红队攻击地址反查，发现灯塔系统

灯塔系统"/>

红队攻击地址反查，发现灯塔系统

前言

最近玩了一周红蓝对抗，作为防守方每天不停地看日志、封ip；封到整个人头皮发麻，封到看不见攻击日志，封到攻击队开始懈怠。

一、态势感知发现

某牛逼态势感知平台于11.14分发现大批攻击地址进行信息收集，利用Namp工具收集ip、端口、应用等信息（以下为部分截图）

当天攻击日志仅有这哥们nmap进来扫描，咱只能厚着脸皮写一篇扫描类的防守报告（qnmd）

二、威胁分析

发现攻击源地址在进行nmap扫面，信息收集作为攻击的关键一步，相信大家会多方面尽量收集到被攻击放的资产；进一步从威胁情报中判断攻击者恶意程度，对攻击源进行反查反制。

User-Agent: Mozilla/5.0 (compatible; Nmap Scripting Engine; .html)

三、攻击者溯源

1. 首先去微步查询威胁情报，可以发现该攻击地址已被标记为恶意软件、远控、CobaltStrike木马等标签。
2.  fofa上搜了一波，看到他使用过50050端口，该地址应该是CobaltStrike服务器端，尝试爆破一波无果=-=既然如此，就先浅浅的扫描一下他的端口吧。眼前一亮，居然开放了5003端口（资产灯塔系统默认端口）。
3.  前端时间刚接触过灯塔这个系统，抱着怀疑的态度浅浅地访问他5003端口。 
4.  来一波牛逼的弱口令登录。不装了，第一次就成功进入了系统。好家伙，这第一个任务不就是在对咱客户大大进行收扫描吗，我当场就高兴坏了。其他任务的目标看着也像是防守单位，合着咱红队哥哥用着灯塔对每家单位信息收集。话不多说，马上提着材料整合报告，再交给大哥修修改改，拿个溯源分不过分吧。

总结

攻防演习期间的持续监测发现的各类安全攻击事件，攻击方法手段多种多样，对实时监控到的各种源IP攻击类型进行深入分析，发现恶意探测、扫描行为和撞库行为较多；对WEB资产进行自检，以确保资产的安全性，同时针对源攻击IP进行封堵操作和技术溯源。