前言
突然接到通知,甲方在HVV防守前突然收到内网IP地址出现Socks代理通信,审计流量发现确实属于socks流量,不属于告警流量,告警地址为个人终端,直接准入工具阻断等待排查。
态感告警
流量分析属于正常的socks流量。
科来全流量探针流量分析
回溯分析socks流量
直接下载连接的socks端口流量,进行分析,csnas打开分析连接会话
在HTTP请求日志中发现请求的URL为我们关联单位的资产,基本确认了这个机器肯定是被控了。态感上针对被控终端无其它攻击记录,被钓鱼的可能性肯定是放在首位的。
测试Socks隧道
由于socks未设置用户名、密码,本地设置socks代理访问测试隧道
隧道可正常利用,准备准备写防守报告了。(报告可在圈子获取)
溯源
对目的IP进行端口扫描
发现起的业务还挺多,业务端口发现是某个科技公司,还有他们公司的业务
在开放的端口找到了NPS业务
访问其它端口发现该公司业务后台管理
前端
某科技公司,搞网安的,穿透工具放在自己的业务服务器上,这种RedTeam这年头真不好遇见。
突破
上面扫描的端口可以发现,在socks端口位置,协议识别TCP,跟他相邻的端口也是TCP端口
猜测也是socks协议,配置socks隧道后发现无法访问我们关联单位的内网业务,但是可以访问百度。
那么这个隧道的客户端又是在哪儿,这个也是令我比较好奇的。另外在测试后台是否能登录的时候在源码中出现了内网地址
直接挂上工具Proxifier+弱口令
挂上gorailgun,弱口令一把梭。发现了一个mssql的弱口令
财务系统前后端分离,找到数据库,内有银行卡信息。
在企查查上查询到这家公司的股东信息人员和数据库内的人员一致,一般不会有这种巧合
写溯源报告上交,完事儿
总结
整个应急流程是没有问题的,着重记录的是溯源的过程,预警产生后准入设备是直接管控终端断网的。后期联系到终端使用人之后也确实发现有上传的fscan.exe。应该还没来得及扫描,推测应该是抓取了终端用户浏览器的记录连接测试。整个应急以及溯源流程如图所示
其实很多情况下溯源到某公司或者某个个人都不会承认,现阶段的攻防演练确实存在很多不可控因素,每个授权攻击厂商或者说授权攻击队的合作商或者关联合作伙伴的支撑很常见,报告如实上交,其它交给裁判。
思考
-
本次防守虽然出现终端被控,安全意识从宣传到是否能够有效的贯彻实施本来就是一个不可控因素,人员因素永远是防守最大的不确定性。
-
攻击队应该是新团队,或者说攻击者是新手,打红队不担心溯源,拿企业机这种低错误也没注意,或者说是不担心溯源,另外起的socks隧道未配置用户名密码,裸奔的效果带来的不仅仅是方便,还有惊“喜”。
网络安全学习资源分享:
给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,请看下方扫描即可前往获取
👉1.成长路线图&学习规划👈
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
👉2.网安入门到进阶视频教程👈
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。(全套教程扫描领取哈)
👉3.SRC&黑客文档👈
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦! (全套教程扫描领取哈)
👉4.护网行动资料👈
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
👉5.黑客必读书单👈
👉6.网络安全岗面试题合集👈
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
所有资料共282G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方二维码或链接免费领取~
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
