背景
某公司組織的一次攻防對抗演習,涉及多家安全廠商聯合作戰。作爲某部門的防守隊員的他進行了一次次的事件分析,從中分析過來的異常數據信息。
內容
某攻擊事件
攻擊時間:2021年
l 攻擊IP: 2.1.4.1
l 常用攻擊手法:暴力破解、Fastjson反序列化漏洞攻擊、致遠OA漏洞攻擊、文件上傳、弱口令攻擊、Java攻擊、僞協議攻擊、代碼上傳攻擊
(1)SOC查看:
可以清晰地看到嚴重等級信息和攻擊事件信息;
其中源地址2.1.4.1對目的地址1.3.1.1發起Fastjson反序列化漏洞攻擊(通用);數據源:天眼(奇安信)
WAF非阻斷事件-WAF(安恆);數據源:Web應用安全網關(WAF)(安恆);攻擊者上傳了木馬文件進行攻擊已經被攔截
致遠OA漏洞攻擊
用戶弱口令認證:
源地址2.1.4.1對目的地址2.5.3.2進行Web弱口令登錄
發現上傳文件行爲:
外網:數據源:天眼(奇安信),據悉,從63119端口出,目的端口9999進行了攻擊致遠A8協同管理軟件
(2)蜜罐查看:
-
掃描IP地址發現端口開放
tcpwrapped指的是tcpwrapper,是unix或linux平臺上的主機訪問控制程序。
使用Nmap掃描主機時,報出服務名字是tcpwrapped,這說明tcp三次握手已經完成,但是並沒有和目標主機建立連接。
這表明,雖然目標主機的某項服務是可提供的,但你不在允許訪問主機的名單列表中。
當大量的端口服務都爲tcpwrapped時,這說明可能是有負載均衡或者防火牆阻斷了你的連接請求。
- 查詢地址進行訪問無法連接
- IP反查域名**vpn.vst*cs.com
- 查詢ID找到信息
- 從貼吧內找到QQ
- 手機號信息
- 通過域名發現註冊5年了
- 查詢到相關子域名
- 域名備案地址
- 查到DNS服務器地址
- 註冊郵箱信息和電話
- 找到奇安信VPN,猜測爲奇安信公司,也可能不是
- 界面如下:
思考
- 知道了郵箱地址,可通過發送郵件釣魚馬進行反制拿下對手;
- 知道了域名備案地址,可通過其公司進行了解註冊人的信息;
- 破解VPN進行登錄查看是否有日誌審計或者個人資料等信息;
- 通過查奇安信VPN去找到對方;
- 或者其他的奇技淫巧來實現(通過正常渠道)
結果
l 網絡ID:baidu:************
l VPS爲:奇安信VPN
l 公司:***************
l QQ:*******************
l QQ郵箱:********************
l 手機號:132********
l 操作系統:Windows 10
l 設備類型:PC
l CPU核心數:8
l 語言:中文
l 顯卡設備:ANGLE (Intel(R) UHD Graphics 620 Direct3D11 vs_5_0 ps_5_0)
l 音頻設備:48000_2_1_0_2_explicit_speakers
l 瀏覽器:Chrome(windows)
l 瀏覽器UA:Mozilla/5.0 (Windows NT 10.0; Win64; x64)AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.111 Safari/537.36
l 開放端口:21、25、110、514、443、8443
l 服務器爲:nginx
l VPS域名:**vpn.vst**s.com
l 相關子域名:vst**s.com、www.vst**s.com
l 域名服務器 whois.verisign-grs.com
l 域名服務器 grs-whois.hichina.com
l DNS服務器 vip1.alidns.com- 203.119.159.111
l DNS服務器 vip2.alidns.com- 106.11.30.114
l Registrar Abuse Contact Email: [email protected]
l Registrar Abuse Contact Phone: +86.95187