反制团队的建设
当⼀个事件产⽣,从蓝队的⼤流程中过来,经过了监控、分析、研判、应急等流程,作为反制,我们的⽬的是
为了获取红队相关基础设施的权限、以及进⼀步反制溯源到⼈员。
反制,作为蓝队整个⼯作中的⼀环,偏向于事件的后续处理流程的⼀个闭环。作为⼀个闭环需要哪些知识栈的⼈员
进⾏组合呢?
渗透⼈员⾄少1名: 主要对需要反制的⽬标进⾏反渗透;
内⽹成员1名:需要擅⻓内⽹、钓⻥、cs/msf 、免杀 等红队技能点;
情报/社⼯反制⼈员⾄少1名: 对拿到的ioc 、id等进⾏分析及社⼯反制相关⼈员;
逆向分析成员: ⾄少需要1名,分析获取到的相关样本,提取关键有⽤信息,分析红队⼈员后⻔;
漏洞分析成员: 需要熟悉主流web漏洞、浏览器及2进制漏洞,能够快速制作相关反制的paylaod;
从技术层⾯的反制思路
作为反制规则,我们的⽬标肯定是要拿下对⽅的基础设施、以及定位到具体的⼈员为⽬标。
发现涉事服务器
当从研判组研判分析后,的确为攻击者的服务器,那么就可以对该服务器进⾏反渗透,进⼀步进⾏取证分析。 反渗
透的具体⼿法就不多说了,熟悉渗透的⼩伙伴应该都清楚。
定位分析技巧
当获取到对⽅服务器的权限后,那么可以从这些姿势⾥⾯进⼀步进⾏溯源到背后⼈员到真实身份。 基本上现在的⼤
多数红队⼈员对⾃⼰的基础设施保护不会跳太多层,拿下对⽅的⼀台常⻅节点的服务器,就能达到溯源的⽬的。
windows 跳板服务器溯源
windows security⽇志/rdp ⽇志
⾥⾯能够拿到security或者rdp⽇志的ip信息,假如对⽅跳板是win 的话,顺藤摸⽠可以拿到对⽅真实连跳板的ip
评论0