蓝队专题
蓝队技能-应急响应篇C2后门权限维持手法WindowsLinux基线检查排查封锁清理
知识点 1、应急响应-C2后门-排查&封锁2、应急响应-权限维持-排查&清理3、应急响应-基线检测-整改&排查 演示案例-蓝队技能-C2后门&权限维持-基线检查&查杀封锁-Windows 1、常规C2后门-分析检测 无隐匿手法 也可以把怀疑的exe程序上传到沙箱上分析 有隐匿手法 CDN,云函数,中转等(涉及溯源和反制) 处置手段 清除:删除文件 封锁:防火墙都有
红队与蓝队:有何区别?
红队:网络安全进攻 什么是红队? 红队是一种网络安全策略,可模拟现实世界中对系统和基础设施的网络攻击。其主动的网络安全方法使其成为一个关键组成部分,因为它可以帮助组织在恶意行为者利用漏洞和弱点之前识别它们。 角色和目标 通俗地说,网络安全红队的作用是模拟对抗力量: 1.识别漏洞: 红队通过下面讨论的各种技术和程序帮助发现其系统、应用程序和网络基础设施中的漏洞和弱点。 2.安全机制
2024hw蓝队面试题-2
网络基线加固思路 1.最小权限原则:应用最少权限原则,只对需要的服务和程序提供必要的权限。例如,应避免使用root或管理员账户进行日常操作。同样,服务和应用程序也只应有执行其功能所需要的最小权限。2.开启必要的服务和进程:应关闭不必要的服务和进程。每个运行在系统上的服务和进程都可能成为抵挡外部攻击的一个点,所以只开启必要的服务和进程可以降低风险。 3.防火墙配置:应使用防火墙来限制网络访问,只
2024hw蓝队面试题-1
使用过哪些设备,出现误报怎么办? 我使用过的设备包括各种防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)、安全信息和事件管理(SIEM)系统等。在遇到误报时,我通常会首先确认这是一个真正的误报,而不是对系统的实际威胁。确认后,我会分析误报产生的原因,这可以包括查看规则配置、检查硬件和软件是否存在漏洞等。然后依据我所调查分析的结果,调整设备设置或是规则以避免在未来再发生同样的误报。在这个过程
护网行动 | 蓝队应急响应流程概述
了解蓝队应急响应的流程 应急响应通常是指为了应对各种意外事件发生前所做的准备,以及在意外事件发生后所采取的措施。 网络安全应急响应是指对已经发生或可能发送的安全事件进行监控、分析、协调、处理、保护资产安全。 网络安全应急响应主要是为了让人们对网络安全有所认识、有所准备,以便在遇到突发的网络安全事件时能做到有序应对,妥善处理。 应急事件的重大
HVV红队蓝队人员要求
欢迎加入精品资料分享知识群,这里有海量免费的信息安全资料等你领取。 红队攻防专家(高级),重点:有护网攻击队丰富的经验,负责目标的边界突破、内网/域渗透、靶标获取 具备复杂内网环境下的攻防经验,掌握完整的APT攻击流程,有较多HW等大型网络安全攻防竞赛经验,并取得过较好名次。深知HW攻击队计分规则,知道其中打法策略;精通渗透测试、熟练掌握各种渗透测试工具,精通常见的安全攻防技术,并对原理有
攻防演练利器:六款蓝队开源防御工具特点剖析
实战化的攻防演习活动一般具有时间短、任务急等特点,作为防守方,蓝队需要在日常安全运维工作的基础上,从攻击者角度出发,了解攻击者的思路与打法,并结合本单位实际网络环境、运营管理情况,制定相应的技术防御和响应机制,才能在演练活动中争取主动权。 在此背景下,前期各项准备工作是否充分将直接决定蓝队能否顺利完成攻击防守的任务,所谓“工欲善其事,必先利其器”,在攻防演练活动中,积极使用先进的安全评估和防
HVV(护网)蓝队视角的技战法分析
一、背景 1.HVV行动简介 HVV行动是国家应对网络安全问题所做的重要布局之一。从2016年开始,随着我国对网络安全的重视,演习规模不断扩大,越来越多的单位都加入到HVV行动中,网络安全对抗演练越来越贴近实际情况,各机构对待网络安全需求也从被动构建,升级为业务保障刚需,而2023年的国家HVV目前已经结束。 HVV一般分为红蓝两队,也称为红蓝对抗,红队为攻击队,蓝队为防守队。刚开始,蓝队会
蓝队-应急响应01-挖矿事件应急处置
挖矿事件处置-思维导图: 我们将从下述几个方面对挖矿事件进行应急响应 1:挖矿事件的“现象” Windows: 挖矿程序主要是利用GPU等资源进行挖矿操作,最直接的现象就是CPU拉满,消耗电力等。下述可以清楚看到,运行挖矿程序之后,查看CPU状态是拉满的,即100%。 挖矿程序通常会有相应的配置文件,如下config.json所
HW行动蓝队攻略:塔防大神就是你
****HW行动之“防守方”策略 “防守方”依据HW行动时间延展可分为四大阶段:备战阶段、临战阶段、决战阶段、总结阶段。具体策略概述如下: 备战阶段主要是对安全现状排查。目标是通过数据资产梳理、安全风险评估,以及自查自纠、安全培训,建立安全防护体系。 临战阶段主要是按照HW行动整体模式开展资产巡查、渗透测试,制定应急预案、开展实战应急演练,依据内外网检测结果进行系统安全加固及应急处置优化
蓝队攻击的四个阶段(三)
目录 一, 专业技能储备 1.工具开发技能 2.漏洞挖掘技能 3.代码调试技能 4.侦破拓展技能 二,目标网情搜集 1 何为网情搜集 2. 网情搜集的主要工作 三, 网情搜集的途径 1.专业网站 2.专业开发资源网站 3.目标官网 一, 专业技能储备 专业技能是蓝队快速应对攻击任务中各种情况、解决各种困难问题、顺利推进任务的保障。蓝队的专业技能储备涉及漏
详解白帽子以及红队、蓝队和紫队
企业继续数字化,其关键基础设施和运营扩大了攻击面,暴露于各种威胁途径的面前。为了解决这个问题,企业领导者认识到拥有内部专家的重要性。考虑到网络威胁领域不断发展的态势,企业领导者可以利用道德黑客以及红队、蓝队和紫队的工作,比恶意攻击者和高级持续性威胁(APT)领先一步。这些实践是安全团队武器库中的实用工具,共同增强了企业应对威胁的弹性。 本文讨论了近年来道德黑客以及红队、蓝队和紫队的策略如何兴起,
关于蓝队的一些思考和感悟--写在博客访问量破万之际
今天一早起来,看见博客访问量马上破万了,遂写一篇,以留纪念。 今年疫情期间,在家里憋的无聊,又不舍得浪费大把的时间,于是捡起来博客写写。过去也曾有写博客的想法,并不是没有坚持,而是觉得不好把握哪些技术可以分享,哪些不便分享,于是干脆把自己的技术笔记记录在了私人笔记本上。虽然这么一直坚持就是几年,用起来也还算方便,每次翻笔记时候,框架性的东西很容易回忆起来,但年龄不饶人,很
安全运营 -- 100个蓝队溯源技巧(逐步更新)
0x00 背景 记录一些常用的入侵排查命令和日常运维思路分享。(排名不分先后,逐步更新ing) 0x01 linux 查询所有用户计划任务 cat /etc/passwd|cut -f 1 -d : |xargs -I {} crontab -l -u {} 0x02 排查linux记录密码后门 strace 监听ssh来源流量记录密码后门(本机输入的密码记录不到),需要提
攻防演练中一些心得总结(蓝队视角)
1. 监测 攻防演练开始前,要对监测设备的告警规则进行调优。 僵尸、木马、蠕虫、C2远控类告警可以直接忽略 挖矿病毒类告警视情况而定,如果时间充裕可以去处置 重点关注web层面的攻击,如SQL注入,命令执行、文件上传+中高危+攻击成功 各种高危CVE漏洞+攻击成功重点关注 Webshell类告警单独设规则,设备上不一定显示攻击成功,可能显示尝试,但这并不代表它没有攻击成功,而要去看流
HVV(护网)蓝队视角的技战法分析
一、背景 1.HVV行动简介 HVV行动是国家应对网络安全问题所做的重要布局之一。从2016年开始,随着我国对网络安全的重视,演习规模不断扩大,越来越多的单位都加入到HVV行动中,网络安全对抗演练越来越贴近实际情况,各机构对待网络安全需求也从被动构建,升级为业务保障刚需,而2023年的国家HVV目前已经结束。 HVV一般分为红蓝两队,也称为红蓝对抗,红队为攻击队,蓝队为防守队。刚开始,蓝队会
HFish蜜罐部署教程(windows版)—HW蓝队主动防御利器
文章目录 前言基础环境蜜罐部署管理端部署添加节点&开启服务 攻击展示端口扫描测试目录扫描测试POC测试 && ssh测试失陷测试 酷炫大屏后记Tips 前言 一年一度的HW马上又要来了,【不过听说今年推迟了一些】 ,各位师傅应该都按耐不住了,今天尝试一下比较出圈的HFish蜜罐系统的部署,浅浅的记录一下 基础环境 HFish官网安装包 HFish官方教程 VMware虚拟机
攻防演练蓝队|Windows应急响应入侵排查
文章目录 日志分析web日志windows系统日志 文件排查进程排查新增、隐藏账号排查启动项/服务/计划任务排查工具 日志分析 web日志 dirpro扫描目录,sqlmap扫描dvwa Python dirpro -u http://192.168.52.129 -bsqlmap -u "http://192.168.52.129/dvwa/vulnerabilitie