攻防演练中一些心得总结（蓝队视角）

一. 监测

攻防演练开始前，要对监测设备的告警规则进行调优。

• 僵尸、木马、蠕虫、C2远控类告警可以直接忽略

• 挖矿病毒类告警视情况而定，如果时间充裕可以去处置

• 重点关注web层面的攻击，如SQL注入，命令执行、文件上传+中高危+攻击成功

• 各种高危CVE漏洞+攻击成功重点关注

• Webshell类告警单独设规则，设备上不一定显示攻击成功，可能显示尝试，但这并不代表它没有攻击成功，而要去看流量上下文，看命令执行和响应体，看是否持续访问固定webshell路径即关注频率

• 像类冰蝎Webshell类告警很有可能是魔改后的冰蝎马，需要持续关注

• 内存马需上机排查，在告警设备上的特征是持续告警攻击成功，但是路径不固定，响应体中无内容。上机排查关注error.log，使用脚本进行扫描。

• 真实场景中，由于网络拓扑环境错综复杂，简单的00，10判断方向往往失效，要随机应变

• frp、fscan、隧道流量单独设规则

二. 研判

一般进行研判的思路，就是通过流量上下文+手工验证+攻击频率次数来判断是否漏洞是否存在，是否攻击成功。
如下图，就可以判断访问webshell进行命令执行，可以判断攻击成功且上传了webshell：

又如最近的Nacos授权绕过漏洞，原始告警如下图：

通过查看流量原文可以确定攻击成功，如下图：

这里需要注意，很多告警如redis未授权，mongodb未授权等未授权漏洞攻击成功在流量上下文中不能体现，需要去手动验证。
如redis验证未授权redis-cli -p 端口 -h 受害者IP
其他未授权可以直接访问路径查看

但是即使你无法验证成功，也不能就研判为误报，而要结合攻击成功告警的频率（比如说它已经告警成功了20000+），很有可能由于网络拓扑的复杂，在你当前所处的环境中无法验证成功，此时可以让其他不同的网络环境中同事帮忙验证。

三. 应急溯源

攻防中大家分工明确，应急溯源分工又不是很明确，可能多个团队在做同一件事，所有沟通非常重要。

时效性非常重要，必须尽快出报告。

- end -

作者：捞起月亮的渔民， 来源：FreeBuf.COM

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END