如何做好一名优秀的蓝队(内网防御篇) - 专业教学文档

如何做好一名优秀的蓝队(内网防御篇) - 专业教学文档 0x00 前言 随着网络安全形势日益严峻，内网防御成为蓝队工作的重中之重。本文基于ATT&CK模型和实际案例，从执行、持久化、权限提升三个模块深入分析内网攻击手法，并提供针对性的防御策略。 0x01 执行阶段防御 攻击手法分析 内网执行阶段主要面临两大威胁： 无文件落地Webshell(内存马) 实体恶意软件执行 防御策略 1. 流量挖掘技术 1.1 态势感知系统利用 使用微步、深信服态势感知、天眼等产品 通过流量测绘系统梳理上传接口 对所有上传文件进行严格审计 1.2 流量包特征分析 关键特征搜索： Content-Type: multipart/form-data; ------WebKitFormBoundary name="file" 文件头特征(如504b等十六进制特征) 2. 沙箱分析技术 获取可疑文件后的处理流程： 立即进行文件打包，防止二次传染 使用沙箱或病毒查杀工具进行快速扫描 发现可疑行为立即封禁拦截 推荐分析平台： VirSCAN: https://www.virscan.org VirusTotal: https://www.virustotal.com NoDistribute: http://nodistribute.com 微步在线云沙箱: https://s.threatbook.cn 腾讯哈勃分析系统: https://habo.qq.com 奇安信威胁情报中心: https://ti.qianxin.com 大圣云沙箱检测系统: https://mac-cloud.riskivy.com 0x02 持久化阶段防御 攻击手法分析 攻击者在内网建立持久化通道的常见方式： 计划任务 服务创建 注册表修改 启动文件夹利用 WMI事件订阅 防御策略 1. 系统监控与审计 1.1 计划任务监控 监控 schtasks 命令执行 审计计划任务创建/修改日志 建立计划任务白名单机制 1.2 服务创建监控 监控 sc create 等命令 审计服务创建事件ID 7045 实施服务创建审批流程 1.3 注册表监控 监控注册表关键路径： HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Run 审计注册表修改事件 2. 文件系统防护 监控启动文件夹( %appdata%\Microsoft\Windows\Start Menu\Programs\Startup ) 实施文件完整性监控(FIM) 限制可执行文件写入系统目录权限 3. WMI防御 监控WMI事件订阅创建 审计WMI活动日志 限制普通用户WMI操作权限 0x03 权限提升防御 攻击手法分析 内网权限提升常见手法： 漏洞利用(如Windows本地提权漏洞) 令牌窃取 凭据转储 服务配置滥用 DLL劫持 防御策略 1. 漏洞管理 定期进行漏洞扫描与评估 及时安装安全补丁 实施漏洞优先级排序修复策略 对无法修复的系统实施补偿性控制 2. 凭据保护 2.1 凭据转储防御 监控敏感进程访问(如lsass.exe) 启用LSA保护(设置注册表 RunAsPPL ) 限制调试权限分配 2.2 令牌窃取防御 监控令牌复制行为 限制 SeDebugPrivilege 等特权分配 实施最小权限原则 3. 服务配置加固 定期审计服务权限配置 限制服务账户权限 监控服务二进制路径修改 4. DLL劫持防护 启用DLL搜索顺序安全机制 监控DLL加载行为 实施DLL白名单 0x04 综合防御建议 纵深防御体系 实施网络分层隔离 建立多因素认证机制 部署终端检测与响应(EDR)系统 日志集中管理 收集所有安全相关日志 建立SIEM系统进行关联分析 设置关键事件告警阈值 威胁情报利用 订阅高质量威胁情报源 将IOC纳入检测规则 定期更新检测签名 红蓝对抗演练 定期进行内部渗透测试 模拟真实攻击场景 持续优化防御策略 人员培训 定期进行安全意识培训 培养专业安全分析人员 建立应急响应流程 通过以上多层次的防御措施，蓝队可以有效提升内网安全防护能力，及时发现和阻断攻击者的内网横向移动和权限提升行为。