在HVV期間，藍(lán)隊(duì)主要就是通過(guò)安全設(shè)備看告警信息，后續(xù)進(jìn)行分析研判得出結(jié)論及處置建議，在此期間要注意以下內(nèi)容。

內(nèi)網(wǎng)攻擊告警需格外謹(jǐn)慎，可能是進(jìn)行內(nèi)網(wǎng)滲透。

1.攻擊IP是內(nèi)網(wǎng)IP，攻擊行為不定，主要包括：掃描探測(cè)行為、爆破行為、命令執(zhí)行等漏掃行為。

2.資產(chǎn)屬性-內(nèi)網(wǎng)攻擊IP資產(chǎn)屬性。

3.研判告警行為是否為攻擊動(dòng)作，如弱口令、SQL注入漏洞可能是業(yè)務(wù)行為。

4.上級(jí)排查與客戶一起進(jìn)一步確認(rèn)設(shè)備問(wèn)題。

企圖類告警需格外謹(jǐn)慎，可能是“已經(jīng)成功”。

1.告警主要包括：后門程序、代碼行為、命令執(zhí)行行為。

2.資產(chǎn)屬性+流量確認(rèn)。

3.綜合判斷告警是否成功（成功的話就需要提供證據(jù)給規(guī)則反饋）。

4.上級(jí)排查與客戶一起進(jìn)一步確認(rèn)設(shè)備問(wèn)題。

爆破攻擊告警需格外謹(jǐn)慎，可能是“正在進(jìn)行時(shí)”。

1.告警主要包括：客戶對(duì)外端口的服務(wù)對(duì)外開放。

2.資產(chǎn)屬性+流量確認(rèn)。

3.綜合判斷業(yè)務(wù)是否對(duì)外開放（及時(shí)確認(rèn)是否需要規(guī)避風(fēng)險(xiǎn)點(diǎn)）。

成功失陷追仔細(xì)，可能是”溯源不夠細(xì)致，遺漏蛛絲馬跡“。

1.告警主要包括：成功+失陷的告警。

2.資產(chǎn)屬性+流量確認(rèn)+告警確認(rèn)+數(shù)據(jù)分析+兄弟產(chǎn)品跟進(jìn)。

3.協(xié)助客戶上機(jī)排查，書寫防守或溯源報(bào)告。

《黑客&網(wǎng)絡(luò)安全入門&進(jìn)階學(xué)習(xí)資源包》分享

常見(jiàn)溯源方式

在發(fā)現(xiàn)資產(chǎn)被攻擊之后，防守方需要及時(shí)進(jìn)行溯源和排查，通常情況下，溯源需要獲取到目標(biāo)攻擊者的一部分個(gè)人信息，比如手機(jī)號(hào)，郵箱，QQ 號(hào)，微信號(hào)等，通過(guò)這些信息在互聯(lián)網(wǎng)可以進(jìn)一步追溯攻擊者的更多暴露信息。方便進(jìn)一步溯源，下述介紹了一些整理了一些常見(jiàn)的方法和工具。

1. 域名、ip 反查目標(biāo)個(gè)人信息

首先通過(guò)威脅情報(bào)平臺(tái)確認(rèn)攻擊ip是否為威脅 ip，常用的平臺(tái)通常有如下

https://x.threatbook.cn/ 微步在線威脅情報(bào)社區(qū)

https://ti.qianxin.com/ 奇安信威脅情報(bào)中心

https://ti.#/ 360威脅情報(bào)中心

https://www.venuseye.com.cn/ ?VenusEye威脅情報(bào)中心

當(dāng)發(fā)現(xiàn)IP的為攻擊IP后，可以嘗試通過(guò)此IP去溯源攻擊者，具體實(shí)現(xiàn)過(guò)程通常會(huì)用到下述方法：

1.ip 反查域名

2.域名查 whois 注冊(cè)信息

3.域名查備案信息、反查郵箱、反查注冊(cè)人

4.郵箱反查下屬域名

5.注冊(cè)人反查下屬域名

2. 攻擊者ID等方式追蹤

定位到攻擊者ip后，可以通過(guò)sgk、社交軟件、指紋庫(kù)等其它方式捕獲到攻擊者個(gè)人社交賬號(hào)捕獲到更精準(zhǔn)的敏感信息，可以采取以下思路。

1.支付寶轉(zhuǎn)賬，確定目標(biāo)姓氏

2.進(jìn)行QQ賬號(hào)、論壇、貼吧、等同名方式去搜索

3.淘寶找回密碼，確定目標(biāo)名字

4.企業(yè)微信手機(jī)號(hào)查公司名稱

5.度娘、谷歌、src、微博、微信、知乎、脈脈等知道的各大平臺(tái)上搜索

3. 通過(guò)攻擊程序分析

攻擊者如果在惡意攻擊過(guò)程中對(duì)目標(biāo)資產(chǎn)上傳攻擊程序（如后門、惡意腳本、釣魚程序等），我們可通過(guò)對(duì)攻擊者上傳的惡意程序進(jìn)行分析，并通過(guò)IP定位等技術(shù)手段對(duì)攻擊進(jìn)行分析溯源，常用的惡意程序分析網(wǎng)站有：

微步在線云沙箱：https://s.threatbook.cn/ 騰訊哈勃：https://habo.qq.com/ Virustotal：https://www.virustotal.com/gui/home/upload 火眼：https://fireeye.ijinshan.com 魔盾安全分析：https://www.maldun.com/analysis/

4. ?蜜罐

蜜罐技術(shù)本質(zhì)上是一種對(duì)攻擊方進(jìn)行欺騙的技術(shù)，通過(guò)布置一些作為誘餌的主機(jī)、網(wǎng)絡(luò)服務(wù)或者信息，誘使攻擊方對(duì)它們實(shí)施攻擊，從而可以對(duì)攻擊行為進(jìn)行捕獲和分析，了解攻擊方所使用的工具與方法，推測(cè)攻擊意圖和動(dòng)機(jī)，能夠讓防御方清晰地了解他們所面對(duì)的安全威脅，并通過(guò)技術(shù)和管理手段來(lái)增強(qiáng)實(shí)際系統(tǒng)的安全防護(hù)能力。

蜜罐溯源的兩種常見(jiàn)方式：

一種是在偽裝的網(wǎng)站上插入特定的js文件，該js文件使用攻擊者瀏覽器中緩存的cookies去對(duì)各大社交系統(tǒng)的jsonp接口獲取攻擊者的ID和手機(jī)號(hào)等。另一種是在偽裝的網(wǎng)站上顯示需要下載某插件，該插件一般為反制木馬，控制了攻擊者的主機(jī)后查詢敏感文件、瀏覽器訪問(wèn)記錄等個(gè)人敏感信息從而鎖定攻擊者。

5. ?常見(jiàn)案例鏈接分享

整理了一下常見(jiàn)的溯源案例鏈接，希望能對(duì)大家起到幫助

https://www.freebuf.com/articles/web/246060.html ?//記一次蜜罐溯源

https://www.freebuf.com/articles/web/254538.html ?//從溯源中學(xué)到新姿勢(shì)

https://www.secpulse.com/archives/141438.html ?//藍(lán)隊(duì)實(shí)戰(zhàn)溯源反制手冊(cè)分享

https://blog.csdn.net/u014789708/article/details/104938252 ?//記一次溯源惡意ip僵尸網(wǎng)絡(luò)主機(jī)的全過(guò)程

https://mp.weixin.qq.com/s/xW2u4s8xCTnLCkpDoK5Yzw ?//記一次反制追蹤溯本求源

《護(hù)網(wǎng)學(xué)習(xí)資料領(lǐng)取》

常見(jiàn)反制方式

通過(guò)蜜罐反制

主要就是下述反制手段做操作

1.可克隆相關(guān)系統(tǒng)頁(yè)面，偽裝“漏洞”系統(tǒng)

2.互聯(lián)網(wǎng)端投餌，一般會(huì)在Github、Gitee、Coding上投放蜜標(biāo)（有可能是個(gè)單獨(dú)的網(wǎng)站地址、也有可能是個(gè)密碼本引誘中招）

3.利用JSONP、XSS、CSRF等前端類漏洞獲取訪問(wèn)蜜標(biāo)的攻擊者網(wǎng)絡(luò)身份（網(wǎng)絡(luò)畫像）

郵件釣魚反制

安全防護(hù)基礎(chǔ)較好的廠商，一般來(lái)說(shuō)除了出動(dòng)0day，物理近源滲透以外，最常見(jiàn)的就是郵件釣魚了，在廠商收到郵件釣魚的情況下，我們可以采取化被動(dòng)為主動(dòng)的方式，假裝咬鉤，實(shí)際上誘導(dǎo)攻擊者進(jìn)入蜜網(wǎng)。

滲透工具漏洞

可以嘗試挖掘蟻劍、冰蝎、菜刀、BurpSuite、SQLmap、AWVS的0day漏洞（需要一定的技術(shù)水平），或利用歷史漏洞部署相關(guān)環(huán)境進(jìn)行反打

盲打攻擊反制

攻擊者可能通過(guò)盲打漏洞方式來(lái)獲取權(quán)限，一般盲打都具備一個(gè)數(shù)據(jù)回傳接口（攻擊者需要接收Cookie之類的數(shù)據(jù)），接口在JavaScript代碼中是可以尋找到的，我們可以利用數(shù)據(jù)回傳接口做以下兩件事情，并后續(xù)引導(dǎo)攻擊者進(jìn)入我們部署好的蜜罐。

1.打臟數(shù)據(jù)回傳給XSS平臺(tái)

2.打虛假數(shù)據(jù)回傳給XSS平臺(tái)

通過(guò)攻擊服務(wù)器端口/web 等漏洞

攻擊者可能是通過(guò)自己搭建的公網(wǎng)服務(wù)器進(jìn)行攻擊的，或者是通過(guò)此服務(wù)器與后門進(jìn)行通訊。其中服務(wù)器可能運(yùn)行諸多服務(wù)，且未打補(bǔ)丁或設(shè)置強(qiáng)密碼，導(dǎo)致防守方可以進(jìn)行反打。

應(yīng)急響應(yīng)工具箱

在hvv期間，或者是在平常工作時(shí)間段，難免會(huì)碰到一些應(yīng)急場(chǎng)景，這里推薦GitHub上一個(gè)大佬的應(yīng)急工具箱，整合了諸多的分析文章和常見(jiàn)工具。

《護(hù)網(wǎng)學(xué)習(xí)資料領(lǐng)取》