大家都很迷茫
夏日的炎热,让我不禁回忆起那个充满梦幻的春天。时光匆匆,多年过去了,我在这个繁忙的都市里,依然怀念着过去的美好。人们匆忙的脚步,仿佛掩盖了曾经的炽热心灵。
我站在高楼的阳台上,望着远方的天空。晚风轻轻拂过我的脸庞,仿佛是曾经的你在给我温暖的拥抱。我想起了那个曾经的田野,那里我们一起等待着春天的到来。那时的我们,年轻而热情,充满了对未来的期待。
然而现实是残酷的,岁月的流逝让我们逐渐失去了那份炽热的心。生活的琐碎和压力让我们渐渐迷失了自己。曾经的梦想变得遥不可及,我们不得不面对现实的残酷。
多年以后的今天,偶尔会想起那段美好的时光。我们曾经拥有的炽热的心,也让我感到无尽的惋惜。或许我们该怎么告别呢?告别过去的梦想,告别曾经的热情,告别那个年轻的自己。
然而,我知道,告别并不意味着忘记。我们可以告别过去的梦想,但我们不能放弃对未来的希望。就像夜空中的星星一样,即使被云层遮掩,也依然闪烁着光芒。
我决定重新点燃心中的火焰,追逐自己的梦想。就算这一生纯属虚构,我也要在这荒芜的田野等待春天的到来。我将把埋在土里的疼痛再翻一遍,用它们来铸造坚强的意志。
告别不是终结,而是新的开始。我将告别过去的自己,告别曾经的热情,告别那个年轻的心灵。但我不会告别对梦想的追求,对未来的期待。
我相信,即使岁月已逝,我们依然可以重新找回曾经的炽热心灵。让我们告别过去的束缚,勇敢地迎接未来的挑战。无论是风雨还是艳阳,我们都要坚持前行,直到实现自己的梦想。
告别不是终结,而是新的开始。让我们重新点燃心中的火焰,勇敢地追逐梦想。这一生或许纯属虚构,但我们可以用真实的行动去书写属于自己的故事。让我们告别过去的疲惫,告别曾经的迷茫,告别那个停留在昨天的自己。
告别不是终结,而是新的开始。让我们重新定义自己,勇往直前,追逐属于自己的春天。无论风雨如何,我们都要坚持,直到实现自己的梦想。这一生纯属虚构,但我们可以用真实的行动去书写属于自己的传奇
内网攻击告警需格外谨慎
攻击IP是内网IP,攻击行为不定,主要包括:扫描探测行为、爆破行为、命令执行等漏扫行为。
资产属性-内网攻击IP资产属性。
研判告警行为是否为攻击动作,如弱口令、SQL注入漏洞可能是业务行为。
上级排查与客户一起进一步确认设备问题。
企图类告警需格外谨慎
告警主要包括:后门程序、代码行为、命令执行行为。
资产属性+流量确认。
综合判断告警是否成功(成功的话就需要提供证据给规则反馈)。
上级排查与客户一起进一步确认设备问题。
爆破攻击告警需格外谨慎
告警主要包括:客户对外端口的服务对外开放。
资产属性+流量确认。
综合判断业务是否对外开放(及时确认是否需要规避风险点)。
成功失陷追仔细
告警主要包括:成功+失陷的告警。
资产属性+流量确认+告警确认+数据分析+兄弟产品跟进。
协助客户上机排查,书写防守或溯源报告。
##常见溯源方式
在发现资产被攻击之后,防守方需要及时进行溯源和排查,通常情况下,溯源需要获取到目标攻击者的一部分个人信息,比如手机号,邮箱,QQ 号,微信号等,通过这些信息在互联网可以进一步追溯攻击者的更多暴露信息。方便进一步溯源,下述介绍了一些整理了一些常见的方法和工具。
- 域名、ip 反查目标个人信息
首先通过威胁情报平台确认攻击ip是否为威胁 ip,常用的平台通常有如下
https://x.threatbook.cn/ 微步在线威胁情报社区
https://ti.qianxin.com/ 奇安信威胁情报中心
https://ti.360.cn/ 360威胁情报中心
https://www.venuseye.com.cn/ VenusEye威胁情报中心
当发现IP的为攻击IP后,可以尝试通过此IP去溯源攻击者,具体实现过程通常会用到下述方法:
1.ip 反查域名
2.域名查 whois 注册信息
3.域名查备案信息、反查邮箱、反查注册人
4.邮箱反查下属域名
5.注册人反查下属域名
- 攻击者ID等方式追踪
定位到攻击者ip后,可以通过sgk、社交软件、指纹库等其它方式捕获到攻击者个人社交账号捕获到更精准的敏感信息,可以采取以下思路。
1.支付宝转账,确定目标姓氏
2.进行QQ账号、论坛、贴吧、等同名方式去搜索
3.淘宝找回密码,确定目标名字
4.企业微信手机号查公司名称
5.度娘、谷歌、src、微博、微信、知乎、脉脉等知道的各大平台上搜索
- 通过攻击程序分析
攻击者如果在恶意攻击过程中对目标资产上传攻击程序(如后门、恶意脚本、钓鱼程序等),我们可通过对攻击者上传的恶意程序进行分析,并通过IP定位等技术手段对攻击进行分析溯源,常用的恶意程序分析网站有:
微步在线云沙箱:https://s.threatbook.cn/
腾讯哈勃:https://habo.qq.com/
Virustotal:https://www.virustotal.com/gui/home/upload
火眼:https://fireeye.ijinshan.com
魔盾安全分析:https://www.maldun.com/analysis/
- 蜜罐
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
蜜罐溯源的两种常见方式:
一种是在伪装的网站上插入特定的js文件,该js文件使用攻击者浏览器中缓存的cookies去对各大社交系统的jsonp接口获取攻击者的ID和手机号等。
另一种是在伪装的网站上显示需要下载某插件,该插件一般为反制木马,控制了攻击者的主机后查询敏感文件、浏览器访问记录等个人敏感信息从而锁定攻击者。
常见反制方式
通过蜜罐反制
主要就是下述反制手段做操作
1.可克隆相关系统页面,伪装“漏洞”系统
2.互联网端投饵,一般会在Github、Gitee、Coding上投放蜜标(有可能是个单独的网站地址、也有可能是个密码本引诱中招)
3.利用JSONP、XSS、CSRF等前端类漏洞获取访问蜜标的攻击者网络身份(网络画像)
邮件钓鱼反制
安全防护基础较好的厂商,一般来说除了出动0day,物理近源渗透以外,最常见的就是邮件钓鱼了,在厂商收到邮件钓鱼的情况下,我们可以采取化被动为主动的方式,假装咬钩,实际上诱导攻击者进入蜜网。
渗透工具漏洞
可以尝试挖掘蚁剑、冰蝎、菜刀、BurpSuite、SQLmap、AWVS的0day漏洞(需要一定的技术水平),或利用历史漏洞部署相关环境进行反打
盲打攻击反制
攻击者可能通过盲打漏洞方式来获取权限,一般盲打都具备一个数据回传接口(攻击者需要接收Cookie之类的数据),接口在JavaScript代码中是可以寻找到的,我们可以利用数据回传接口做以下两件事情,并后续引导攻击者进入我们部署好的蜜罐。
1.打脏数据回传给XSS平台
2.打虚假数据回传给XSS平台
通过攻击服务器端口/web 等漏洞
攻击者可能是通过自己搭建的公网服务器进行攻击的,或者是通过此服务器与后门进行通讯。其中服务器可能运行诸多服务,且未打补丁或设置强密码,导致防守方可以进行反打。
