在HVV期間，藍(lán)隊主要就是通過安全設(shè)備看告警信息，后續(xù)進(jìn)行分析研判得出結(jié)論及處置建議，在此期間要注意以下內(nèi)容。

內(nèi)網(wǎng)攻擊告警需格外謹(jǐn)慎，可能是進(jìn)行內(nèi)網(wǎng)滲透。

1.攻擊IP是內(nèi)網(wǎng)IP，攻擊行為不定，主要包括：掃描探測行為、爆破行為、命令執(zhí)行等漏掃行為。

2.資產(chǎn)屬性-內(nèi)網(wǎng)攻擊IP資產(chǎn)屬性。

3.研判告警行為是否為攻擊動作，如弱口令、SQL注入漏洞可能是業(yè)務(wù)行為。

4.上級排查與客戶一起進(jìn)一步確認(rèn)設(shè)備問題。

企圖類告警需格外謹(jǐn)慎，可能是“已經(jīng)成功”。

1.告警主要包括：后門程序、代碼行為、命令執(zhí)行行為。

2.資產(chǎn)屬性+流量確認(rèn)。

3.綜合判斷告警是否成功（成功的話就需要提供證據(jù)給規(guī)則反饋）。

4.上級排查與客戶一起進(jìn)一步確認(rèn)設(shè)備問題。

爆破攻擊告警需格外謹(jǐn)慎，可能是“正在進(jìn)行時”。

1.告警主要包括：客戶對外端口的服務(wù)對外開放。

2.資產(chǎn)屬性+流量確認(rèn)。

3.綜合判斷業(yè)務(wù)是否對外開放（及時確認(rèn)是否需要規(guī)避風(fēng)險點）。

成功失陷追仔細(xì)，可能是”溯源不夠細(xì)致，遺漏蛛絲馬跡“。

1.告警主要包括：成功+失陷的告警。

2.資產(chǎn)屬性+流量確認(rèn)+告警確認(rèn)+數(shù)據(jù)分析+兄弟產(chǎn)品跟進(jìn)。

3.協(xié)助客戶上機(jī)排查，書寫防守或溯源報告。

《黑客&網(wǎng)絡(luò)安全入門&進(jìn)階學(xué)習(xí)資源包》分享

常見溯源方式

在發(fā)現(xiàn)資產(chǎn)被攻擊之后，防守方需要及時進(jìn)行溯源和排查，通常情況下，溯源需要獲取到目標(biāo)攻擊者的一部分個人信息，比如手機(jī)號，郵箱，QQ 號，微信號等，通過這些信息在互聯(lián)網(wǎng)可以進(jìn)一步追溯攻擊者的更多暴露信息。方便進(jìn)一步溯源，下述介紹了一些整理了一些常見的方法和工具。

1. 域名、ip 反查目標(biāo)個人信息

首先通過威脅情報平臺確認(rèn)攻擊ip是否為威脅 ip，常用的平臺通常有如下

https://x.threatbook.cn/ 微步在線威脅情報社區(qū)

https://ti.qianxin.com/ 奇安信威脅情報中心

https://ti.#/ 360威脅情報中心

https://www.venuseye.com.cn/ ?VenusEye威脅情報中心

當(dāng)發(fā)現(xiàn)IP的為攻擊IP后，可以嘗試通過此IP去溯源攻擊者，具體實現(xiàn)過程通常會用到下述方法：

1.ip 反查域名

2.域名查 whois 注冊信息

3.域名查備案信息、反查郵箱、反查注冊人

4.郵箱反查下屬域名

5.注冊人反查下屬域名

2. 攻擊者ID等方式追蹤

定位到攻擊者ip后，可以通過sgk、社交軟件、指紋庫等其它方式捕獲到攻擊者個人社交賬號捕獲到更精準(zhǔn)的敏感信息，可以采取以下思路。

1.支付寶轉(zhuǎn)賬，確定目標(biāo)姓氏

2.進(jìn)行QQ賬號、論壇、貼吧、等同名方式去搜索

3.淘寶找回密碼，確定目標(biāo)名字

4.企業(yè)微信手機(jī)號查公司名稱

5.度娘、谷歌、src、微博、微信、知乎、脈脈等知道的各大平臺上搜索

3. 通過攻擊程序分析

攻擊者如果在惡意攻擊過程中對目標(biāo)資產(chǎn)上傳攻擊程序（如后門、惡意腳本、釣魚程序等），我們可通過對攻擊者上傳的惡意程序進(jìn)行分析，并通過IP定位等技術(shù)手段對攻擊進(jìn)行分析溯源，常用的惡意程序分析網(wǎng)站有：

微步在線云沙箱：https://s.threatbook.cn/ 騰訊哈勃：https://habo.qq.com/ Virustotal：https://www.virustotal.com/gui/home/upload 火眼：https://fireeye.ijinshan.com 魔盾安全分析：https://www.maldun.com/analysis/

4. ?蜜罐

蜜罐技術(shù)本質(zhì)上是一種對攻擊方進(jìn)行欺騙的技術(shù)，通過布置一些作為誘餌的主機(jī)、網(wǎng)絡(luò)服務(wù)或者信息，誘使攻擊方對它們實施攻擊，從而可以對攻擊行為進(jìn)行捕獲和分析，了解攻擊方所使用的工具與方法，推測攻擊意圖和動機(jī)，能夠讓防御方清晰地了解他們所面對的安全威脅，并通過技術(shù)和管理手段來增強(qiáng)實際系統(tǒng)的安全防護(hù)能力。

蜜罐溯源的兩種常見方式：

一種是在偽裝的網(wǎng)站上插入特定的js文件，該js文件使用攻擊者瀏覽器中緩存的cookies去對各大社交系統(tǒng)的jsonp接口獲取攻擊者的ID和手機(jī)號等。另一種是在偽裝的網(wǎng)站上顯示需要下載某插件，該插件一般為反制木馬，控制了攻擊者的主機(jī)后查詢敏感文件、瀏覽器訪問記錄等個人敏感信息從而鎖定攻擊者。

5. ?常見案例鏈接分享

整理了一下常見的溯源案例鏈接，希望能對大家起到幫助

https://www.freebuf.com/articles/web/246060.html ?//記一次蜜罐溯源

https://www.freebuf.com/articles/web/254538.html ?//從溯源中學(xué)到新姿勢

https://www.secpulse.com/archives/141438.html ?//藍(lán)隊實戰(zhàn)溯源反制手冊分享

https://blog.csdn.net/u014789708/article/details/104938252 ?//記一次溯源惡意ip僵尸網(wǎng)絡(luò)主機(jī)的全過程

https://mp.weixin.qq.com/s/xW2u4s8xCTnLCkpDoK5Yzw ?//記一次反制追蹤溯本求源

《護(hù)網(wǎng)學(xué)習(xí)資料領(lǐng)取》

常見反制方式

通過蜜罐反制

主要就是下述反制手段做操作

1.可克隆相關(guān)系統(tǒng)頁面，偽裝“漏洞”系統(tǒng)

2.互聯(lián)網(wǎng)端投餌，一般會在Github、Gitee、Coding上投放蜜標(biāo)（有可能是個單獨的網(wǎng)站地址、也有可能是個密碼本引誘中招）

3.利用JSONP、XSS、CSRF等前端類漏洞獲取訪問蜜標(biāo)的攻擊者網(wǎng)絡(luò)身份（網(wǎng)絡(luò)畫像）

郵件釣魚反制

安全防護(hù)基礎(chǔ)較好的廠商，一般來說除了出動0day，物理近源滲透以外，最常見的就是郵件釣魚了，在廠商收到郵件釣魚的情況下，我們可以采取化被動為主動的方式，假裝咬鉤，實際上誘導(dǎo)攻擊者進(jìn)入蜜網(wǎng)。

滲透工具漏洞

可以嘗試挖掘蟻劍、冰蝎、菜刀、BurpSuite、SQLmap、AWVS的0day漏洞（需要一定的技術(shù)水平），或利用歷史漏洞部署相關(guān)環(huán)境進(jìn)行反打

盲打攻擊反制

攻擊者可能通過盲打漏洞方式來獲取權(quán)限，一般盲打都具備一個數(shù)據(jù)回傳接口（攻擊者需要接收Cookie之類的數(shù)據(jù)），接口在JavaScript代碼中是可以尋找到的，我們可以利用數(shù)據(jù)回傳接口做以下兩件事情，并后續(xù)引導(dǎo)攻擊者進(jìn)入我們部署好的蜜罐。

1.打臟數(shù)據(jù)回傳給XSS平臺

2.打虛假數(shù)據(jù)回傳給XSS平臺

通過攻擊服務(wù)器端口/web 等漏洞

攻擊者可能是通過自己搭建的公網(wǎng)服務(wù)器進(jìn)行攻擊的，或者是通過此服務(wù)器與后門進(jìn)行通訊。其中服務(wù)器可能運行諸多服務(wù)，且未打補(bǔ)丁或設(shè)置強(qiáng)密碼，導(dǎo)致防守方可以進(jìn)行反打。

應(yīng)急響應(yīng)工具箱

在hvv期間，或者是在平常工作時間段，難免會碰到一些應(yīng)急場景，這里推薦GitHub上一個大佬的應(yīng)急工具箱，整合了諸多的分析文章和常見工具。

《護(hù)網(wǎng)學(xué)習(xí)資料領(lǐng)取》