首頁 > 關于我們 > 安恒動態 > 2023 > 正文

2023年攻防演習案例丨中流砥柱！某集團攻防演練項目AiLPHA實戰案例

閱讀量：次 文章來源：安恒信息

大風起兮江湖中?諸多刺客的身影蓄勢待發

癸卯年庚申月辛丑日（公歷2023年8月11日），某大型國企正在緊鑼密鼓進行著重點安全保障工作，這是眾多現場值守俠士們的第三天。企業、安服、產品人員基本全部就位，藍色俠士均堅守在自己的崗位上。當一位俠士點下最后一個“添加suo5隧道通信檢測規則”按鈕，再為企業堡壘填上一道防線后，一段江湖之戰悄然開始了……

引言

”

前情提要

風險排查期，竟發現skyeye的檢測規則無法及時更新！

大戰在即，糧草未達！急急急！！！

再三思忖研討后，決定在此次攻防演練期間，由AiLPHA產線聯合安服采用攻擊驗證的方式，對探針能力進行查缺，并在AiLPHA平臺上進行補漏，針對攻防演練熱點漏洞和新爆0day漏洞，利用特征編寫檢測規則，持續增強平臺檢測能力。

正篇

報！！！有敵情！！！！！！

2023-08-11 21時20分，平臺出現suo5隧道通信告警，告警源IP為114.254.3.33，被攻擊系統為xx集團xx綜合辦公系統，一俠士發現后及時提報了該事件。

敵情：suo5隧道通信告警

研判人員進行初步分析后確認為非誤報，因為正常請求中不會出現該User-Agent。

敵情：suo5隧道通信告警詳情

汝要戰，那便戰，吾等誓守為此地網絡安全！

因此經客戶同意后，第一時間在AiLPHA平臺聯動K01防火墻封堵了攻擊IP。

殺伐果斷：聯動防火墻封禁

進一步對攻擊和受害IP的相關告警進行分析，發現受害IP在suo5隧道通信之前，還遭受了多個來源IP的多種攻擊行為，包括任意文件上傳。來源IP為負載均衡，從XFF中可以看到文件上傳行為來自于114.254.3.8，與suo5通信告警的源IP同C段，大概率為同一攻擊隊，告警時間為2023-08-11 21:01:50。查看請求體發現上傳的文件名稱為log.jsp，并非suo5代理通信的logs.jsp。

鐵證如山：完美復原的證據鏈

此時只能通過上機溯源，通過主機上的信息理清攻擊鏈條。登錄主機后，首先進入web目錄，定位惡意文件，可以看到log.jsp和logs.jsp均存在于web目錄下，說明114.XX.X.8的webshell上傳成功。推斷攻擊者利用xx綜合辦公系統的任意文件上傳漏洞上傳天蝎webshell，再通過webshell加密上傳suo5代理隧道工具，進而發起內網橫向掃描。

還劍入鞘，清點戰場