前言
護網的定義是以國家組織組織事業單位、國企單位、名企單位等開展攻防兩方的網路安全演習。進攻方一個月內採取不限方式對防守方展開進攻,不管任何手段只要攻破防守方的網路並且留下標記即成功,直接衝到防守方的辦公大樓,然後物理攻破也算成功。護網是國家應對網路安全問題所做的重要佈局之一。
護網隨著中國對網路安全的重視,涉及單位不斷擴大,越來越多都加入到“護網”中,網路安全對抗演練越來越貼近實際情況,各機構對待網路安全需求也從被動構建,升級為業務保障剛需。隨著大資料、物聯網、雲端計算的快速發展,愈演愈烈的網路攻擊已經成為國家安全的新挑戰。護網行動是由公安機關組織的“網路安全攻防演習”,每支隊伍3-5人組成,明確目標系統,不限攻擊路徑,獲取到目標系統的許可權、資料即可得分,禁止對目標實施破壞性操作,對目標系統關鍵區域操作需得到指揮部批准。
溫馨提醒:全文閱讀完需5分鐘左右
廢話不多說 直接上乾貨
HW面試相關問題
自己寫一段面試開場白(自我介紹),沒有可參考下面的內容
工作時間履歷,專案經歷,成果,技術學習途徑
告警監控組
各位老師好我是XXX,來自XX地區,目前在騰訊T1中心擔任安全服務工程師,日常工作主要是負責滲透測試/安全運維、HW、重保、應急響應等相關工作,下面簡單介紹一下我的工作經歷。
目前接觸安全服務工作XX年了,2019年參加XX國家級/省級HW專案,2020年參加XXX重保專案..........................,2021年參加XXX滲透測試專案,前期主要協助客戶梳理資產、安全整改、安全加固、策略最佳化等等,HW期間主要擔任角色是告警監測人員/分析研判人員/溯源反制人員/應急處置人員,主要工作是透過安全裝置監控惡意攻擊事件(WEB、網路攻擊),將發現的可疑攻擊事件上報給分析研判組成員進行分析研判,協助研判組成員對事件進行分析、提供惡意樣本等等。
分析研判組
各位老師好我是XXX,來自XX地區,目前在騰訊T1中心擔任安全服務工程師,日常工作主要是負責滲透測試/安全運維、HW、重保、應急響應等相關工作,下面簡單介紹一下我的工作經歷
目前接觸安全服務工作XX年了,2019年參加XX國家級/省級HW專案,2020年參加XXX重保專案..........................,2021年參加XXX滲透測試專案,主要擔任角色是告警監測人員/分析研判人員/溯源反制人員/應急處置人員,主要工作是對安全裝置上發現的可疑告警進行分析研判主要方法如:透過監測組提供的惡意樣本檔案進行分析,同時結合線上威脅情報中心對惡意攻擊線索進行研判,最終判斷該攻擊是否真實有效。
溯源反制組
各位老師好我是XXX,來自XX地區,目前在騰訊T1中心擔任安全服務工程師,日常工作主要是負責滲透測試/安全運維、HW、重保、應急響應等相關工作,下面簡單介紹一下我的工作經歷
目前接觸安全服務工作XX年了,2019年參加XX國家級/省級HW專案,2020年參加XXX重保專案..........................,2021年參加XXX滲透測試專案,主要擔任角色是告警監測人員/分析研判人員/溯源反制人員/應急處置人員,主要工作是透過分析研判組上報的非法攻擊線索以及真實攻擊事件對攻擊者身份進行溯源主要的方法如:透過定位攻擊者IP、域名、惡意樣本特徵等虛擬身份資訊,展開溯源反制措施透過技術手段獲取攻擊者真實身份資訊,編寫溯源報告提交專案組稽核。
防守方常見問題
在專案上,漏洞掃描需要注意那些事項
跟客戶確認是否充許登入掃描、掃描併發連線數及執行緒數、
是否充許暴力破 解,什麼時間 段掃描、
通知客戶備份一下資料,開啟業務系統及網站運維監控,以免斷機可及時恢復。
HW前期通常有哪些事情需要準備?
前期比較重要的就是資產梳理、安全測試、 整改加固、安全策略最佳化、安全意識培訓等等
資產梳理:主要協助客戶對旗下資產進行梳理彙總
安全測試:組織幾次安全滲透測試可分為內外網滲透測試
安全意識培訓:宣講釣魚郵件防範,個人不使用弱密碼,安裝殺軟等
HW期間下線部分伺服器,或者某段時間暫停對外開放服務。
HW中常見的安全裝置有哪些?
入侵檢測:IDS
入侵防禦:IPS
流量威脅檢測裝置:騰訊御界、奇安信天眼、綠盟、深信服等等
流量監測:科來
應用防火牆(WAF):綠盟WAF、騰訊雲WAF、深信服WAF、阿里雲WAF等等
蜜罐:默安蜜罐、知道創宇蜜罐等等
防火牆:防火牆(玄武盾)、山石防火牆、360網康/網神防火牆
態勢感知:綠盟態勢感知、奇安信態勢感知(目前部分金融客戶對攻擊IP封禁在態勢感知系統上統一做封禁處理)
SOC:綠盟、奇安信
談談IDS和IPS是什麼?有什麼作用?
入侵檢測:IDS,類似防火牆,主要用於入網流量檢測
入侵防禦:IPS,對殺軟和防火牆的補充,阻止病毒攻擊以及點到點應用濫用
態勢感知、soc產品的功能
全流量收集、大資料分析、
訪問日誌展示、攻擊日誌展示告警、資產管理、大屏展示、
脆弱性識別-弱口令-資料傳輸未加密-漏洞、
受害主機攻擊彙總、內網橫向攻擊分析、
報表功能
EDR是什麼?舉例,作用?
終端檢測與響應
360天擎、深信服EDR、亞信EDR
透過雲端的威脅情報、機器學習、異常行為分析等,主動發現安全威脅,自動化阻止攻擊。
WAF產品如何來攔截攻擊?
Waf 產品有三種
1、雲 Waf
使用者不需要在自己的網路中安裝軟體程式或部署硬體裝置,就可以對網站實施安全防護,它的主要實現方式是利用 DNS 技術,透過移交域名解析權來實現安全防護。使用者的請求首先傳送到雲端節點進行檢測,如存在異常請求則進行攔截否則將請求轉發至真實伺服器
2、Web 防護軟體
安裝在需要防護的伺服器上,實現方式通常是 Waf 監聽埠或以 Web 容器擴充套件方式進行請求檢測和阻斷
3、硬體 Web 防火牆
Waf 序列部署在 Web 伺服器前端,用於檢測、阻斷異常流量。常規硬體 Waf 的實現方式是透過代理技術代理來自外部的流量
WAF有哪些防護方式?
1、Web基礎防護
可防範常規的 web 應用攻擊,如 SQL 注入攻擊、XSS 跨站攻擊等,可檢測 webshell,檢查 HTTP 上傳通道中的網頁木馬,開啟開關即實時生效
2、CC 攻擊防護
可根據 IP、Cookie 或者 Referer 欄位名設定靈活的限速策略,有效緩解 CC 攻擊
3、精準訪問防護
對常見 HTTP 欄位進行條件組合, 支援定製化防護策略如CSRF防護,透過自定義規則的配置,更精準的識別惡意偽造請求、保護網站敏感資訊、提高防護精準性
4、IP 黑白名單
新增終攔截與始終放行的黑白名單 IP,增加防禦準確性
5、網頁防篡改
對網站的靜態網頁進行快取配置,當使用者訪問時返回給使用者快取的正常頁面,並隨機檢測網頁是否被篡改
根據裝置告警(WEB)如何分析流量
1. 下載告警pcap資料包,根據告警提示攻擊型別,過濾payload資訊,定位流量
2. 判斷是否攻擊成功,需具體分析攻擊請求響應內容或使其payload進行攻擊測試等
3. 最終可根據流量分析給出判定型別:掃描、攻擊嘗試、攻擊成功、攻擊失敗
Web中介軟體加固:tomcat、apache、iis有哪些加固點 ?
web中介軟體:更改預設埠、低許可權運維、降權網站根目錄、自定義錯誤頁面、刪除自帶網頁
windows和linux加固?(作業系統加固)
windows:刪除無用賬號、禁用來賓賬號、設定密碼複雜度、關閉預設共享、關閉自啟
linux:刪除無用賬號、配置密碼策略(複雜度、過期時間)、限制su命令使用、限制ssh遠端登陸root、減少命令記錄數(.bash_history)、升級核心版本
mysql加固呢? (資料庫加固)
mysql:使用低許可權使用者配置網站、啟用mysql日誌記錄、禁用檔案匯入匯出
sql server:使用低許可權使用者配置網站、關閉xp—cmdshell功能
根據裝置告警如何展開排查
1. 定位主要掃描、攻擊機器
2. 根據業務情況,進⾏隔離處理
3. 排查主要掃描、攻擊機器正在執⾏程式、歷史命令,定位攻擊者掃描⼯具、掃描結果等
4. 提取攻擊者操作資訊、攻擊樣本後,清理查殺攻擊者等
5. 根據攻擊者掃描結果,對存在的漏洞展開修補⼯作
6. 分析主要掃描、攻擊機器如何淪陷,溯源攻擊鏈,展開攻擊鏈修補作
Windows常用的命令有哪些?
ping:檢查網路聯通
ipconfig:檢視ip地址
dir:顯示當前資料夾的內容
net user:檢視使用者
netstat:檢視埠
tasklist:檢視程式列表
find:搜尋檔案中的字串
regedit:登錄檔
Linux常見命令有哪些?
ls:顯示當前資料夾的內容
ifconfig:檢視ip地址
whoami:檢視使用者
netstat:檢視埠
ps:檢視程式列表
grep:檔案中搜尋字串
crontal:檢查定時任務
常見洞埠有哪些?
21(FTP)、873(Rsync)、1433(MSSQL)、1521(Oracle)、2181(Zookeeper)、3306(Mysql)、5432(PostgreSQL)、6379(redis)、7001(weblogic)、8161(ActiveMQ )、9200(elasticsearch )、27017(Mongodb)、50070,50050(Hadoop)
簡單說下SQL隱碼攻擊的幾種型別?
提交方式分為:GET型、POST型、cookie型
注入點分為:數字型、字元型、布林型
如何區分內網中SQL隱碼攻擊事件和正常業務請求?
可以透過請求體中的payload進行判斷,正常業務請求的SQL語句通體較長且無敏感的函式使用,SQL隱碼攻擊事件請求體中的payload通常較短且語句中有敏感函式如sleep、updataxml等等。
Sql注入 漏洞 加固措施?
對於輸入的字元進行過濾,主要是特殊字元,如“單引號、雙引號、#和兩個減號、sql關鍵字”
買waf裝置
暴力破解加固方法?
新增強度較高的驗證碼,不易被破解
修改密碼設定規則,提高使用者的密碼強度
同一賬號登陸次數鎖定,生成鎖定日誌
定期排查弱口令
你能說明檔案上傳的原理嗎?
繞過上傳限制 , 上傳可執行程式碼檔案
PHP:如果系統中存在可以上傳檔案的功能點,就可以上傳後門指令碼檔案,透過一些方法繞過上傳限制,如果能訪問後門的的話,系統存在檔案上傳漏洞,可以藉助後門執行命令
Java:上傳 jsp 程式碼
Asp/Aspx
Python:因為指令碼需要譯後生成 pyc 位元組碼檔案,所以不存在檔案上傳
檔案上傳功能的檢測點有哪些?
客戶端的JS檢測(主要檢測檔名字尾)
服務端檢測(MINE型別檢測、檔案字尾名、檔案格式頭)
檔案上傳攻擊特徵?
能夠上傳檔案的介面,應用程式對使用者上傳檔案型別不校驗或者校驗不嚴格可繞過,導致任意型別檔案上傳,攻擊者可上傳 webshell 拿到伺服器許可權,在這個過程中攻擊者必然會上傳惡意指令碼檔案
特徵:上傳檔案儲存處出現可執行指令碼
檔案上傳加固方法?
後端限制檔案上傳白名單,頭像不允許上傳 svg
上傳後檔案隨機重新命名,不要輸出儲存檔案位置
圖片檔案可以二次渲染,使用物件儲存 oss
檔案目錄取消執行許可權,PHP 設定 basedir
JAVA記憶體馬如何排查?
如何查殺:使⽤⼯具進⾏檢測查殺
1、如果是jsp注入,日誌中排查可疑jsp的訪問請求。
2、如果是程式碼執行漏洞,排查中介軟體的error.log,檢視是否有可疑的報錯,判斷注入時間和方法
3、根據業務使用的元件排查是否可能存在java程式碼執行漏洞以及是否存在過webshell,排查框架漏洞,反序列化漏洞。
4、如果是servlet或者spring的controller型別,根據上報的webshell的url查詢日誌(日誌可能被關閉,不一定有),根據url最早訪問時間確定被注入時間。
5、如果是filter或者listener型別,可能會有較多的404但是帶有引數的請求,或者大量請求不同url但帶有相同的引數,或者頁面並不存在但返回200
php記憶體馬如何排查?
如何查殺:使具進檢測查殺
php不死馬也就是記憶體馬
排查就兩點;檢測執行檔案是否在檔案系統真實存在;確認攻擊後去重啟服務消除記憶體執行
aspx記憶體馬如何排查?
如何查殺:使⽤⼯具進⾏檢測查殺
github有人寫了一個排查的aspx指令碼,放到網站目錄下訪問,會返回記憶體中filter(過濾器0列表,排查未知、可疑的就行
檢測執行檔案是否在檔案系統真實存在
發現一條攻擊告警如何判斷是否為真實有效攻擊事件思路?
分析請求、響應內容,判斷是否攻擊成功
首先看告警事件名稱判斷是網路攻擊事件還是web攻擊事件,
網路攻擊事件:定位五元組資訊(源IP、目的IP、源埠、目的埠、協議),對整個僵、木、蠕傳播鏈進行分析,以攻擊IP作為受害IP進行檢索查詢攻擊源,
WEB攻擊事件:透過資料包的請求體、響應體、狀態碼等。
安全裝置出現誤報怎麼辦?
可以對事件進行分析如果確認不構成實際危害(通常體現在部分web低危攻擊事件)考慮對事件進行加白,如不能加白(通常體現在內網殭屍網路、木馬事件、蠕蟲等等)需要對安全事件進行更細緻的分析,定位問題發生點。
如何區分掃描流量和手動攻擊流量
掃描資料量大,請求有規律
手動攻擊流量資料量較少,攻擊流量大多和業務關聯性較大
如何分析被代理出來的資料流
分析資料包請求頭中的 xff、referer、UA 等收集有用的資訊
基於網路欺騙與瀏覽器指紋的WEB攻擊溯源
在攻擊隊變更攻擊IP的情況下,如何在流量中找到該攻擊者的所有攻擊IP ?
cookie、ua、session、被利用賬號ID等使用者特徵
如何判斷DNS和ICMP( 隧道 )通道?
dns流量的txt記錄比例異常:正常的DNS網路流量中,TXT記錄的比例可能只有1%-2%,如果時間視窗內,TXT或者A記錄的比例激增,就可能存在異常。
同一來源的ICMP資料包量異常:一個正常的ping命令每秒最多傳送兩個資料包,而使用ICMP隧道則會在很短時間內產生上千個ICMP資料包,可以檢測同一來源的ICMP資料包的數量。
誤報怎麼判斷?比如xxx裝置心跳存活過於頻繁,誤報成攻擊。答:心跳檢測是有規律的、持續的,與攻擊流量區別較大
常見web日誌組成格式?
58.61.164.141 – - [22/Feb/2010:09:51:46 +0800] “GET / HTTP/1.1″ 206 6326 ” http://www.google.cn/search?q=webdataanalysis” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)”
ip、時間、請求型別、請求url、響應狀態、響應大小、UA頭
滲透相關問題
攻擊者一般如何獲取伺服器許可權?
檔案上傳weshell
ssh服務等弱口令爆破
已經框架rce漏洞
簡歷寫了解waf繞過方式,簡單說說?
使用sqlmap自帶的指令碼
使用nmap自帶的指令碼
請求包新增大量無用資料
測試多個關鍵字,看看有無未過濾的
改變http請求型別,get變post
什麼是OWASP TOP 10 ? 說幾個常見型別
OWASP TOP 10 是根據開放 Web 應⽤程式安全項⽬公開共享的 10 個最關鍵的 Web 應⽤程式安全漏洞列表。
1.失效的訪問控制(越權訪問)
2.加密機制失效(明文傳輸)
3.注入攻擊(sql注入、xxe注入)
4.不安全的設計
5.安全配置錯誤(預設配置,如redis低版本無密碼)
6.⾃帶缺陷和過時的元件(weblogic之類的元件RCE)
7.身份識別和身份驗證錯誤(未授權訪問)
8.軟體和資料完整性故障
9.安全日誌和監控故障
10.服務端請求偽造
弱口令、xss
怎麼識別C DN ?
使用ping命令看回顯
使用nslookup查詢域名解析,看域名解析情況
使用超級ping工具,像Tools,all-toll.cn等。
描述一下滲透測試的流程?
首先資訊收集,收集子域名、Whois、C段、旁站、Web 系統指紋識別,然後測試 web 系統的漏洞
常見的安全工具有哪些?
埠及漏洞掃描:Namp、Masscan
抓包:Wireshark,Burpsuite、Fiddler、HttpCanary
Web自動化安全掃描:Nessus、Awvs、Appscan、Xray
資訊收集:Oneforall、hole
漏洞利用:MSF、CS
Webshell 管理:菜刀、蟻劍、冰蠍、哥斯拉
說說 Nmap工具 的使用?
-sT TCP (全)連線掃描,準確但留下大量日誌記錄
-sS TCP SYN (半)掃描,速度較快,不會留下日誌
-sN null 掃描,標誌位全為 0,不適用 Windows
-sF FIN 掃描,標誌位 FIN=1,不適用 Windows
-O 檢視目標主機系統版本
-sV 探測服務版本
-A 全面掃描
正向shell 和 反向shell的區別是什麼?
內外網區別,正向shell是攻擊者處於內網,被攻擊者處於公網;
而反向shell是攻擊者處於外網,被攻擊者處於內網,且是被攻擊主動連線攻擊者。
cs shellcode 特徵
1、RWX(可讀可寫可執行)許可權的記憶體空間
2、異或金鑰固定,3.x 是 0x69,4.x 是 0x2e
3、命名管道名稱字串
\\.\pipe\MSSE-1676-server
%c%c%c%c%c%c%c%cMSSE-%d-sever
Log4j rce漏洞有了解過?攻擊特徵是什麼?
log4j 是 javaweb 的日誌元件,用來記錄 web 日誌,特徵是 ${jndi:ldap://url}
去指定下載檔案的 url 在搜尋框或者搜尋的 url 裡面,加上 ${jndi:ldap://127.0.0.1/test} ,log4j 會對這串程式碼進行表示式解析,給 lookup 傳遞一個惡意的引數指定,引數指的是比如 ldap 不存在的資源 $ 是會被直接執行的。後面再去指定下載檔案的 url,去下載我們的惡意檔案。比如是 x.class 下載完成後,並且會執行程式碼塊
修復:升級 Log4j 到最新版本,根據業務判斷是否關閉 lookup
新出的office word msdt 漏洞原理?
從Word使用URL協議呼叫MSDT(微軟支援診斷工具),可執行遠端網頁尾本內容,下載或執行任意命令、程式。
無論是否禁用宏,只要開啟word就會中招,但無法正常檢視doc內容
如何區分菜刀、蟻劍、冰蠍、哥斯拉WENSHELL特徵?
菜刀:
1、webshell 為一句話木馬
2、ua 頭為百度爬蟲
3、請求體中存在 eavl,base64
4、響應為明文,格式為 X@Y +內容 + X@Y
蟻劍:
1、webshell 同樣有 eavl,base64
2、ua 頭為蟻劍工具
3、請求體中存在 @ini_set
4、響應為明文,格式為 隨機數+結果 +隨機數
冰蠍:
1、webshell 同樣有 eavl,base64
2、webshell 中有 md5(密碼)前16位
3、2.0 有一次GET請求返回16位的金鑰
哥斯拉:
1、webshell 同樣有 eavl,base64
2、請求為pass=
常見的未授權訪問漏洞有哪些?
Active MQ 未授權訪問
Atlassian Crowd 未授權訪問
CouchDB 未授權訪問
Docker 未授權訪問
Dubbo 未授權訪問
Druid 未授權訪問
Elasticsearch 未授權訪問
FTP 未授權訪問
Hadoop 未授權訪問
JBoss 未授權訪問
Jenkins 未授權訪問
Jupyter Notebook 未授權訪問
Kibana 未授權訪問
Kubernetes Api Server 未授權訪問
LDAP 未授權訪問
MongoDB 未授權訪問
Memcached 未授權訪問
NFS 未授權訪問
Rsync 未授權訪問
Redis 未授權訪問
RabbitMQ 未授權訪問
Solr 未授權訪問
Spring Boot Actuator 未授權訪問
Spark 未授權訪問
VNC 未授權訪問
Weblogic 未授權訪問
ZooKeeper 未授權訪問
Zabbix 未授權訪問
連線不了MySQL資料庫站點的原因有哪些?
3306埠沒有對外開放
MySQL預設埠被修改(最常見)
站庫分離
近幾年HW常見漏洞有哪些?
弱口令、未授權訪問、檔案上傳、注入、log4j程式碼執行、Struts2命令執行、fastjson、shiro、TinkPHP程式碼執行、Spring程式碼執行等等。
HW 三(四)大洞
shiro、struts2、weblogic、Fastjson
額外 thinkphp、(2021年)log4j、(2022年)word msdt
講訴 202 1 年護網出現過那些 0day 漏洞
銳捷 RG-UAC 密碼洩露
360天擎 終端安全系統-前臺 sql 注入
泛微 OA9 前臺 Getshell
藍凌 OA 任意寫入漏洞
用友 NC 反序列化 RCE 漏洞
通達 OA v11.7 登入破解
...
至少說幾個oa的洞,其他隨意
應急響應常見問題
獲得檔案讀取漏洞,通常會讀哪些檔案
1、linux
etc/passwd、etc/shadow直接讀密碼
/etc/hosts # 主機資訊
/root/.bashrc # 環境變數
/root/.bash_history # 還有root外的其他使用者
/root/.viminfo # vim 資訊
/root/.ssh/id_rsa # 拿私鑰直接ssh
/proc/xxxx/cmdline # 程式狀態列舉 xxxx 可以為0000-9999 使用burpsuite
資料庫 config 檔案
web 日誌 access.log, error.log
ssh 日誌
bash /root/.ssh/id_rsa /root/.ssh/id_rsa.pub /root/.ssh/authorized_keys /etc/ssh/sshd_config /var/log/secure /etc/sysconfig/network-scripts/ifcfg-eth0 /etc/syscomfig/network-scripts/ifcfg-eth1
2、windows
C:\boot.ini //檢視系統版本
C:\Windows\System32\inetsrv\MetaBase.xml //IIS 配置檔案
C:\Windows\repair\sam //儲存系統初次安裝的密碼
C:\Program Files\mysql\my.ini //Mysql 配置
C:\Program Files\mysql\data\mysql\user.MY D //Mysql root
C:\Windows\php.ini //php 配置資訊
C:\Windows\my.ini //Mysql 配置資訊
主機發生安全事件處置流程
1、抑制範圍:主機斷網或者隔離使受害⾯不繼續擴⼤
2、收集資訊:收集客戶資訊和中毒主機資訊,包括樣本
3、判斷型別:判斷是否是安全事件,何種安全事件,勒索、挖礦、斷網、DoS 等等
4、深入分析:日誌分析、程式分析、啟動項分析、樣本分析方便後期溯源
5、清理處置:殺掉程式,刪除檔案,打補丁,刪除異常系統服務,清除後門賬號防止事件擴大,處理完畢後恢復生產
6、產出報告:整理並輸出完整的安全事件報告
簡單說下伺服器被上傳webshell處置思路是什麼?
及時隔離主機
使用find命令查詢定位webshell,對webshell進行取樣
結合web日誌分析
清除webshell及殘留檔案
講一下windows機器被攻陷排查思路?
1、檢查系統賬號安全
2、檢查異常埠、程式
3、檢查啟動項、計劃任務、服務
4、日誌分析
在Windows靶標站點如何建立隱藏使用者?
net user xiaofeng$ 112233 /add (建立隱藏使用者xiaofeng)net localgroup administrators xiaofeng$ /add (將隱藏使用者xiaofeng加入管理員使用者組)
Windows被建立影子使用者怎麼辦?
1、可以透過控制皮膚管理賬戶檢視
2、登錄檔中檢視是否存在影子賬戶:(HEKY_LOCAL_MACHINE\SAM\SAM\Domains\Account\User)
windows埠程式間 怎麼關聯查詢
netstat -ano | findstr “port”檢視目前的網路連線,定位可疑的 ESTABLISHED
根據netstat定位出的 pid,再透過tasklist命令進行程式定位tasklist | findstr “PID”
windows 怎麼 檢視程式對應的程式位置
工作管理員--選擇對應程式--右鍵開啟檔案位置執行輸入 wmic,cmd介面 輸入 process
檢視 Windows 服務所對應的埠
%system%/system32/drivers/etc/services(一般 %system% 就是 C:\Windows)
檢視 windows程式的方法
開始 -- 執行 -- 輸入msinfo32 命令,依次點選 "軟體環境 -- 正在執行任務" 就可以檢視到程式的詳細資訊,比如程式路徑、程式ID、檔案建立日期以及啟動時間等
開啟D盾_web查殺工具,程式檢視,關注沒有簽名資訊的程式
透過微軟官方提供的 Process Explorer 等工具進行排查
檢視可疑的程式及其子程式。可以透過觀察以下內容:
沒有簽名驗證資訊的程式
沒有描述資訊的程式
程式的屬主
程式的路徑是否合法
CPU 或記憶體資源佔用長時間過高的程式
Windows日誌存放位置?
大致是System32的Logs目錄下
系統日誌:%SystemRoot%\System32\Winevt\Logs\System.evtx
應用程式日誌:%SystemRoot%\System32\Winevt\Logs\Application.evtx
安全日誌:%SystemRoot%\System32\Winevt\Logs\Security.evtx
windows日誌分析工具有哪些
Log Parser、LogParser Lizard、Event Log Explorer、360星圖
遇到日誌檔案量大的時候怎麼去分析?
透過正則去匹配日誌中的攻擊請求
藉助騰訊日誌分析工具:LogForensics
講一下Linux機器被攻陷排查思路?
賬號排查(/etc/passwd儲存使用者資訊、/etc/shadow儲存使用者密碼資訊)
歷史命令檢視:.bash_history
檢查異常程式:ps aux | grep pid
檢查開機啟動項:/etc/rc.local
檢視定時任務:crontab -l
檢查網站目錄下是否存在可疑檔案:find /var/www/html -name "*.php" |xargs egrep 'assert|eval|phpinfo()|(base64_decoolcode|shell_exec|passthru|file_put_contents(.*$|base64_decode('(回答出前面的find命令結構即可)
Linux日誌存放位置?
日誌預設存放位置:/var/log/
檢視日誌配置情況:more /etc/rsyslog.conf
一臺主機在內網進行橫向攻擊,怎麼處理?
確定攻擊來源,是不是員工內部誤操作,比如詢問運維是否有自動化輪訓指令碼
如果沒有,確定是攻擊,結合時間點,根據裝置資訊,看一下安全事件,程式,流量
找到問題主機,開始應急響應流程:準備、檢測、遏制、根除、恢復、跟蹤,具體的操作要交給現場運維去處理
HW期間發現在野0day利用怎麼處置?
1、首先確認0day影響產品,危害程度
2、下線應用
3、排查應用日誌查詢是否有攻擊請求
4、更新官方釋出的最新補丁或者升級版本
如何發現釣魚郵件
郵件系統異常登入告警、員工上報、異常行為告警、郵件蜜餌告警
推薦接入微步或奇安信的情報資料。
對郵件內容出現的 URL 做掃描,可以發現大量的異常連結
遇到釣魚郵件如何處置?
1、第一時間隔離被釣魚的主機
2、透過第三方聯絡方式對攻擊進行預警,防止其他員工再次上鉤
3、對釣魚郵件中的樣本進行取樣,分析溯源
4、HW前期針對安全意識進行培訓
說說 釣魚郵件處置 實際操作
遮蔽辦公區域對釣魚郵件內容涉及站點、URL 訪問
根據辦公環境實際情況可以在上網行為管理、路由器、交換機上進行遮蔽
郵件內容涉及域名、IP 均都應該進行遮蔽
對訪問釣魚網站的內網 IP 進行記錄,以便後續排查溯源可能的後果
遮蔽釣魚郵件
遮蔽釣魚郵件來源郵箱域名
遮蔽釣魚郵件來源 IP
有條件的可以根據郵件內容進行遮蔽
刪除還在郵件伺服器未被客戶端收取釣魚郵件
處理接收到釣魚郵件的使用者
根據釣魚郵件發件人進行日誌回溯
此處除了需要排查有多少人接收到釣魚郵件之外,還需要排查是否公司通訊錄洩露。採用 TOP500 姓氏撞庫傳送釣魚郵件的攻擊方式相對後續防護較為簡單。如果發現是使用公司通訊錄順序則需要根據通訊錄的離職情況及新加入員工排查通訊錄洩露時間。畢竟有針對性的社工庫攻擊威力要比 TOP100、TOP500 大很多
通知已接收釣魚郵件的使用者進行處理
刪除釣魚郵件
系統改密
全盤掃毒
後續:溯源、員工培訓提升安全意識
說一個專案中發生的應急案例
自己選
溯源常見問題
什麼是溯源反制?
溯源:透過攻擊源分析攻擊路徑
反制:根據攻擊源反向入侵攻擊者vps(虛擬專用伺服器)
溯源反制手段有哪些?
根據流量溯源反制:篩選攻擊IP、域名,掃描端⼝服務,或透過威脅情報分析,對攻擊者VPS進行溯源分析
蜜罐平臺反制:模擬SSL VPN等平臺,誘導攻擊者下載應⽤軟體及安裝使⽤,上線攻擊者主機
釣⻥反制:根據蜜罐捕獲資訊,透過社交軟體平臺、手機簡訊、郵件等方式進行釣釣魚
說一下你的溯源思路?
蜜罐是怎麼獲取攻擊者社交賬號資訊的?怎麼防
瀏覽器資訊讀取
利用jsonp,跨域訪問社交平臺介面,提取包含的個人資訊
使用瀏覽器隱私模式,或虛擬機器內實施攻擊操作
HW專案中有寫過溯源報告?
有,在XXXHW專案中寫過XXX攻擊型別的溯源報告,提交了XX份報告,得分不清楚
常見溯源方法(溯源思路)有哪些?
1、透過惡意樣本檔案特徵進行溯源渠道(github、網盤、部落格、論壇等等)
2、域名、IP反查目標個人資訊
3、微信、支付寶、淘寶等平臺查詢姓氏
4、蜜罐:瀏覽器指紋技術、網路欺騙技術
對攻擊者進行身份畫像有哪些?
虛擬身份:ID、暱稱、網名
真實身份:姓名、物理位置
聯絡方式:手機號、qq/微信、郵箱
組織情況:單位名稱、職位資訊
HW期間沒發現有效攻擊事件如何得分?
可以透過對非法攻擊溯源反制得分
可以透過提交灰黑產線索進行得分
獲取到釣魚郵件exe如何分析?
看建立日期,看備註資訊
ida看除錯資訊,可能有個人id、網名
上傳查殺、威脅檢測平臺,分析行為特徵,獲取內部url、ip地址等
各大威脅平臺結果判斷木馬生成時間,是否已知
溯源收集目標郵箱對有什麼用?
搜尋引擎,查論壇,查部落格,推測職業
社工庫、第三方直接查個人資訊
透過手機號後怎麼獲取攻擊者資訊?
各大社交平臺
百度、谷歌搜尋
各種app,如csdn、支付寶、釘釘、脈脈等,qq、微信好友
透過域名、ip怎麼確認攻擊者身份?
雲平臺域名、ip找回賬號方式,獲取手機號部分資訊
搜尋引擎查ip現有服務,歷史服務,有無攻擊特徵
威脅情報、沙箱獲取資訊
百度貼吧、個人部落格、技術論壇、網站備案等
透過哪些工具、網站獲取攻擊者資訊?
自行總結
微步情報查詢、埃文科技網站定位ip地址等
你人脈如何 ?你能幫忙查360、奇安信、深信服、XXX的庫嗎?
一般
個人有一些工作小群
簡單描述一下你在工作中遇到有意思的攻擊溯源事件 (說溯源案列)
自己選
網路安全工程師企業級學習路線
影片配套資料&國內外網安書籍、文件&工具
當然除了有配套的影片,同時也為大家整理了各種文件和書籍資料&工具,並且已經幫大家分好類了。
一些我自己買的、其他平臺白嫖不到的影片教程:
面試刷題
我們學習網路安全必然是為了找到高薪的工作,下面這些面試題是來自百度、京東、360、奇安信等一線網際網路大廠最新的面試資料,並且有大佬給出了權威的解答,刷完這一套面試資料相信大家都能找到滿意的工作。
結語:
網路安全產業就像一個江湖,各色人等聚集。相對於歐美國家基礎紮實(懂加密、會防護、能挖洞、擅工程)的眾多名門正派,我國的人才更多的屬於旁門左道(很多白帽子可能會不服氣),因此在未來的人才培養和建設上,需要調整結構,鼓勵更多的人去做“正向”的、結合“業務”與“資料”、“自動化”的“體系、建設”,才能解人才之渴,真正的為社會全面網際網路化提供安全保障。
特別宣告:
此教程為純技術分享!本文的目的決不是為那些懷有不良動機的人提供及技術支援!也不承擔因為技術被濫用所產生的連帶責任!本書的目的在於最大限度地喚醒大家對網路安全的重視,並採取相應的安全措施,從而減少由網路安全而帶來的經濟損失。!!!