为什么某央企可以抓到红队攻击,而你不行?

news2024/12/27 14:40:20

        国家HVV行动从2016年到2024年已经是第9年了,HVV行动目的就是保卫国家关键基础设施的网络安全行动,更是一场实战化的网络攻击与防御实战,这些年来红队攻击手段层出不穷,最为典型的就是 0/N Day、弱口令、社工钓鱼等,也极大给国家相关参演单位带来了压力和动力。

我们来从一场网络攻击来分析一下红队的攻击策略,为什么遇到身份威胁检测就不行了?

某大型企业在应用访问入口部署了身份威胁检测技术

检测0 Day攻击

通过web异常访问告警发现HVV漏洞帆软报表ReportServer接口 SQL注入漏洞导致RCE 0day漏洞扫描探测

一键溯源攻击者

发现攻击者疑似使用了0day的漏洞来进行尝试探测,通过第三方情报平台发现此IP也为恶意风险IP

        攻击者溯源,通过web异常访问告警发现HVV漏洞帆软报表ReportServer接口 SQL注入漏洞导致RCE 0day漏洞扫描探测,通过平台的IP画像溯源关联,未发现有设备设备、多IP的关联行为,判定为攻击者并未真实访问交互过业务系统,如果攻击者使用此IP进行其他的身份威胁行为,亦可及时检测关联更多的线索。同时第三方威胁情报平台显示此IP为恶意扫描标签,有可能会进行0day威胁漏洞探测。基本可以确认真实0day攻击情况,结果为被平台检测到所有攻击细节,并未拿到任何权限和成功入侵应用系统!上报研判组专家,通知相关协同厂商进行IOC拦截,收工!!!

检测 N Day攻击

泛微-SptmForPortalThumbnail-任意文件读取漏洞告警,通过web攻击日志发现了多个Nday攻击行为

一键溯源攻击

        攻击者溯源,通过web异常访问告警发现攻击者使用了多个Nday漏洞如泛微SptmForPortalThumbnail-任意文件读取漏洞、泛微OA E-Cology jqueryFileTree.jsp 目录遍历漏洞、泛微ecology FileDownloadForOutDoc-前台sql注入进行攻击探测行为,检测到了攻击者使用开源java漏洞利用工具IWannaGetAll-v1.3.0.jar,并且进行了很多身份威胁尝试,通过设备画像、Ip画像、黑客攻击画像分析,并未拿到任何权限和成功入侵应用系统!关联结果发现上报研判组专家,通知相关协同厂商进行IOC拦截,收工!!! 

抓弱口令攻击

蛮力攻击告警

识别到软件测试工具BurpSuite的访问行为攻击告警(溯源到攻击者1真实身份信息)

一键溯源攻击者

攻击者1:

攻击者1设备画像关联溯源

攻击者1泄露的手机号SG溯源关联

        攻击者1,通过设备画像、Ip画像、黑客攻击画像分析关联结果:使用真实Windows终端CPU 12 核,使用鹏博士的海淀和朝阳多个IP地址发起了身份威胁攻击如:尝试猜测账户、尝试密码找回、WEB漏洞扫描、黑客工具探测等等,并且使用了渗透测试工具BurpSuite 等黑客工具尝试进行扫描和漏洞尝试;且在尝试密码找回时暴露了一个真实的手机号码通过SG结果的身份证、手机号、学校、社交信息。通过安全朋友圈打探确实为某海dian区某安全公司的渗透测试工程师无疑,基本可以确认真实攻击情况,结果为被平台检测到所有攻击细节,并未拿到任何权限和成功入侵应用系统!上报研判组专家,通知相关协同厂商进行IOC拦截,收工!!!

攻击者2

攻击者2设备画像关联溯源

        攻击者2,通过设备画像、Ip画像、黑客攻击画像分析关联结果:使用真实Windows终端CPU 16 核,使用两个北京的真实IP地址瞬间多次使用代理翻墙技术利用香港、日本、韩国、美国等IP来进行:VPN 翻墙行为、撞库、Nday漏洞扫描、Java黑客攻击工具集、渗透测试Yakit工具及扫描、渗透测试BurpSuite工具及扫描等等手段,主要使用了真实的物理设备来进行工具扫描攻击、多种身份威胁攻击行为。基本可以确认随机出现的多种威胁行为的境外攻击者的国内隐匿真实IP地址和设备画像信息,可以确认为真实攻击,结果为被平台检测到所有攻击细节,并未拿到任何权限和成功入侵应用系统!上报研判组专家,通知相关协同厂商进行IOC拦截,收工!!!

抓自动化工具攻击

检测到Bot工具Selenium攻击告警

检测到渗透测试工具yakit和burpsuite的攻击扫描行为

一键溯源攻击者

        攻击者溯源,通过Ip画像、黑客攻击画像分析关联结果:使用自动化工具无头浏览器Selenium和渗透测试工具yakit和burpsuite等不同扫描器来进行自动化工具的攻击,再结合IP画像可以关联出设备画像等等信息。可以判定在尝试使用自动化工具技术来进行攻击,均为智能化验证码、身份威胁的web威胁检测进行了身份威胁检测与响应。可以判定与之前的攻击者一致,利用香港、日本、韩国、美国等IP来进行:VPN 翻墙行为、撞库、Nday漏洞扫描、Java黑客攻击工具集、渗透测试Yakit工具及扫描、渗透测试BurpSuite工具及扫描等等手段,主要使用了真实的物理设备来进行工具扫描攻击、多种身份威胁攻击行为。基本可以确认随机出现的多种威胁行为的境外攻击者的国内隐匿真实IP地址和设备画像信息,可以确认为真实攻击,结果为被平台检测到所有攻击细节,并未拿到任何权限和成功入侵应用系统!上报研判组专家,通知相关协同厂商进行IOC拦截,收工!!!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1984500.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

北京青蓝智慧科技ITSS服务经理:长安链ChainBridge“链桥”问世 加速国家级区块链网络互联互通

8月5日,据国家区块链技术创新中心消息,我国首个完全自主控制的区块链软硬件技术系统——长安链,正式推出了全场景技术平台ChainBridge“链桥”。 此平台能够支持所有异构和同构的区块链进行协作,满足跨领域、跨地域、跨行业及跨层…

用Java手写jvm之模拟方法调用指令invokexxx和方法返回指令xreturn

写在前面 源码 。 本文一起看下方法调用相关的指令invokexxx以及方法返回(栈帧弹出线程栈)相关的指令xReturn 。 1:正文 因为invokexxx指令和普通的指令不同,会创建一个新的栈帧,并压倒操作数栈中,所以我…

《黑神话:悟空》在PS5上优化得不错 能达到2K/60帧

《黑神话:悟空》是今年最受玩家期待的游戏之一,但许多粉丝担心该作优化不佳,因为其使用的是虚幻5引擎。虚幻5引擎会导致性能问题出现,游戏 科学的新作也将面临同样问题。但有新报告称,《黑神话》PS5版优化得相当不错&a…

UE 后期处理

UE4后期处理材质的一些应用(上) - 哔哩哔哩 (bilibili.com) UE4后期处理材质的一些应用(下) - 哔哩哔哩 (bilibili.com) 后期处理材质的作用 后期处理材质使您能够设置与后期处理一起使用的材质,以创建破坏的视觉屏幕…

免费【2024】springboot 二手图书交易系统的设计与实现

博主介绍:✌CSDN新星计划导师、Java领域优质创作者、掘金/华为云/阿里云/InfoQ等平台优质作者、专注于Java技术领域和学生毕业项目实战,高校老师/讲师/同行前辈交流✌ 技术范围:SpringBoot、Vue、SSM、HTML、Jsp、PHP、Nodejs、Python、爬虫、数据可视化…

PyCharm找不到Python了咋办

Python发生了重装的,且新的路径和原有路径不同,就会出现如下的错误: 解决办法: 点开PyCharm菜单的File/Setting 然后: 有上图的提示,说明需要将原来的venv进行清空。 如此操作之后,原来的红色…

交通预测数据文件梳理:PEMS04

文章目录 前言一、PEMS04.csv文件二、adj_PEMS04.pkl文件三、adj_PEMS04_distance.pkl文件四、PEMS04.npz文件 前言 最近做的实验比较多,对于交通预测数据的各种文件和文件中的数据格式理解愈加混乱,因此打算重新做一遍梳理来加深实验数据集的理解&…

【矩阵对角线求和】求一个3*3矩阵对角线元素之和

求一个3*3矩阵对角线元素之和&#xff0c;使用C语言实现 具体代码&#xff1a; #include<stdio.h>int main(){float a[3][3],sum0;printf("请输入3x3矩阵的元素&#xff08;按行输入&#xff09;&#xff1a;\n");for(int i0;i<3;i){for(int j0;j<3;j)…

AD 飞线显示混乱、错位

执行Design->Netlist->Update Free Primitives From Componet Pads

8月6(信息差)

&#x1f30d;华为最便宜小折叠&#xff01;华为nova Flip今晚发布&#xff1a;搭载麒麟8000芯片 从曝光的跑分信息来看&#xff0c;nova Flip将搭载麒麟8000处理器&#xff0c;也就是nova 12 Pro/Ultra的同款&#xff0c;采用8核心的134组合&#xff0c;大核是1颗2.4GHz的Cor…

如何用ai来完成数据库分析(1)

前言 因一些课程设计要写长篇分析报告&#xff0c;这里借用ai做一篇指导教程&#xff0c;分上下两篇。这篇也会教如何让ai给你你想要的答案&#xff0c;众所周知&#xff0c;现在的ai并不智能&#xff0c;不针对各类厂家&#xff0c;但是放出来的确实表象如此。 但其实问法决…

SAP ABAP代码模板CLASS

此模板也使用OO ALV,创建新程序简单&#xff0c;功能包装独立&#xff0c;用到一个独立的CLASS. 1.ALV类 class ZCL_CM_GUI_ALV definitionpublicfinalcreate public .public section.data REPID type SYREPID .data DYNNR type SYDYNNR .data TOOLBAR type CHAR30 .data USE…

Linux中的进程替换

一、理解进程替换 首先&#xff0c;exec* 系列函数能让进程执行新程序&#xff0c;上图我们用到的是 int execl(const char* path, const char* arg, ...)函数&#xff0c;所以相当于执行了 ls -la 指令&#xff0c;这就完成了进程的替换。 本来子进程中存放的是父进程的代码和…

5. 有效的括号

5. 有效的括号 题目题目分析 题目 题目分析 一个很标准的关于栈知识点的应用&#xff0c;首先先初始化一个栈&#xff0c;再遍历字符串s,当匹配到为左边字符串是将其压入栈中&#xff0c;遇到右边字符串时要判断此时的栈顶元素是否与其匹配&#xff0c;若匹配则将栈顶元素弹出&…

GPX格式详解,javascript写入读取GPX示例

还是大剑师兰特&#xff1a;曾是美国某知名大学计算机专业研究生&#xff0c;现为航空航海领域高级前端工程师&#xff1b;CSDN知名博主&#xff0c;GIS领域优质创作者&#xff0c;深耕openlayers、leaflet、mapbox、cesium&#xff0c;canvas&#xff0c;webgl&#xff0c;ech…

如何使用Markdown编辑器

欢迎使用Markdown编辑器 你好&#xff01; 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章&#xff0c;了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持&#x…

【PLC】关于子程序功能以及编程过程中的部分心得

博主在使用GX Works对三菱PLC编程的时候用到了子程序功能&#xff0c;这里将使用子程序功能中的一点心得以及编程过程中的部分心得分享给大家。 博主主要对以下几个问题有一些心得&#xff1a; 1、如何调试带有子程序的程序&#xff1f; 2、如何让程序按照计划的顺序去执行&…

【OpenCV C++20 学习笔记】自定义线性滤波-filter2D

自定义线性滤波 原理相关卷积核线性滤波操作 API实例 原理 相关 线性滤波的是指就是相关&#xff0c;即计算图像中的每个部分和卷积核(kernel)的相关结果。 卷积核 卷积核本质上是一个固定大小的系数数组&#xff0c;数组中的某个元素被作为锚点&#xff08;一般是数组的中…

C++之从C过渡(上)

C之从C过渡 前言 暂时告别C语言&#xff0c;我们走进C。对于有C语言基础&#xff0c;初学C的我们来说&#xff0c;在正式学习C的主体内容之前&#xff0c;我们需要先有一个过渡&#xff0c;本文中会总结过渡需要了解的零散知识&#xff0c;主要是语法。 正文 C的第一个程序 …

终于用PC串口显示出esp32 串口输出hello world

硬件&#xff1a; esp32模块 rs232 转ttl 3.3v 电平转换器 3.3v 外接电源 esp32 tx 脚接转换器rx, rx脚接转换器tx esp32 使用uart2 现在就可以用pc作为上位机通过串口控制esp32&#xff0c;用pc串口调试软件作为esp的输出监控器显示esp的各种运算结果。 #include &qu…