攻防演练后的一点随记

攻防演练

攻防演练算是告一段落了,各位红队和蓝队的兄弟们都辛苦了,写一点随记,供大家参考。

记得第一次参加攻防演练是在2018年,当时被派到北京,在某个政企单位做攻防演练支撑工作,然后2020年又被紧急派到长沙支撑公司某部门的攻防演练工作,2021年没有出差支撑工作,安排了组里的两位小兄弟出去,然后其余人在总部全力支撑攻防演练工作,其实在攻防演练的前期,我们团队就通过监控发现了很多红队的样本,还专门建立了红队样本库,并通过分析提取了很多公鸡队的IP地址和域名信息,积累了一些样本数据情报为攻防演练做准备。

攻防演练期间,我的团队主要承接了从公司各个渠道收集或其他团队反馈过来的可疑样本的分析与相关溯源工作,并提供相应的分析报告给客户,整个攻防演练期间,收到最多的几句话:

1.正哥,客户有个可疑样本需要看看

2.正哥,这个样本很紧急,加急处理一下

3.正哥,客户今天要出报告,麻烦赶紧处理一下

4.正哥,客户被钓鱼了,有几个钓鱼邮件需要看看

5.正哥,有个客户可能被攻击了,需要溯源看看

......

没想到今年攻防演练期间样本会这么多,前几年攻防演练的时候,真没有这么多的样本,今年各种钓鱼样本太多了,各种五花八门的骚操作,有些红队还专门构建各种客户业务的场景对客户进行钓鱼攻击,安全攻击手法多种多样,不过发现社工钓鱼永远是黑客最喜欢,也是最常用的攻击方式,在攻防演练期间,如此高的安全意识的前题下,还是有很多客户被钓鱼攻击成功的,可见在平时安全意识没有这么高的情况下,真实的黑客通过钓鱼攻击的成功率可能会更大。

今年红队的样本使用的攻击手法也是越来越高级了,很多样本都是使用了CS后门,加载CS的方式多种多样,注入手法也有差异,大部分ShellCode基本都是加密的,然后在内存解密还原,有本地的有远程的,程序很多伪装成OFFICE图标,使用超长名字或转义字符文件名,利用白+黑加载,各种反调试,反分析技术,还有使用不同的加密加壳,以及不同的编 程语言编写的,基本上红队的一些常见的攻击手法,能用的都用上了。

随笔

攻防演练活动对国家的网络安全建设起到了很好的推动作用,同时也提高了各企业的安全保护意识,其实不仅仅国内在进行网络安全攻防演练,国外最近也在进行大规模的网络安全攻防演练,前段时间为期四天的全球最大网络安全演习活动北约“锁盾2021”也落幕了,该演习由北约协同爱沙尼亚国防军、芬兰国防军、美国欧洲司令部、韩国国家安全研究院和TalTech联合举办,全球共有2000多名专家参加,全球注网络安全战,已经打响,咱们要努力学习,平时多多练习,提升自己的网络安全技能,日积月累,真实作战的时候,才能比对手更快,未来网络安全攻击活动会越来越频繁,整个社会对网络安全人才都非常渴求,网络安全行业需要更多专业的人才,还有更多的安全威胁和攻击事件需要去及时发现和应响。

攻防演练结束了,然后真实的黑客攻击活动却一直存在,最近又接到了一些朋友通过微信或其他渠道找到我,说朋友公司被勒索了,问我怎么办?目前大部分勒索病毒是没有办法解密的,只能以防为主,提高安全意识了,每天都有很多真实的黑客攻击事件在发生,因为保密的原因,笔者就不透露了,就像笔者之前说的,对APT攻击感兴趣的,可以查看笔者之前写的一篇文章《聊聊APT的溯源分析》,未来定向的APT高级威胁的攻击会越来越多,国与国之间,企业与企业之间,黑客组织每天都是在寻找新的目标和利用新的攻击方式,其实这种分析和溯源是需要花费大量的时间和精力的,笔者处理过很多真实的黑客攻击事件,样本的分析也是一个很复杂的过程,需要团队平时不断的练习,不断的提升自己的分析水平和分析速度,到了实战的时候,才能更快的找到威胁,很多厂商开始推广自己的威胁猎捕和威胁分析服务,主要是基本客户的需求,给客户提供威胁发现和分析的服务,帮助客户快速找到企业中存在的威胁,事实上很多企业可能已经中招了,只是还没有发现,所以需要更多专业的人员去分析和发现。

我很喜欢看日本北野武主演的一部电影,名叫《座头市》,这部电影非常不错,推荐大家去看看,里面打斗场景没有太多花哨的动作与招式,就是一个字:快,星爷在电影中也提到了,天下武功,无坚不破,唯快不破,其实做安全也是一样的,大家的武功招式基本都差不多,比拼的就是速度,谁能更快的获取到情报,谁能更快的及时响应,比如在攻防演练期间被爆光了两个chrome 0day,一些红队马上就开始利用这两个0day发起攻击,相应的防守方也马上捕获到了最新的攻击样本,大家比拼的其实就是速度,当发现一个新的漏洞出现的时候,分析人员需要快速分析漏洞,提取相应的特征,产品能及时防护,当捕获到一个最新的攻击样本或客户被攻击的时候,分析人员需要快速分析样本,进行溯源,及时给客户输出相关的报告,整个过程都需要快,因为客户会比较着急,大家其实都是在比拼速度,谁能更快的应响客户,帮助客户处理问题,也许谁就能获得客户的信任。

结尾

安全说到底,永远是人与人的对抗,不管是红队,还是蓝队,大家都是各怀绝技的安全研究人员,我常常比喻安全就是江湖,有人的地方就有江湖,有安全研究人员的地方,就有安全问题的存在,所有的漏洞都是人产生的,也都是由人发现的,所有的攻击武器和攻击样本也都是人编写的,安全的核心就是人与人的对抗,黑客不断的在变化着自己的攻击手法,不断更新研发自己的攻击武器,同时安全研究人员也需要不断的提升自己的安全能力,不断提升自己的安全应急响应速度,更好的满足客户的要求,更快的捕获到黑客攻击的情报,帮助客户及时发现安全威胁,保护客户的重要数据和业务正常运行,从国家层面讲,就是要保护国家基础设施,不被黑客组织破坏,国家重要的机密信息,不被黑客组织窃取。

好了,就随记到这里吧,有空再给大家分享,做安全,不忘初心,一起为国家的网络安全事业贡献自己的一份力量。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/387928.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

【STM32 CubeMX】学STM必会的数据结构——环形缓冲区

文章目录 前言一、环形缓冲区是什么二、实现环形缓冲区实现分析2.1 环形缓冲区初始化2.2 写buf2.3 读buf2.4 测试 三、代码总况总结 前言 在嵌入式系统开发中,经常需要处理数据的缓存和传输,而环形缓冲区是一种常见且有效的数据结构,特别适用…

提前部署游戏业务防护,为何如此重要?

现在做网络游戏的企业都知道服务器的安全对于我们来说很重要!互联网上面的DDoS攻击和CC攻击等等无处不在,而游戏服务器对服务器的防御能力和处理能力要求更高,普通的服务器则是比较注重各方面能力的均衡。 随着游戏行业的壮大,网络…

java 宠物在线商城系统Myeclipse开发mysql数据库web结构jsp编程servlet计算机网页项目

一、源码特点 java 宠物在线商城系统是一套完善的java web信息管理系统 servletdaobean mvc模式,对理解JSP java编程开发语言有帮助,系统具有完整的源代码和数据库,系统主要采用B/S 模式开发。开发环境为TOMCAT7.0,Myeclipse8.5开发&…

尚硅谷最新Node.js 学习笔记(三)

目录 六、Node.js 模块化 6.1、介绍 什么是模块化与模块? 什么是模块化项目? 模块化好处 6.2、模块暴露数据 模块初体验 暴露数据 6.3、导入(引入)模块 6.4、导入模块的基本流程 6.5、CommonJS规范 七、包管理工具 7…

站在C/C++的肩膀速通Java面向对象

默认学过C或C,对变量、表达式、选择、循环都会。 运行特征 解释型语言(JavaScript、Python等) 源文件-(平台专属解释器)->解释器中执行编译型语言(C、Go等) 源文件-(平台编译器)->平台可执行文件Java 源文件-(…

算法详解:滑动窗口-- 最大连续1的个数 III

题目来源:力扣(LeetCode)官网 - 全球极客挚爱的技术成长平台 本期讲解滑动窗口经典例题,我会从三个点开始讲解题目1.题目解析2.算法原理 3.编写代码 1.题目解析 这道题目理解起来还是比较简单的,我们简单分析一下,也就是给定一个数组,数组是由1和0组成…

AtCoder Beginner Contest 335 (Sponsored by Mynavi) --- F - Hop Sugoroku -- 题解

目录 F - Hop Sugoroku 题目大意: 思路解析: 代码实现: F - Hop Sugoroku 题目大意: 思路解析: 容易想到这是一个dp题,然后初始转移方程为: 如果当a[i] 较大时,时间复杂度为 O(N…

【AI视野·今日NLP 自然语言处理论文速览 第七十九期】Thu, 18 Jan 2024

AI视野今日CS.NLP 自然语言处理论文速览 Thu, 18 Jan 2024 Totally 35 papers 👉上期速览✈更多精彩请移步主页 Daily Computation and Language Papers Deciphering Textual Authenticity: A Generalized Strategy through the Lens of Large Language Semantics …

MySQL数据库-MVCC多版本并发控制

mvcc,多版本并发控制(Multi-Version Concurrency Control),是一种用于数据库管理系统中的并发控制方法. 在传统的并发控制方法中,如锁定机制,当一个事务修改数据时,会对相关的数据对象进行锁定,其他事务需要等待该锁释放才能进行操作。这种方法存在着事…

操作系统-408

一、操作系统概述 1、定义 负责协调软件和硬件的计算机资源的工作为上层应用提供简易的服务操作系统是系统软件 2、功能: 操作系统是系统资源的管理者 处理机管理存储器管理文件管理设备管理向上层提供方便易用的服务 命令接口程序接口对硬件机器的扩展 3、特征…

详解tomcat中的jmx监控

目录 1.概述 2.如何开启tomcat的JMX 3.tomcat如何实现JMX的源码分析 1.概述 本文是博主JAVA监控技术系列文章的第二篇,前面一篇文章中我们介绍了JAVA监控技术的基石——jmx: 【JMX】JAVA监控的基石-CSDN博客 本文我们将从使用和源码实现两个方面聊…

springboot743二手交易平台

springboot743二手交易平台 获取源码——》公主号:计算机专业毕设大全

Python面向对象学习小记——面向过程VS面向对象

【面向过程就好比你是一个工人,你得亲自去做一个个任务 面向对象就好比你一个包工头,你可以差遣你下面的工人去做】

日期类运算符重载以及const成员详细解析

个人主页:点我进入主页 专栏分类:C语言初阶 C语言进阶 数据结构初阶 Linux C初阶 算法 欢迎大家点赞,评论,收藏。 一起努力,一起奔赴大厂 目录 一.前言 二.运算符重载 2.1概念 2.2比较的符号重载 2.2.1…

linux 安装docker

目录 环境 操作步骤 1 下载脚本 2 执行脚本 3 检查docker版本,证明安装成功 环境 阿里云 ubuntu 22.04 64位 操作步骤 参考linux系统安装docker-腾讯云开发者社区-腾讯云 (tencent.com) 1 下载脚本 curl -fsSL https://get.docker.com -o get-docker.sh …

JavaWeb学习|Filter与ThreadLocal

学习材料声明 所有知识点都来自互联网,进行总结和梳理,侵权必删。 引用来源:尚硅谷最新版JavaWeb全套教程,java web零基础入门完整版 Filter 1、Filter 过滤器它是 JavaWeb 的三大组件之一。三大组件分别是:Servlet 程序、Liste…

RH850从0搭建Autosar开发环境【2X】- Davinci Configurator之XCP模块配置详解(上)

XCP模块配置详解 - 上 一、XCP模块配置项处理1.1 Tx Pdu配置项二、XCP模块其他配置项2.1 参数XcpMainFunctionPeriod2.2 参数XcpOnCanEnabled2.3 容器XcpOnCan总结从本节开始先专注与配置项错误处理以及构建Autosar Rh850的最小系统搭建。 XCP模块在汽车电子各控制器中处于十分…

使用ShardingJDBC实现分库分表

一、测试环境 JDK&#xff1a;1.8SpringBoot&#xff1a;2.7.17MySQL驱动&#xff1a;5.1.49MyBatis&#xff1a;2.3.1shardingJDBC&#xff1a;5.1.0 二、核心依赖 <!-- mysql 驱动 --> <dependency><groupId>mysql</groupId><artifactId>mysq…

Django学习笔记教程全解析:初步学习Django模型,初识API,以及Django的后台管理系统(Django全解析,保姆级教程)

把时间用在思考上是最能节省时间的事情。——[美]卡曾斯 导言 写在前面 本文部分内容引用的是Django官方文档&#xff0c;对官方文档进行了解读和理解&#xff0c;对官方文档的部分注释内容进行了翻译&#xff0c;以方便大家的阅读和理解。 概述 在上一篇文章里&#xff0…

【Python】高级数据类型

&#x1f6a9; WRITE IN FRONT &#x1f6a9; &#x1f50e; 介绍&#xff1a;"謓泽"正在路上朝着"攻城狮"方向"前进四" &#x1f50e;&#x1f3c5; 荣誉&#xff1a;2021|2022年度博客之星物联网与嵌入式开发TOP5|TOP4、2021|2222年获评…