灯塔系统"/>
红队攻击地址反查,发现灯塔系统
前言
最近玩了一周红蓝对抗,作为防守方每天不停地看日志、封ip;封到整个人头皮发麻,封到看不见攻击日志,封到攻击队开始懈怠。
一、态势感知发现
某牛逼态势感知平台于11.14分发现大批攻击地址进行信息收集,利用Namp工具收集ip、端口、应用等信息(以下为部分截图)
当天攻击日志仅有这哥们nmap进来扫描,咱只能厚着脸皮写一篇扫描类的防守报告(qnmd)
二、威胁分析
发现攻击源地址在进行nmap扫面,信息收集作为攻击的关键一步,相信大家会多方面尽量收集到被攻击放的资产;进一步从威胁情报中判断攻击者恶意程度,对攻击源进行反查反制。
User-Agent: Mozilla/5.0 (compatible; Nmap Scripting Engine; .html)
三、攻击者溯源
- 首先去微步查询威胁情报,可以发现该攻击地址已被标记为恶意软件、远控、CobaltStrike木马等标签。
- fofa上搜了一波,看到他使用过50050端口,该地址应该是CobaltStrike服务器端,尝试爆破一波无果=-=既然如此,就先浅浅的扫描一下他的端口吧。眼前一亮,居然开放了5003端口(资产灯塔系统默认端口)。
- 前端时间刚接触过灯塔这个系统,抱着怀疑的态度浅浅地访问他5003端口。
- 来一波牛逼的弱口令登录。不装了,第一次就成功进入了系统。好家伙,这第一个任务不就是在对咱客户大大进行收扫描吗,我当场就高兴坏了。其他任务的目标看着也像是防守单位,合着咱红队哥哥用着灯塔对每家单位信息收集。话不多说,马上提着材料整合报告,再交给大哥修修改改,拿个溯源分不过分吧。
总结
攻防演习期间的持续监测发现的各类安全攻击事件,攻击方法手段多种多样,对实时监控到的各种源IP攻击类型进行深入分析,发现恶意探测、扫描行为和撞库行为较多;对WEB资产进行自检,以确保资产的安全性,同时针对源攻击IP进行封堵操作和技术溯源。
更多推荐
红队攻击地址反查,发现灯塔系统
发布评论