网安面经收集

Appearance

1. 应急响应流程

  1. 事件发生
    运维监控人员、客服审核人员等发现问题,进行安全告警
  2. 时间信息收集并分析(事件确认及分类)
    收集事件信息、分析网络活动相关程序、日志和数据、判断事件的严重性、评估出问题的严重等级、是否向上进行汇报等
  3. 判断是否上报
    否 事件关闭
  4. 事件处理
    各个部门通力合作、处理安全问题、具体解决问题、避免存在漏洞未修补、后门未清除等残留问题。
  5. 编写报告
  6. 事件关闭
    处理完事件后,需要关闭事件,并写出安全应急处理分析报告

2.拒绝攻击DDOS

  1. CC攻击:攻击者借助代理服务器生成指向受害主机的合法请 求,实现DDOS和伪装就叫:CC(Challenge Collapsar),CC 主要是用来攻击页面的。
  2. SYN攻击:SYN攻击是黑客攻击的手段。SYN洪泛攻击的基 础是依靠TCP建立连接时三次握手的设计。
  3. 纯流量攻击:发送大量垃圾流量
    抗D思想和方案:1.负载均衡 2.花钱买流量清洗服务 3.装waf 4.花钱买高防设备

3. 水坑攻击和鱼叉攻击

  1. 水坑攻击指的就是黑客通过分析被攻击者经常访问的网络活动规律,寻找被攻击者经常访问的网站的 弱点,先攻击该网站植入攻击代码,等待被攻击者来访时实施攻击。
  2. 鱼叉攻击是指利用木马程序作为电子邮件的附件,发送到目标电脑,诱导受害者去打开附件感染木马。

4.设备误报如何处理

  1. 来自外网的误报说明安全设备需要进行策略升级,不需要处置。
  2. 如果是来自内网的误报可以和负责人协商一下看能不能解决,有必要的话添加白名单处理。

5.如何判断是否是误报

首先看ip是内网ip还是外网ip

  1. 如果是内网ip,并且有明显的恶意请求,比如ipconfig那么此内网服务器可能会失陷。还有可能就是内网的系统有一些业务逻辑问题,因为内网在部署的时候很少会考虑一些安全问题。比如说内网的业务逻辑携带了一些sql语句,这一类属于误报
  2. 如果是外网ip,根据请求报和响应包的内容进行对比判断。比如sql语句查询用户名密码,然后响应包返回了相应的内容,这一类是属于恶意攻击。

6.挖矿事件应急处置

  1. 执行top命令,查看CPU占用情况,有无异常
  2. 查找恶意文件样本,并确定程序的运行时间
  3. 首先获取恶意域名(微步在线、360威胁情报中心…获取),从而根据域名确定木马类型
  4. 处理异常进程并删除恶意文件,最后排查是否有可疑的计划任务、自启动

7. 勒索病毒应急处置

  1. 首先就是物理断网、隔离主机,然后判断勒索病毒存活,可以通过创建几个.exe .txt空白文件看是否会被加密判断存活
  2. 排查业务系统,了解勒索病毒加密时间、中招范围以及影响程度
  3. 可以根据预留文件、预留邮箱判断出攻击团伙,对后续的溯源也有很大的帮助
  4. 分析勒索程序,获取ip、域名相关信息,上传至威胁情报中心查询5)可以将勒索程序上传到一些勒索病毒搜索引擎,比如360、深信服,看能不能进行解密

8. 钓鱼邮件应急处置

  1. 将受害主机断网隔离,有安全设备可以对所有主机资产进行病毒查杀
  2. 查看邮件原文
    1. 看指纹信息(什么发送工具平台
    2. 看发送IP地址(服务器IP或攻击IP
    3. 根据域名寻找邮件服务器地址(利用红队手段渗透获取信息)
    4. 可能存在个人的ID昵称用户名(利用社工的技术手段进行画像)
  3. 上机排查netstat查外联,然后就是进程定位查找到文件的位置

9.webshell排查处置

  1. 首先排查工具方面D盾、河马,手工方面可以对比未上传webshell前的备份文件,可以对比他的MD5值
  2. 然后就是通过查看webshell的创建时间判断他攻击的时间范围,方便后续的溯源、追踪他的攻击路径
  3. 对web日志进行分析,以查找攻击路径以及失陷原因
  4. 最后就是进行漏洞分析,主要分析是什么漏洞导致的webshell攻击
  5. 最后进行漏洞复现,从而还原他的攻击路径

10. 内存马应急

  1. 进程分析:通过查看系统中所有进程的信息,包括进程名称、PID、所属用户、内存占用等,可以尝试发现异常进程并排除其中是否存在内存马
  2. 系统日志分析:通过分析系统日志文件,可以查看系统启动、服务开启、网络连接等活动,以了解是否有可疑的行为发生内存分析工具:使用专业的内存分析工具,例如 Volatility Framework、Mandiant Memoryze、Rekall等,可以在内存中查找潜在的内存马代码或痕迹,并进行初步分析和定位
  3. 网络监测工具:通过网络监测工具,例Wireshark、Tcpdump等,可以捕获网络流量,了解是否有可疑的网络请求或通信行为,进步定位内存马的来源和命令控制中心
  4. 安全软件扫描:利用杀毒软件和安全扫描工具,例如 Norton Power Eraser、 Kaspersky、TDSsKiller等,可以对系统进行全面的扫描和检测,以发现并清除可能存在的内存马

11. 暴力破解如何研判

  1. 可以通过规律,如果请求的次数与这个正常请求的次数有一定差距,则需要进一步分析
  2. 特征字符,比如它是对smb协议进行暴力破解,然后我们可以看有没有相应的关键字,

12. 如何判断是否蜜罐

  1. 查看页面源代码,一般都会有那个很长的一段js加密代码
  2. 可以通过360网络空间测绘进行查询

13. sql注入告警,怎么判断是否攻击成功

根据请求包和响应包对比进行判断。比如看下请求包内是否有sql语句,如果有sql语句,并且响应包内容有执行成功的回显,那么判定sql注入攻击成功。

14. 命令执行的告警,怎么判断是否攻击成功

根据请求包和响应包进行对比判断,看下请求包内是否有系统命令,比如看下请求包内是否有ipconfig,然后看下响应包回显是否有ip相关的内容,如果有的话说明攻击成功,如果没有,说明攻击未成功,但是确实也还是恶意攻击

15. ssrf告警,没有明显的回显,怎么判断是否攻击成功

如果能做漏洞验证的话,我会进行复现验证下。如果不能做漏洞验证的话,就查下日志看看他探测的目标有没有流量交互,如果有流量交互的话应当是攻击成功

16. sqlmap的流量特征

  1. sqlmap的关键字特征:user-agent、 xss测试语句、随机数的位数
  2. sqlmap的攻击流程具有一定的顺序和规律
  3. sqlmap的一些payload测试语句具有模板特征

17. CS流量特征

心跳包60s,默认端口50050,0.0.0.0是Cobalt Strike DNS Beacon特征HTTP:

  1. 根据源码特征可以用Wireshark抓取他的HTTP请求包,然后提取他的请求url路径通过checksum8解密算法,如果得到的结果为92或93,则可以判断他的cs是没有进行魔改的
  2. 使用流量样本解密心跳请求https://blog.didierstevens.com/didier-stevens-suite/python 1768.py xxxx.vir
    HTTPS:1)源码特征(ja3 ja3s)同一系统下的cs得到它的ja3 ja3s值是一致的

18. log4j流量

Log4j就是java的日志插件,处理日志存在”KaTeX parse error: Expected '}', got 'EOF' at end of input: …入,流量特点就是数据包里面有”{“字段。

19. shiro流量

1.2.4 key是写在源码里的,找到key就能构造攻击链,1.2.4之后的775key是随机生成的,但我们还可以构造cookie,尝试构造攻击链。
Shiro流量特征:数据包含有多个$$$符号,C参数含有base64编码。

20. fastjson流量

原理也是jdni注入 利用就是构造一个json字符,用@type指定一个类库,流量特征就是json autotype

21. Weblogic流量

xml的反序列化漏洞,通过xmldecoder还是什么导致的xml解析代码执行。弱口令。
流量特征:不加密,常见的出网协议也可以用。有很多T3协议的特征,文件操作和冰蝎一样有fileoutstream字段。

22. 一台主机在内网进行横向攻击,你应该怎么做?

  1. 确定攻击来源,是不是员工内部误操作,比如询问运维是否有自动化轮询脚本
  2. 如果没有,确定是攻击,结合时间点,根据设备信息,看一下安全事件,进程,流量
  3. 找到问题主机,开始应急响应流程:准备、检测、遏制、根除、恢复、跟踪,具体的操作要交给现场运维去处理

23. 0day

确定存在真实攻击行为,在客户允许的情况下,可以采取断网隔离措施,不行就采取白名单连接防火墙策略
看告警、确定资产,poc复现、确认是否攻击成功

24. 溯源

  1. 溯源事件调查分析可以根据目标和深度的不同分为三个级别,即攻击路径调查、攻击团伙调查、攻击人员调查
  2. 攻击路径调查是最基本的也是最重要的调查取证工作。
    1. 攻击源捕获(设备告警、日志流量分析、蜜罐系统),获得攻击者真实IP,定位目标,利用精准IP定位目标的位置,IP数据
    2. 利用常规的渗透测试思路找出攻击者攻击的手法,比如说当前系统使用的是鱼跃cms,然后我们可以通过查询鱼跃cms历史漏洞看有没有可以利用的点,然后逆向判断出攻击者的攻击手段
  3. 有时候我们可以判断出发动攻击的团伙是哪个,然后更全面的了解该攻击同伙惯用的攻击手法,这也有利于溯源的进行或者进而部署更全面的安全防护方案,这就是攻击团伙调查
  4. 接下来就是要获取攻击人员信息,ID追踪术,利用搜索引擎、社交平台、技术论坛、社工库匹配具体技巧:
    1. 域名、ip 反查目标个人信息
    2. 支付宝转账,确定目标姓氏
    3. 淘宝找回密码,确定目标名
    4. 企业微信手机号查公司名称
  5. REG007 查注册应用、网站
  6. 程序 PDB 信息泄露,如果能拿到攻击木马样本,因为攻击者在编译攻击样本的时候会有那个调试信息,这也是一种信息泄漏
  7. 还有就是各大src排行榜,各种社交微博,vx都可以进行这个id的追踪

25. 溯源技巧

  1. 通常情况下我们接到溯源任务的时候,可以获取到很多信息,如攻击者ip、攻击类型、恶意文件、攻击详情可以作为我们溯源的入手点。
  2. 通过攻击类型分析攻击详情的请求包,看有没有攻击者特征,通过获取到的 IP 地址进行威胁情报查询来判断所用的 IP 具体是代理 IP 还是真实 IP 地址。
  3. 如果遇到端口扫描,大概率为个人vps或者空间搜索引擎,在接到大量溯源任务时可以优先溯源
  4. 如果遇到命令执行,大概率为未经任何隐匿的网络、移动网络、接到脚本扫描任务的肉鸡,在接到大量溯源任务时可以优先溯源
  5. 如果遇到爬虫大概率为空间搜索引擎,可放到最后溯源

26. 通用入侵检测方案

  1. 入侵检测是一项必不可少的终端安全功能。通常可以根据攻击者发起攻击的不同阶段设计出不同的检测方法。

    1. 流量检测方案可以通过部署流量探针,对流量的源头ip、源头端口、协议类型等使用规则或特征进行入侵检测1)威胁情报ioc检测:连接本机的ip被标记为活跃攻击源或者被标记为c&C服务器,则可能是一次入侵攻击
    2. 流量特征检测:通过匹配特征码的方式检测已知威胁3)异常流量检测:寻找流量中不合常理的异常行为,比如非预期的异地登录、频繁尝试登录

  2. 行为检测方案

    1. 可疑程序执行,可以对可执行的程序或命令进行鉴别,如果不符合预期,则可能已经被入侵。通常的检测模型有零信任模型、非白即黑模型等等
    2. 可疑shell执行,攻击者在攻击成功之后通常都会执行一些持久化的脚本比如powershell脚本等等
    3. 异常行为检测:攻击者入侵肯定会有一些目的,比如频繁的读取文件(勒索病毒)窃取文件、创建后门账号等,如果发现执行这些敏感操作的进程都是非预期的则可能已经被入侵

  3. 痕迹检测方案

    1. 可疑程序检测:可以查看有无遗留的恶意程序或者非预期的可以程序,则有可能已经被入侵2
    2. 持久化攻击检测:对程序的一些自启动服务(如注册表启动项、注册表)
    3. 安全日志检测:攻击者的入侵过程会在系统安全日志留下事件信息,如登录成功或者登录失败
    4. 日志完整性检测:有些攻击者为了不留下攻击痕迹,会清除或者替换系统日志。如果发现日志被清空,或者某段时间日志被删除,则可能已经被入侵