电脑做系统ppt下载网站,网站运维服务内容,企业网站建设规划可行性分析,企业网站案例书接上文#xff0c;《网络安全攻防演练风云》专栏之攻防演练之-网络安全产品大巡礼二#xff0c;这里。
演练第一天并没有太大的波澜#xff0c;白天的时间过得很快。夜色降临#xff0c;攻防演练中心内的灯光依旧明亮。对于网络安全团队来说#xff0c;夜晚和白天并没有…书接上文《网络安全攻防演练风云》专栏之攻防演练之-网络安全产品大巡礼二这里。
演练第一天并没有太大的波澜白天的时间过得很快。夜色降临攻防演练中心内的灯光依旧明亮。对于网络安全团队来说夜晚和白天并没有什么区别攻击队的攻击从不分昼夜。
夜班的安排
由于攻防演练需要7*24小时的值守因此每天的晚上必须安排人员进行值守Nick在下班前将大家聚集了起来谈论值守安排。
“各位接下来是演练期间的夜间值守安排”Nick在平静的说到。他的声音平稳而有力显示出作为领导者的果断。“每晚需要两个人值守确保我们能够及时应对任何突发情况。根据以往的经验夜间的工作会相对的轻松。”
小白坐站在一个不起眼的角落虽然他团队中的拼角但他知道作为团队里地位最低的成员他将承担更多的夜间值守任务。
“首先小白你的值守安排是最多的年轻人熬夜应该不成问题”Nick看向小白语气中带着一丝歉意但更多的是理所当然的安排。
“没问题Nick总我可以的”小白点点头他早已做好心理准备。
“接下来王工和我们团队的成员每个人值守三个晚上。刘总亮哥你们三个人每人也值守一个晚上”Nick继续安排道。
王工微微皱眉但还是点了点头。他长期驻场对甲方的环境非常熟悉知道值守的必要性。虽然心中不情愿但是没啥地位的他他还是选择了服从安排。
亮哥则明显有些不悦他们本身的目标和安服并不一致何况对于他们这些职场老油条来说熬夜值守无疑是最不愿意接受的任务。但是为了安服能够说几句产品的好话他们也只能无奈接受。“好的我们做好准备”亮哥则说到他知道在这样的团队中有些事情是无法避免的。
“明白了Nick”刘总勉强一笑内心却在盘算如何在这次演练中尽量减少自己的工作量。
安排结束后团队成员们陆续离开小白和Nick留下来继续熟悉夜间值守的流程。Nick走过来拍了拍他的肩膀“小白我知道这对你来说不容易但是对于我们做安服的人来说加班已经习以为常将来你走进职场就会明白”。
“谢谢Nick总我一定会努力的”,小白回应道。
值守的第一晚小白和Nick一起值守。Nick虽然态度平静但也不时露出倦意。
“小白你觉得这种值守安排合理吗”,Nick问道。
“合理不合理不是我能决定的。”小白笑了笑“不过既然安排了我就尽力做好吧。”
Nick没有做声护网第一晚很平静相安无事。
夜间值守的第二晚小白和王工一起值守。王工坐在监控前和小白一样专心的处理一些日常的监控工作。
“王工这种夜间值守的安排你觉得怎么样”小白小心翼翼地问道。
王工叹了口气“其实对我们这些老家伙来说熬夜确实不容易。不过安全工作需要人来做年轻人多承担一些也是应该的。”
“我理解”小白点点头“不过作为新手我觉得这是一个很好的学习机会。”
“你这么想就对了”王工笑了笑“多学点东西对你未来的发展有好处”。
值守的第三晚小白和刘总一起值守。刘总明显不如王工那般专注他不断走出演练大厅似乎在期待时间快点过去。
“小白你真能熬啊年轻就是好”刘总打了个哈欠说道。
“刘总熬夜对我来说还好主要是觉得能学到很多东西”小白说道。
“是啊年轻人有干劲是好事。不过你也要注意身体别太拼了。”刘总显得有些敷衍。 钓鱼邮件的发现
自从Nick交代小白每天盯紧邮件网关之后作为学生的小白十分的负责和兴奋。于是他每天都特别留意那些被邮件网关判定为可疑或恶意的电子邮件。
由于小白白天在酒店休息多数的工作时间是在晚上。每天晚上交班之后小白都会第一时间打开电脑进入邮件网关的监控界面查看最新的可疑和恶意的邮件。他对需要二次判断的邮件的内容、发送者的IP地址、邮件头信息等都一一记录在案并将这些信息汇总给Nick。
在这段时间里小白连续向Nick报告了多次针对甲方的网络钓鱼活动Nick对小白进行了鼓励。但他也告诉了小白单靠邮件网关提供的信息还不够要想形成有效的溯源报告需要更多的情报和更深入的分析当然有的时候是需要运气的。之前小白报告的诸多钓鱼邮件由于团队内部无法给出完整的攻击链因此都被放弃继续分析。
尽管如此小白并没有气馁。他每天依旧认真地盯着邮件网关仔细观察每一封可疑邮件试图发现有价值的内容。
演练活动进行到第三天小白按照前几天的流程把一封发送者伪装成甲方的合作伙伴内容是要求接收者点击一个链接和附件并填写身份信息的邮件的详细信息报告给了NickNick照例组织团队进行分析。
深入溯源的过程
按照攻防演练规则的要求以及之前的经验针对钓鱼邮件的攻击手段需要能够给出邮件发送者相关信息的证据收集邮件的目的是什么才能被判定为有效的溯源报告。
“这个邮件服务器的IP地址是一台境外的云主机最近被VT标记成为垃圾邮件。”
Brain是整个安服团队里面比较特别的一个他之前有过红队的经历今年开始从事蓝队的工作因此在团队中他是最擅长从红队角度进行分析因此团队中的反制工作往往是由他亲自操刀。因此溯源攻击者的工作Nick便将工作交给了他。关于钓鱼连接和样本的分析工作Nick则是将其交给了团队中一名擅长逆向工作的小志。
WEB邮箱以及邮件服务器这些互联网的攻击面对于Brain来说属于家常便饭。在Brain多年娴熟技巧的加持下经过一个上午的努力Brain成功在邮件服务器上找到了发送者的相关的操作记录。根据相关的日志记录Brain能够确定的是实际的threat actor通过控制互联网一个邮箱服务器发送钓鱼邮件。但是是谁操控者这台服务器短时间内无法对于邮件服务器进行全面的取证分析。Brain深知有些操作点到为止即可因此他放弃了继续深入追踪的想法转而整理分析思路进行归档。
另一边小志也在对邮件的样本进行动态和静态的分析沙箱报告显示这些钓鱼链接均指向境外的非营利性网站。同时沙箱的样本报告也显示样本在后台运行后会启动定时任务但是沙箱报告并没有显示网络连接的行为。为了进一步分析样本中其他的IOC小志在小白等人惊讶的目光中炫耀了一把软件调式的艺术。代码显示该样本会在计算机重启之后收集本地的credential发向境外的不同地址。经过小志的一番骚操作之后证明了URL和样本的目的是收集用户名和密码并发送至控制的傀儡机。由于Nick深知对于傀儡机的取证也是吃力不讨好的因此放弃了进一步的溯源因此他们针对钓鱼邮件的溯源工作就此为止。
形成溯源报告
在基本搞清楚整个的来龙去脉之后Nick便要求团队内唯一的女士小美按照Brain和小志的分析结果快速的出具溯源报告。小美是团队内非常重要的一名角色主要负责溯源报告的输出以及团队的后勤工作。
在Nick的带领下小美迅速整理了所有的溯源信息形成了一份详细的溯源报告。报告不仅详细描述了攻击过程还分析了攻击者的动机和可能的下一步行动。
“这份报告很全面。”Nick满意地点点头“我们马上提交给裁判组。”
不久后裁判组的反馈传来他们对这份溯源报告给予了通过认为这是一次有效的溯源。小白和他的团队成员们都非常兴奋这是目前甲方第一份有效的溯源报告为甲方取得开门红也让他们对接下来的演练充满了信心。
“干得漂亮”Nick拍了拍小白的肩膀“这次是一个好的开始接下来我们要再接再厉争取更多的输出。”
小白点点头他深知这只是开始接下来还有更多的挑战等着他们。但他对自己的团队充满信心他相信只要大家齐心协力一定能在这次演练中取得更多的成功。通过这次钓鱼溯源的成功小白对演练工作蓝方的工作内容心中也有了底小白对网络安全工作的理解也更加深入。他明白了溯源不仅仅是技术手段的运用更是对细节的关注和对信息的综合分析。
在接下来的几天里小白和他的团队继续保持高强度的工作不断分析和处理各种可疑邮件和安全事件。他每天都在不断学习和进步逐渐掌握了更多的技术和方法。
由于溯源的成功Nick安排小美给大家每人点了一杯瑞幸咖啡大家都非常的开心。
本故事中人物角色和故事情节纯属虚构如有雷同纯属巧合。
本文为CSDN村中少年原创文章未经允许不得转载博主链接这里。
