攻击场景:
两台外连主机A和B,分别对内网主机C进行frp反弹执行命令与执行命令返回数据的接收
分析过程:
因为种种原因,当时没法写现在写出来的记忆比较模糊,到最后还是有很多的疑问没有解决
还有很多不确定没法佐证
首先接到项目同事发来的可疑ip,这个ip对我们的甲方进行了一系列攻击,并在特定时间平台爆出存在frp反弹的告警,需要我通过流量进行威胁狩猎,佐证是否攻击成功
通过科莱的回溯分析,首先在互联网区域进行回溯,查看此ip在互联网区域的行为
因为是在hw,所以红队一般不会使用带有标记的ip,所以在微步社区并没有判断为恶意ip
查看120.133.61.244在某一时间段内(这个时间段是我随意选的,首选选一个短时间分析,然后再扩大分析的时间段)的TCP和udp流量,120.133.61.24