网络安全蓝队面试进阶知识全解析
应急响应流程
1. 初步判断与隔离
- 首先评估服务器资产、影响范围和严重程度
- 决定是否需要将服务器下线隔离
- 根据失陷时间和态势感知告警判断入侵漏洞来源
2. 取证排查阶段
- Web漏洞:检查web日志,根据失陷时间节点排查webshell上传
- 后门检查:查找恶意命令执行、文件上传痕迹
- 恶意文件分析:将可疑.exe文件提交微步社区等平台分析
- Webshell查杀:使用D盾、河马等工具
3. 横向排查
- 检查其他主机是否有相同攻击迹象
- 排查可疑进程、端口、自启动项
- 使用火绒剑检查异常外联
4. 攻击路径还原
- 分析日志和流量数据
- 确定攻击路径和漏洞点
- 切断攻击路径
5. 持续监控
- 观察是否有流量反连
- 检查是否存在内存马
6. 溯源分析
- 根据样本分析到的IP地址进行信息收集
- 检查个人ID泄漏情况
- 搜索社交平台获取攻击者个人信息
- 利用蜜罐系统反制
- 绘制攻击者画像
7. 反制措施
- 尝试攻击攻击者服务器
- 爆破攻击者CS服务器密码
- 利用CS漏洞获取攻击者服务器权限
拒绝服务攻击(DDOS)类型与防御
攻击类型
- CC攻击:借助代理服务器生成指向受害主机的合法请求
- SYN攻击:利用TCP三次握手设计缺陷
- 纯流量攻击:发送大量垃圾流量
防御方案
- 负载均衡
- 购买流量清洗服务
- 安装WAF
- 购买高防设备
水坑攻击与鱼叉攻击
水坑攻击
- 攻击者分析受害者常访问网站,寻找弱点植入攻击代码
- 等待受害者访问触发
- 利用信任关系提高成功率
鱼叉攻击
- 利用木马程序作为电子邮件附件
- 诱导受害者打开附件感染木马
钓鱼伪造技术
- 文件icon伪造:使用RerouseHack等工具
- 邮件绕过:压缩钓鱼文件并设置解压密码
- Windows特性利用:文件名过长隐藏后缀,添加多个空格
设备误报处理
- 外网误报:安全设备需要策略升级,无需处置
- 内网误报:与负责人协商,必要时添加白名单
误报判断方法
-
内网IP:
- 有明显恶意请求(如ipconfig)可能服务器已失陷
- 业务逻辑问题可能导致误报
-
外网IP:
- 对比请求包和响应包内容
- 如SQL查询用户名密码且响应包返回相应内容,则为恶意攻击
大流量告警分析思路
1. 监控分类
- 外网告警:有明显攻击行为可能是工具扫描,可封禁恶意IP
- 内网告警:确认是否为安全测试或自动化脚本
- 确认恶意攻击:进入应急响应流程
2. 策略优化
- 1类告警:已失陷或疑似失陷的高危告警,7*24h监控
- 2类告警:利用SOAR平台自动封禁IP
- 3类告警:人工分析确认,半小时内完成研判
挖矿事件应急处置
- 执行top命令检查CPU占用
- 查找恶意文件样本并确定运行时间
- 获取恶意域名确定木马类型
- 处理异常进程并删除恶意文件
- 排查可疑计划任务和自启动项
勒索病毒应急处置
- 物理断网、隔离主机
- 判断病毒存活(创建测试文件观察是否被加密)
- 排查业务系统,了解加密时间、范围和影响
- 根据预留文件/邮箱判断攻击团伙
- 分析勒索程序获取IP/域名信息
- 上传勒索程序到360、深信服等平台尝试解密
钓鱼邮件应急处置
- 将受害主机断网隔离,全盘病毒查杀
- 查看邮件原文:
- 发送工具平台指纹
- 发送IP地址
- 根据域名寻找邮件服务器
- 查找个人ID信息用于社工
- 上机排查:
- netstat查外联
- 进程定位查找文件位置
Webshell排查处置
- 工具排查:D盾、河马
- 手工排查:对比备份文件MD5值
- 设备告警确认:文件上传路径和木马文件名
- 时间分析:通过创建时间判断攻击时间范围
- 日志分析:查找攻击路径和失陷原因
- 漏洞分析:确定导致webshell的漏洞
- 漏洞复现:还原攻击路径
内存马应急排查
- 进程分析:查找异常进程
- 系统日志分析:查看可疑行为
- 内存分析工具:Volatility Framework等
- 网络监测:Wireshark等捕获可疑流量
- 安全软件扫描:全面扫描检测
内存马原理及排查思路
特点
- 访问任意/指定URL带参数即可执行命令
- 无文件落地
- HTTP请求流量中看不到执行结果
传统Web应用内存马
-
PHP内存马:
- 不断删除自身文件并写入木马
- 使用set_time_limit()、ignore_user_abort()、unlink()函数
-
Java内存马:
- 利用Spring容器三大组件(servlet、listener、filter)
- 在相应方法中写入木马
Agent型内存马
- premain方法:JVM启动前加载
- agentmain方法:JVM启动后利用attach修改字节码
查杀手段
- 利用Java Agent技术遍历内存中的class
- 具体查杀思路:
- 排查jsp访问请求
- 检查中间件error.log
- 分析web日志查找可疑请求
- 检查classloader路径下无对应class文件
- 使用findshell等工具检测
暴力破解研判
- 请求次数异常:与正常请求次数有明显差距
- 特征字符:如smb协议暴力破解的关键字
蜜罐识别方法
- 查看页面源代码中的长段js加密代码
- 使用360网络空间测绘查询
攻击成功判断方法
SQL注入
- 请求包中有SQL语句
- 响应包有执行成功回显
命令执行
- 请求包中有系统命令(如ipconfig)
- 响应包有相关回显内容
SSRF(无明显回显)
- 尝试复现验证
- 检查日志看探测目标是否有流量交互
常见攻击流量特征
SQLMap
- 关键字特征:user-agent、xss测试语句、随机数位数
- 攻击流程顺序和规律
- payload测试语句模板特征
Cobalt Strike
- 心跳包60s
- 默认端口50050
- 0.0.0.0是DNS Beacon特征
HTTP特征:
- 源码特征:Wireshark抓包后提取URL路径用checksum8解密
- 使用流量样本解密心跳请求
HTTPS特征:
- ja3/ja3s值一致
Log4j
- 数据包中有"${jndi:"字段
Shiro
- 数据包含多个
\[$符号 - C参数含base64编码 ### Fastjson - 构造json字符用@type指定类库 - 流量特征为json autotype ### Weblogic - XML反序列化漏洞 - T3协议特征 - 文件操作有fileoutstream字段 ## 内网横向攻击应对 1. 确定攻击来源:是否为内部误操作 2. 确认攻击后: - 结合时间点分析设备信息 - 检查安全事件、进程、流量 3. 找到问题主机启动应急响应流程: - 准备、检测、遏制、根除、恢复、跟踪 4. 由现场运维处理具体操作 ## 0day攻击应对 ### 未被攻击 1. 评估0day影响范围 2. 扩大情报网,通知甲方 3. 自检:确认利用方式和版本风险 4. 添加规则和补丁 5. 加强相关流量监控 ### 遭遇攻击 1. 分析poc执行后的日志痕迹 2. 从Windows事件日志(event_id 4769)入手编写规则 3. 利用SIEM或日志分析平台建立防线 4. 了解哪些资产易受0day攻击 5. 关注后续高危行为: - 异常文件落地 - 异常外联 - 异常进程 6. 结合设备告警确认攻击IP 7. 追踪日志确认攻击路径和手段 ## 0day监测方法 1. **流量/日志分析**:查找异常流量并追溯 2. **签名检测**: - 基于内容的标记 - 基于语义的标记 - 由漏洞驱动的标记 3. **行为检测**: - 异常函数调用 - 异常命令执行 - 异常外联和进程 ## 溯源技术 ### 调查级别 1. 攻击路径调查 2. 攻击团伙调查 3. 攻击人员调查 ### 攻击路径调查 1. **攻击源捕获**: - 设备告警 - 日志流量分析 - 蜜罐系统 2. **定位目标**: - 精准IP定位 - 查询历史漏洞 - 逆向判断攻击手段 ### 攻击人员调查 1. **ID追踪术**: - 搜索引擎、社交平台、技术论坛、社工库 2. **具体技巧**: - 域名/IP反查 - 支付宝转账确定姓氏 - 淘宝找回密码确定名字 - 企业微信查公司 - REG007查注册应用 - 程序PDB信息泄露 - SRC排行榜和社交平台追踪 ### 溯源技巧 1. 从攻击IP、类型、恶意文件、攻击详情入手 2. 通过威胁情报查询判断IP真实性 3. 优先级判断: - 端口扫描:个人VPS或空间搜索引擎 - 命令执行:未经隐匿的网络或肉鸡 - 爬虫:空间搜索引擎(最后处理) ## 通用入侵检测方案 ### 1. 流量检测 1. **威胁情报IOC检测**:标记为活跃攻击源或C&C服务器 2. **流量特征检测**:匹配已知威胁特征码 3. **异常流量检测**:异地登录、频繁尝试等 ### 2. 行为检测 1. **可疑程序执行**:零信任模型、非白即黑模型 2. **可疑shell执行**:持久化脚本如powershell 3. **异常行为检测**:频繁文件读取、后门账号创建等 ### 3. 痕迹检测 1. **可疑程序检测**:遗留恶意程序 2. **持久化攻击检测**:自启动服务检查 3. **安全日志检测**:登录成功/失败事件 4. **日志完整性检测**:日志被清空或部分删除\]