2022攻防演练红与蓝对抗的总结

          防守队在处理入口及DMC机器后,发现有对堡垒机夜间异常登录的告警,攻击的原始IP为域控服务器,SINE安全应急专家,登录服务器后通过执行netstat -an命令,发现网络链接中有跟堡垒机的实时通信,确定堡垒机被黑客入侵,在视线调查界面,安全应急专家将攻击告警,全部纳入同一事件,自动记录了访问攻击的IP,展示出攻击队入侵的整个链条,应急和报告团队,最终编写安全设备有效性检测报告,商城零日漏洞研究报告,蜜罐运营报告等获得加分。经过一系列安全应急处理后,防守队的堡垒机被控制,核心交易系统等靶标也相继失守,最终还是晚了一步。

攻防演练战役交战结束,本次攻防演练针对红对攻击队而言,合理的战术安排以及多线并行的策略是成功的保障,当然充分的信息收集以及必要的POC杀器,是取得胜利的关键。对于防守队来说,如果有更多的时间在前期进行充分的风险评估,保证部防覆盖关键区域及其域内主机,同时预留充足的人手进行监测研判及处置,那么最终的结果尚未可知。

最后我们对这次攻防演练战役进行简要的回顾和总结,攻击队从互联网边界踩点时,触发告警被溯源,继续利用电商管理平台的未授权上传漏洞时被发现,分析发现漏洞并报警,防守方应急并下线服务器,第二次攻击队信息收集发现github泄露商城源码并进行审计,获得零日漏洞,进入内网,执行敏感操作和逃逸到溯源主机,触发内网横向渗透,利用MS17-010触发攻击队在域控上抓取浏览器密码,并夜间登陆堡垒机的行动,触发了异常登陆报警。防守队通过关联分析功能,还原了整条攻击路径,为防守报告加分作出贡献。

当然真实的攻防战场千变万化,攻防两端的博弈以及提升空间也远不止,上面提到的这些,希望大家能在本文章当中获取一些经验和启示,希望大家持续关注SINE安全公司。搞防御我们是专业的。

分享: