護網(wǎng)交流細節(jié)版課件

1、護網(wǎng)交流目 錄CONTENTS護網(wǎng)簡介護網(wǎng)中攻擊方入侵思路護網(wǎng)防護方案總結(jié)護網(wǎng)簡介護網(wǎng)介紹攻擊方不會守規(guī)矩：12 天，攻擊時間段，工作日的 9:00-17:00；實際上攻擊方不會遵守時間規(guī)則，晚上和周末均會攻擊企業(yè)提交目標系統(tǒng)的意義：若目標系統(tǒng)被攻破，該企業(yè)護網(wǎng)失敗攻擊方式：遠程網(wǎng)絡(luò)入侵為主、現(xiàn)場社工可能存在護網(wǎng) 攻擊方規(guī)則發(fā)現(xiàn)漏洞不得分，利用漏洞獲取權(quán)限、數(shù)據(jù)、應(yīng)用訪問/管理權(quán)限才能得分：系統(tǒng)層權(quán)限（服務(wù)器、終端機等操作系統(tǒng)權(quán)限），設(shè)備管理權(quán)限（路由器、交換機、防火墻、打卡機、網(wǎng)絡(luò)電話、智能電視等設(shè)備）數(shù)據(jù)庫、服務(wù)器上敏感文件（數(shù)據(jù)庫賬戶、SQL 注入出數(shù)據(jù)、圖紙等）業(yè)務(wù)應(yīng)用訪問/管理權(quán)限（

2、web 后臺、數(shù)據(jù)庫、ftp 賬戶、郵箱等）所有帶有目標企業(yè) title，logo 的資產(chǎn)均得分，也會扣相應(yīng)分數(shù)額外有 1 個非常重要系統(tǒng)列表，若被選擇進入，則企業(yè)成為所有攻擊隊伍的目標 國家電網(wǎng)的配電自動化系統(tǒng)、工商銀行的核心業(yè)務(wù)系統(tǒng)、華電集團的分散控制系統(tǒng) DCS、中石油的油氣調(diào)控系統(tǒng)、鐵路總公司的鄭州局集團公司列車調(diào)度指揮系統(tǒng)/調(diào)度集中系統(tǒng)明確規(guī)定了攻擊方不允許搞破壞禁止行為：DoS，ARP、DHCP 欺騙，DNS 劫持，收買目標人員，物理攻擊等護網(wǎng) 防守方規(guī)則每個目標企業(yè)基礎(chǔ)分為 5000 分，在此基礎(chǔ)上加減分維持在原分數(shù)名次會很低，拿分很重要攻擊方提交報告 1 小時內(nèi)，防守方發(fā)現(xiàn)來自

3、攻擊方的行為并上報，將不扣分；實際上攻擊方不會立馬提交成果，要么目標拿到滿分之后提交，要么最后一天才會提交護網(wǎng) 防守方規(guī)則減分項類型分類賦值備注獲取權(quán)限被獲取終端計算機權(quán)限10 分/臺累計不超過 200 分被獲取 webshell 權(quán)限20 分/個，特別重要的附加 20 分累計不超過 300 分被獲取業(yè)務(wù)內(nèi)網(wǎng)郵箱、FTP 應(yīng)用、WEB 應(yīng)用系統(tǒng)、數(shù)據(jù)庫遠程訪問、互聯(lián)網(wǎng)VPN接入系統(tǒng)的賬號密碼普通權(quán)限 20 分/個管理員 60 分/個特別重要的，附加 60 分同一設(shè)備兩種權(quán)限扣分取高值，累計不超過 800 分被獲取 WEB 應(yīng)用系統(tǒng)服務(wù)器、郵件服務(wù)器、數(shù)據(jù)庫服務(wù)器等權(quán)限普通權(quán)限 60 分/個管理

4、員 100 分/個特別重要的，附加 100 分兩種權(quán)限扣分取高值，累計不超過 1200 分被獲取域控服務(wù)器權(quán)限管理員 300 分，特別重要的，附加 300 分累計不超過 3000 分被獲取路由器、交換機、防火墻等網(wǎng)絡(luò)設(shè)備權(quán)限接入層：50 分匯聚層：100 分特別重要的，附加 100-200 分累計不超過 1000 分被獲取其他設(shè)備權(quán)限/由裁判組核定數(shù)據(jù)、敏感信息無明確扣分規(guī)則抗減分的一些技巧前提：公安部會將扣分項細節(jié)下發(fā)非所屬資產(chǎn)（合作企業(yè)運營的資產(chǎn)帶了行方 logo，之前屬于現(xiàn)在不屬于的資產(chǎn)等）一定要上訴裁判認為是敏感數(shù)據(jù)的非數(shù)據(jù)庫扣分項要選擇性上訴某些測試、調(diào)試接口是否為沙箱若攻擊方提供的

5、報告是內(nèi)網(wǎng)資產(chǎn)，要求證明是我方資產(chǎn)規(guī)則嚴謹態(tài)度無確鑿證據(jù)絕不承認護網(wǎng) 防守方規(guī)則加分項工作階段得分標準賦值備注發(fā)現(xiàn)攻擊發(fā)現(xiàn)木馬攻擊50 分/個得分累計不超過 500 分，提交攔截證據(jù)截圖發(fā)現(xiàn)釣魚郵件20 分/個得分累計不超過 200 分，提交分析報告和eml 格式文件發(fā)現(xiàn)漏洞攻擊50 分/個得分累計不超過 500 分，提交分析報告和攻擊負載附件發(fā)現(xiàn)其他攻擊（工控系統(tǒng)等）/由裁判組核定給分消除威脅處置 webshell 木馬或主機木馬程序50 分/個得分累計不超過 500 分，提交分析報告，包括木馬樣本及分析報告、控制流量證據(jù)等處置 web 系統(tǒng)、FTP 等異常新增賬號，處置被爆破賬號密碼20

6、分/個得分累計不超過 200 分，提交分析報告，包括賬號異常登陸源 IP、審計日志證據(jù)、異常登陸流量證據(jù)等。處置主機異常新增賬號，處置被爆破賬號密碼50 分/個得分累計不超過 500 分，提交分析報告，包括賬號異常登陸源 IP、系統(tǒng)審計日志證據(jù)、異常登陸流量證據(jù)等。消除其他威脅（工控系統(tǒng)等）/由裁判組核定給分配合應(yīng)急處置積極配合應(yīng)急組工作，根據(jù)線索能快速準確定位受害系統(tǒng)，能提供充分的日志記錄，配合執(zhí)法機關(guān)固定證據(jù)完成勘驗高效完成：+300一般：+200差：-100最高 300 分，最低 -100 分拿分的一些技巧關(guān)注文件沙箱的告警日志，分析到應(yīng)用/郵箱服務(wù)器流量中的樣本關(guān)注高危漏洞告警，比如反

7、序列化，注入類漏洞，系統(tǒng)層獲取權(quán)限類漏洞規(guī)則按照標準，證據(jù)充分經(jīng)驗封 IP 是簡單有效的攔截方式；但不建議一段一段的封，大段封禁屬于傷敵八百自損八千內(nèi)網(wǎng)防護十分重要公安部會提供國內(nèi) VPS 給攻擊方，但大概率不會用，而會用自己的 VPS，基本在美國和東南亞；遇到國外攻擊地址一律封禁，雖得不了分但具有真實防護效果漏洞利用攻擊和木馬攻擊是主要得分點，盡量分拿滿沙箱設(shè)備，能覆蓋木馬攻擊和郵件攻擊，建議從應(yīng)急組抽人專職做樣本分析英文釣魚郵件、來自國外地址的釣魚郵件無需關(guān)注，拿不了分掃描事件不得分，掃描和真實漏洞利用的 payload 有區(qū)別，裁判不傻提交給公安部的報告關(guān)鍵內(nèi)容：源 IP，事件類型，流量

8、分析（全流量），有樣本需分析樣本并附上樣本；切忌只截設(shè)備告警圖團隊溝通以微信群溝通效率更高護網(wǎng)中攻擊方入侵思路每支隊伍 3-4 人，在一間會議室里出口 IP 全國變化，無明顯規(guī)律護網(wǎng)攻擊方工作開展工作方式信息收集、掃描、漏洞利用、內(nèi)網(wǎng)滲透等攻擊方式入侵案例攻擊思路社會工程學(xué)弱口令廢棄資產(chǎn)數(shù)據(jù)庫邊角系統(tǒng)Wi-Fi入侵痕跡APPVPN上傳 getshell子域名注入攻擊NdayRCE口令弱口令常見弱口令 top xxx測試賬戶預(yù)測口令口令規(guī)律Hu%x(0d241（IP 地址）devpdrs2013（年份）企業(yè)特征口令Nsfocus123Nsfocus*()口令復(fù)用默認口令huaweiadmin批量

9、 SSH 口令一致賬戶名常用管理賬戶名手機號人名相關(guān)中國人名拼音 top 100Liyuan.ssd入侵到內(nèi)網(wǎng)之后翻文件環(huán)境變量Bash_history.ssh網(wǎng)絡(luò)連接訪問歷史后門部署系統(tǒng)信息內(nèi)網(wǎng)端口掃描文件上傳跳板選擇內(nèi)網(wǎng)漏洞挖掘Dumphash主機發(fā)現(xiàn)攻擊域控口令復(fù)用權(quán)限提升部署代理1攻擊點2333典型攻擊途徑護網(wǎng)防護方案紅隊服務(wù)防護方案入侵事件分析與響應(yīng)總結(jié)匯報階段團隊組建角色及職能運營流程隱患自查資產(chǎn)梳理應(yīng)急預(yù)案梳理暴露面檢查賬戶檢查資產(chǎn)安全評估入侵痕跡排查泄露信息收集安全意識培訓(xùn)防護能力評估防護措施落地運維策略添加安全設(shè)備部署根據(jù)攻擊者入侵特征分析掃描行為破解行為遠程代碼執(zhí)行漏洞利用

10、行為木馬上傳及木馬通信行為多產(chǎn)品聯(lián)合分析TAC、ID/PS、WAFESPC、TAM蜜罐、HIDS應(yīng)急響應(yīng)策略調(diào)優(yōu)攻擊者分析時間維度分析攻擊趨勢事件與日志分析攻擊者手段防護策略缺陷分析及改進建議安全制度訪問控制安全意識演練方案計劃階段調(diào)研基礎(chǔ)信息設(shè)定組織機構(gòu)指定演練規(guī)則確定時間節(jié)點準備階段人員落實基礎(chǔ)設(shè)施準備啟動會及保密協(xié)議簽訂演練階段總結(jié)階段總結(jié)復(fù)盤輸出總結(jié)報告防護團隊協(xié)作流程組織及運營流程角色主要職責(zé)紅隊總指揮1、協(xié)調(diào)監(jiān)測報告組和應(yīng)急處置組之間的工作；2、協(xié)調(diào)與客戶業(yè)務(wù)人員及維護人員對接工作；3、每日整理日報及次日工作計劃；4、組織開展總結(jié)復(fù)盤會議并把關(guān)總結(jié)報告文檔。監(jiān)測組1、分析所監(jiān)測的設(shè)備及平臺產(chǎn)生的安全日志，挖掘入侵事件，填寫入侵事件分析報告提交給應(yīng)急處置組。2、接受應(yīng)急處置組的防護策略調(diào)整方案，并調(diào)整防護策略。處置組1、確認事件是否由正常業(yè)務(wù)引起，對真實攻擊根據(jù)事件定級按次序進行應(yīng)急，完成后編寫提交應(yīng)急處置報告；2、防護調(diào)整策略輸出到監(jiān)測報告組，配合業(yè)務(wù)部門修補漏洞。紅隊總指揮處置組監(jiān)測組護網(wǎng)準備資產(chǎn)梳理下線關(guān)停梳理與排查系統(tǒng)排查現(xiàn)有配置協(xié)調(diào)廠商借用防護設(shè)備部署漏洞掃描與修復(fù)弱口令排查藍隊模擬入侵安全評估內(nèi)部會議與各廠商提前溝通開會宣貫人員組織防護設(shè)備檢測類：Web 防火墻網(wǎng)絡(luò)入侵檢測文件沙箱HIDS溯