎn)單的00，10判斷方向往往失效，要隨機(jī)應(yīng)變

• frp、fscan、隧道流量單獨(dú)設(shè)規(guī)則

2. 研判

一般進(jìn)行研判的思路，就是通過(guò)流量上下文+手工驗(yàn)證+攻擊頻率次數(shù)來(lái)判斷是否漏洞是否存在，是否攻擊成功。
如下圖，就可以判斷訪問(wèn)webshell進(jìn)行命令執(zhí)行，可以判斷攻擊成功且上傳了webshell：

又如最近的Nacos授權(quán)繞過(guò)漏洞，原始告警如下圖：

通過(guò)查看流量原文可以確定攻擊成功，如下圖：

這里需要注意，很多告警如redis未授權(quán)，mongodb未授權(quán)等未授權(quán)漏洞攻擊成功在流量上下文中不能體現(xiàn)，需要去手動(dòng)驗(yàn)證。
如redis驗(yàn)證未授權(quán)redis-cli -p 端口 -h 受害者IP
其他未授權(quán)可以直接訪問(wèn)路徑查看

但是即使你無(wú)法驗(yàn)證成功，也不能
就研判為誤報(bào)，而要結(jié)合攻擊成功告警的頻率（比如說(shuō)它已經(jīng)告警成功了20000+），很有可能由于網(wǎng)絡(luò)拓?fù)涞膹?fù)雜，在你當(dāng)前所處的環(huán)境中無(wú)法驗(yàn)證成功，此時(shí)可以讓其他不同的網(wǎng)絡(luò)環(huán)境中同事幫忙驗(yàn)證。

3. 應(yīng)急溯源

攻防中大家分工明確，應(yīng)急溯源分工又不是很明確，可能多個(gè)團(tuán)隊(duì)在做同一件事，所有溝通非常重要。

時(shí)效性非常重要，必須盡快出報(bào)告。

白嫖學(xué)習(xí)資料：環(huán)境搭建資料+工具包+全套視頻 - 嗶哩嗶哩?