首頁 > 關(guān)于我們 > 安恒動態(tài) > 2023 > 正文

2023年攻防演習(xí)案例丨中流砥柱！某集團(tuán)攻防演練項(xiàng)目AiLPHA實(shí)戰(zhàn)案例

閱讀量：次 文章來源：安恒信息

大風(fēng)起兮江湖中?諸多刺客的身影蓄勢待發(fā)

癸卯年庚申月辛丑日（公歷2023年8月11日），某大型國企正在緊鑼密鼓進(jìn)行著重點(diǎn)安全保障工作，這是眾多現(xiàn)場值守俠士們的第三天。企業(yè)、安服、產(chǎn)品人員基本全部就位，藍(lán)色俠士均堅(jiān)守在自己的崗位上。當(dāng)一位俠士點(diǎn)下最后一個“添加suo5隧道通信檢測規(guī)則”按鈕，再為企業(yè)堡壘填上一道防線后，一段江湖之戰(zhàn)悄然開始了……

引言

”

前情提要

風(fēng)險排查期，竟發(fā)現(xiàn)skyeye的檢測規(guī)則無法及時更新！

大戰(zhàn)在即，糧草未達(dá)！急急急?。?！

再三思忖研討后，決定在此次攻防演練期間，由AiLPHA產(chǎn)線聯(lián)合安服采用攻擊驗(yàn)證的方式，對探針能力進(jìn)行查缺，并在AiLPHA平臺上進(jìn)行補(bǔ)漏，針對攻防演練熱點(diǎn)漏洞和新爆0day漏洞，利用特征編寫檢測規(guī)則，持續(xù)增強(qiáng)平臺檢測能力。

正篇

報?。?！有敵情?。。。。?！

2023-08-11 21時20分，平臺出現(xiàn)suo5隧道通信告警，告警源IP為114.254.3.33，被攻擊系統(tǒng)為xx集團(tuán)xx綜合辦公系統(tǒng)，一俠士發(fā)現(xiàn)后及時提報了該事件。

敵情：suo5隧道通信告警

研判人員進(jìn)行初步分析后確認(rèn)為非誤報，因?yàn)檎Ｕ埱笾胁粫霈F(xiàn)該User-Agent。

敵情：suo5隧道通信告警詳情

汝要戰(zhàn)，那便戰(zhàn)，吾等誓守為此地網(wǎng)絡(luò)安全！

因此經(jīng)客戶同意后，第一時間在AiLPHA平臺聯(lián)動K01防火墻封堵了攻擊IP。

殺伐果斷：聯(lián)動防火墻封禁

進(jìn)一步對攻擊和受害IP的相關(guān)告警進(jìn)行分析，發(fā)現(xiàn)受害IP在suo5隧道通信之前，還遭受了多個來源IP的多種攻擊行為，包括任意文件上傳。來源IP為負(fù)載均衡，從XFF中可以看到文件上傳行為來自于114.254.3.8，與suo5通信告警的源IP同C段，大概率為同一攻擊隊(duì)，告警時間為2023-08-11 21:01:50。查看請求體發(fā)現(xiàn)上傳的文件名稱為log.jsp，并非suo5代理通信的logs.jsp。

鐵證如山：完美復(fù)原的證據(jù)鏈

此時只能通過上機(jī)溯源，通過主機(jī)上的信息理清攻擊鏈條。登錄主機(jī)后，首先進(jìn)入web目錄，定位惡意文件，可以看到log.jsp和logs.jsp均存在于web目錄下，說明114.XX.X.8的webshell上傳成功。推斷攻擊者利用xx綜合辦公系統(tǒng)的任意文件上傳漏洞上傳天蝎webshell，再通過webshell加密上傳suo5代理隧道工具，進(jìn)而發(fā)起內(nèi)網(wǎng)橫向掃描。

還劍入鞘，清點(diǎn)戰(zhàn)場

從原始日志數(shù)量可以看出，在上傳suo5代理隧道后，攻擊者發(fā)起了大量的探測動作，但并未產(chǎn)生探針告警，所幸處理及時，并未有無辜傷亡，且紅色刺客此次也被溯源發(fā)現(xiàn)。

AiLPHA，實(shí)戰(zhàn)利器

AiLPHA作為HW實(shí)戰(zhàn)攻防利器，在本次江湖大戰(zhàn)中穩(wěn)定發(fā)揮，起到了中流砥柱的關(guān)鍵作用，多次成功針對0day漏洞進(jìn)行了預(yù)警，成為了攻防現(xiàn)場的“定海神針，友商的探針、平臺未產(chǎn)生告警的戰(zhàn)役，AiLPHA作為最后一道防線都成功捍衛(wèi)了集團(tuán)的安全。

AiLPHA是如何做到這一點(diǎn)的呢？AiLPHA在威脅檢測引擎方向沉心研究，在0day漏洞探查預(yù)警道路上，一路默默前行，即使沒有既有情報，面對0day漏洞的報文特征，依然能夠使其無所遁形。此外，通過AXDR新伙伴其與終端深度融合，通過IOA分析引擎以及網(wǎng)端關(guān)聯(lián)的能力，可發(fā)現(xiàn)大量未知威脅。

安恒AiLPHA以護(hù)諸位于網(wǎng)絡(luò)江湖安全為己任，默默苦修，不斷沉淀！

往期精彩回顧

國有大事，安恒出征！杭州亞運(yùn)會將在今晚8點(diǎn)開幕

2023-09-23

安恒恒腦獲昇騰技術(shù)認(rèn)證，大模型一體機(jī)已完成適配

2023-09-22

與火炬手一起，傳遞圣火、點(diǎn)亮城市、共迎亞運(yùn)！

2023-09-21

關(guān)閉

AI智能體專區(qū)

AI智能體專區(qū)

告警研判和降噪智能體

安全運(yùn)營咨詢服務(wù)智能體

惡意郵件研判智能體

數(shù)據(jù)分類分級智能體

API安全智能體

自動化滲透測試智能體

終端數(shù)據(jù)防泄漏智能體

惡意軟件檢測智能體

數(shù)據(jù)安全咨詢服務(wù)智能體

核心安全產(chǎn)品

場景解決方案

Saas產(chǎn)品訂閱專區(qū)

熱門產(chǎn)品推薦

安恒數(shù)盾數(shù)據(jù)安全管控平臺最熱

數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)推薦

明御防火墻最熱

AI時代網(wǎng)絡(luò)安全產(chǎn)業(yè)人才發(fā)展報告

AI安服數(shù)字員工

AI安服數(shù)字員工

AI滲透測試

AI應(yīng)急響應(yīng)

AI安全咨詢

AI代碼審計

AI數(shù)字安全教師

AI+安全服務(wù)

AI+ 安全服務(wù)

一切產(chǎn)品皆資源，一切資源皆服務(wù)

行業(yè)解決方案>

技術(shù)解決方案>

安全意識教育解決方案>

2023年攻防演習(xí)案例丨中流砥柱！某集團(tuán)攻防演練項(xiàng)目AiLPHA實(shí)戰(zhàn)案例

相關(guān)推薦

告警研判和
降噪智能體

安全運(yùn)營咨詢
服務(wù)智能體

惡意郵件研判
智能體

數(shù)據(jù)分類
分級智能體

API安全
智能體

自動化滲透
測試智能體

終端數(shù)據(jù)防
泄漏智能體

惡意軟件檢
測智能體

數(shù)據(jù)安全咨詢
服務(wù)智能體

AI數(shù)字
安全教師

2023年攻防演習(xí)案例丨中流砥柱！某集團(tuán)攻防演練項(xiàng)目AiLPHA實(shí)戰(zhàn)案例