顺序执行和乱序执行_蓝队技战法总结

修改中间件配置文件，配置移动通信APP的Web服务页面返回信息为“错误”页面。

修改网关系统配置指纹，将邮件系统指纹改为“ ”，以转移攻击者的注意力。

2. 边境防护设备异构（增加入侵难度和成本）

VPN与防火墙异构部署，内外层VPN体系网络区域之间部署大量蜜罐。

3. 严格控制出境访问（禁止返回）

攻击者需要受害主机的上网权限，攻击者在防火墙上配置双向白名单，阻断包括tcp、udp、icmp、dns等协议，阻止攻击完成。

4.加强主机安全防护

一些0day漏洞被成功利用后，需要主机具备读写文件的权限。部署终端防护系统，监控非白名单地址的运维操作和敏感操作命令，及时发现异常命令执行行为，包括攻击者常用的id等。第二，监控服务器上敏感配置文件的读取，如*.conf文件。第三，向二进制web目录写入脚本文件，防止后门被执行。

5.设置内网陷阱

第一，在边界区域部署办公系统蜜罐；第二，在核心计算区域部署核心系统和集中系统蜜罐；第三，将真实系统非业务端口访问流量转发到蜜罐，尽早发现内网扫描行为。

6. 密切关注零​​日漏洞利用的踪迹

第一，加强对敏感文件和目录的监控。在主机层面和流量层面，加强对敏感目录读取的检查和返回包的监控。第二，加强对敏感命令执行的监控。在主机层面，通过入侵检测系统替换操作员系统bash程序，形成命令执行钩子，监控敏感命令的执行情况。在流量层面，利用流量监控设备匹配敏感命令的执行结果。

总结实践经验发现，不管是什么0day漏洞，最终都需要对内网主机执行命令，主机是防护零day漏洞攻击的最后一个也是最关键的环节。

我们制定了以主机命令执行异常为重点，网络层、应用层异常行为识别、攻击面聚合、快速攻击定位及处置流程为辅的0day漏洞防护策略。

在网络内所有生产主机部署入侵检测系统hids，检测反弹shell等关键攻击行为。由于运维人员还会执行bash、nc等命令，为了避免误报，对shell日志中每条命令的父进程进行递归分析，若发现web进程调用shell则触发告警（例如父进程为java，httpd子进程为sh等）。告警配置短信实时提醒。

部署高交互、高仿真的蜜罐，将VPN、OA系统备份为蜜罐，攻防期间替换真实业务域名，迷惑攻击者，捕获零日漏洞。同时将下载页面中的VPN、OA客户端替换为CS防杀木马，在云服务器上部署CNA脚本发送微信提醒，一旦上线即可立即反制源头。

出站控制：最小化授权、组织资产并映射攻击路径。

0day攻击应急响应流程

0 信任网络：

办公、生产网络所有网络流量默认不信任，基于身份属性、设备属性、设备状态、权限关系等，结合密码技术，实现细粒度的可信网络访问测控，解决IT无边界化趋势带来的安全问题。相较于传统边界模型信任不同、验证不同，零信任始终秉持永不信任、始终验证的原则，零信任主要关注点是数据和应用，零信任网络解决了网络边界被突破后，数据和应用访问量过大导致数据被盗、服务器崩溃等安全问题。

防护对象：将传统安全架构中以网络为中心的防护，转变为以数据为中心的安全防护，重点关注应用和资源。防护基础：将传统基于“边界”的防护，转变为“无边界”防护，默认不信任，实现最小权限防护。防护理念：将传统一次性严肃的静态策略，转变为持续评估、动态访问控制。

链式陷阱的APT攻击抓捕策略

基于主动防御理念，采用动态伪装、反向水坑等手段对抗0day高级攻击者，以防万一，出其不意，不仅捕获攻击行为，还利用浏览器漏洞成功实施反制，获取攻击者真实身份信息。

1. 传递污染信息

对数据库配置、缓存配置、交互服务器配置、token加密因素等写入污染信息，指向蜜罐或者诱捕探针。Linux系统中，主要伪造SSH、SSH等核心配置文件。特别要注意根据运维习惯定期写入污染信息，可以极大的迷惑攻击者。

2.配置虚拟进程

完成本机的诱捕后，需要围绕虚拟机形成联动的诱捕体系，防止攻击者绕过本机的诱捕，直接渗透到网络上可访问的其他主机。通过配置虚拟进程，可以模拟真实的高危服务，与真实业务一起发布。选择存在未授权访问漏洞的数据库服务作为诱捕模板。为保证真实性，需要详细分析各应用系统的真实业务模型，有针对性地部署redis、es等虚拟进程。

对于高并发的网站应用，在MySQL数据库中部署redis虚拟进程；对于消息应用，在Kafka消息队列所在的虚拟机中部署虚拟进程。

3. 构造反向水孔

防御方在捕获到攻击者的上传后，即可在其中插入js代码（探针），再次访问后会返回攻击者的操作系统及浏览器资产信息。如果出现两个不同版本的资产信息，说明攻击者是使用虚拟机进行攻击，在之前的js代码基础上继续插入代码（探针），从而获取攻击者的电脑硬件信息。如CPU、显卡、电池、屏幕尺寸等。通过返回的数据明确攻击者使用的操作系统及浏览器后，填写相关资产的漏洞验证数据，检测是否存在可利用的漏洞，确认漏洞存在后，通过漏洞投递反杀cs木马，释放。追踪攻击者身份。

追踪技术有很多，这次是通过js脚本远程获取黑客（攻击者）的基本信息，定位到之后打开源码，添加编写的js脚本，要确保脚本是否有效，需要先自己测试一下，看能不能获取到浏览器信息，确认无误之后根据之前记录的文件属性，将文件修改时间还原为写入时间！

注：具体的js脚本可以根据自己的需求来编写，或者根据网上的开源脚本，BeeF等开源工具，或者其他开源工具等进行扩展！

零信任架构

可以实现几个关键目标：

1. VPN 始终在线

2. 足够的安全防御，有效切断攻击者的攻击链

3、操作过程灵活自动化，避免大量操作维护人力的投入。

1. 推行零信任架构体系，建立员工身份安全标杆

所有员工必须安装安全APP，绑定设备指纹和手机号，开启二维码扫描、动态密码等强身份验证功能，登录系统时使用APP完成身份验证。

2. 让第一层防御对攻击者不可见

边界防火墙通过设置策略，使得VPN地址不对外开放，攻击者无法直接探测发现，无法正常攻击。员工需要在APP上提交合法PC的IP地址，该地址会被ACL策略管理系统自动处理，并加入到边界防火墙的白名单中，才可以正常发起访问。同时，线上搭建一套高仿VPN蜜罐，迷惑攻击者。

3. 防止攻击者进入第二层防御

为了加强VPN，可以启用VPN客户端的专线功能，这样用户的计算机在建立VPN隧道时会自动断开与其他地址的通信。

4. 让第三层防御对攻击者不可见

限制 VPN 设备对内网的网络访问权限。默认情况下，仅可访问零信任安全网关。在零信任安全网关上设置策略，确保所有流量都经过持续身份验证和权限检查。

5.使用高密度异构蜜罐

蜜网：蜜网管理中心负责统一调度，由互联网、DMZ、内网数据中心、海外网络连接点、信息系统五道蜜罐防线组成，统一收集蜜罐告警，基于SSH下发控制指令，综合实现蜜罐资源调度、访问控制、日志分析、情况展示等功能。

IP位置筛查解决方案

移除已知安全IP，利用开源IP地址库对剩余IP进行标记，筛查公有云厂商IP，公有云IP容易获取，方便布署攻击工具，是攻击者经常利用的攻击手段。

1. 按 IP 位置过滤

提取第一周的来访IP，去重，排除白名单，识别剩余IP。提取有公网IP可以作为攻击机、跳转服务器、远控服务器的云主机IP地址，将这些云主机IP分别提取出来。

2.基于时间维度的分析

提取演习前三个月至六个月的访问数据，与演习开始后的数据进行比对，通过比对，有效发现新的IP地址，而这些新的地址中往往就包含演习攻击者的IP地址。

3.基于区域维度的分析

由于采用多点部署方式，不同数据中心位于不同的网络位置，如果多个数据中心同时增加新的接入IP，则该IP将成为针对指定单位的攻击IP。

4.基于行为维度的分析

利用威胁情报检查流量中包含的挖矿、DDOS脚本，排除代理、爬虫、黑市攻击IP。

构建基于威胁情报的动态防御体系

日常威胁情报收集、处理和建模主要采用以下策略：

1、安全设备采集到的告警按照攻击行为分为四类：端口扫描、服务检测、企图攻击、恶意代码。大部分攻击都是按照这四个步骤进行的，再将监控到的攻击行为按照攻击阶段进行分类。

2、通过对攻击行为事件序列的深入分析，为预测攻击、溯源提供依据。利用攻击行为的OWASP分类、CVE编号以及木马的执行顺序对检测到的攻击行为进行编码，最终以字符串序列的形式识别出每一个攻击行为序列。对威胁情报库中的序列应用威胁相似度计算模型，计算出情报库中相似度较高的攻击序列。

3、在具体分析攻击行为的过程中，攻击者为了逃避检测，一般采用低速、随机的扫描方式。结合数理统计等方法可以推断出攻击者的攻击间隔分布，从而发现潜在的攻击特征。

4、经过汇总、筛选、清洗，按照攻击行为响应时间、攻击间隔起止时间、排序后的端口扫描列表、服务检测顺序、漏洞扫描顺序、恶意代码动作列表等维度构建攻击特征库，形成威胁情报库及综合安全监控处置目标。

专有情报生产

1、利用监控系统发现水利网络中大量的攻击行为、漏洞、恶意文件、异常外连接等报警数据，并经过分析后传送至情报中心。

2、情报中心实时对报警时间、报警原因、报警IP、资产IP等信息进行标准化、规范化，自动补充时间、来源等信息，并根据报警级别类型配置生产情报的权重分数、通过分数。

3.完成情报制作后，通过API写入情报中心

4、对于各单位上报的统一格式的防控报告，情报中心利用基于深度学习的文字识别技术，自动提取报警时间、报警原因、报警IP、资产IP等数据，再进行同样的处理，完成制作。

黑客指纹收集

依托蜜罐系统生成黑客指纹库，指纹库整合了系统、设备、html5 webGL、HTML5、第三方网站ID指纹等。

当攻击者访问蜜罐系统中的诱饵网页时，该网页便会在黑客的机器上植入僵尸，僵尸遍布多处且难以删除，收集并形成独特的指纹信息，从而为黑客的抓捕提供情报信息和追踪能力。

当黑客发起攻击时，如果登录过百度、新浪、优酷等第三方网站，蜜罐系统可以捕获其登录ID；其次，通过分析黑客的操作系统语言、时区、IP所在地等信息，可以判断攻击者是否来自境外。

逐步发布模拟系统，结合最新0day，推出全英文商业模拟系统，并在本站加载对策诱饵。

将暴力破解过程中用到的用户名和密码加入密码字典中，用于日常内部弱口令检查。若用户名为公司名，需要向用户发出风险提示。通过证书、代码标识等方式识别攻击者的攻击工具，并进行攻击者同源性分析。利用攻击成功后的外部连接地址，监测内部主机是否沦陷。定期通过主机代理对下载的木马哈希进行扫描，获取服务器进程、启动项对应的文件哈希，判断其他主机是否被控制。