由于技能职员不能只关注技能,对付客户来说天下上只有两种人有代价,一种是能够干事的人,一种是能够办理问题的人,或者两种形态于一身的人(很少)。毕竟系关、项目很繁芜,客户/发卖想要的可能不是最想的。那么有能力办理问题的人就能够在涌现问题的时候创造出代价,从而创造微小的机会。
例如我的出发点比较低,只能从最低点开始往上爬,做过IDC机房/单位驻场,分保、系统集成、等保、项目经理、售前、发卖(以技能为驱动落地过两个100+的项目,以是一定要相信自己,技能真的可以给公司带来代价,而不是只能表示公司代价,这取决于我们该怎么发挥主不雅观能动性的去做),现在正在做应急、正在学渗透。这一起真不随意马虎,机会也少,很多都是可爱的人乐意相信我乐意给我考试测验的机会,我才有涉及的可能,无数次迷茫,但都被下面这个方法论给纠正过来,否则就会是一颗不中用的螺丝钉。(做得杂,但是很愉快,由于我知道前面没有吃的苦,只要我想做,那么这些苦都是必须得还回来的,希望还未入门的你可以少走弯路,出社会即可做自己想做的事,不须要像我这样绕很多路)
因此我深刻体会有一个不雅观点或者方法论非常主要,那便是“任何节点千万不要卡在自己这,一定要往前推进,想尽办法往前推进,如果弗成,那你也是尽力了”,适用于学习、售前、售后。项目推进不能卡在发卖自己,项目管理履行进度不能卡在项目经理等等,一旦卡住,任务必在自己,由于那是自己的职责。
【私信回答“资料”可获取】
那么如何套用在应急相应上,例如客户单位发生了安全事宜(例如打单病毒、挂标语这种紧急的突发情形),客户现场:
1.目标主机一定会有日志吗?
2.日志被删了一定有第三方异机备份吗?
3.没有第三方异机备份就一定会有流量回溯吗?
这种情形肯定存在而且非常常见,不可能万事俱备事事快意,不然我们怎么创造代价,那么碰着这种情形该怎么应对?一番技能操作后和客户说“由于残留痕迹较少,无法进行攻击溯源,类似于新冠,没有扫安康码留下痕迹,就无法追踪到0号病人”吗?
是的,可以说,客户一样平常也认可(我以前就这么干,深感不敷),由于事实如此,巧妇难为无米之炊。
但是客户单位的业务系统就得带着高危漏洞暴露在互联网上:
1.客户领导会怎么想?
2.做事单位的发卖会有什么样的担心?会怎么想这名技能,作为技能被发卖这么想该怎么办?
3.作为想创造机会的安服公司发卖正在想什么?
那肯定想着是怎么拿下这个单位的?系关拼不过、产品价格谈不下来,...,靠什么呢,靠的便是这种你搞不定我可以搞定的机会。机会从哪来?机会源于咱们技能职员,这便是技能可以创造代价的能力。那这种情形该怎么带着方法论进入到这个安全事宜的应急相应过程中呢:
“任何节点千万不要卡在自己这,一定要往前推进,想尽办法往前推进,如果弗成,那你也是尽力了”
情形概述2021年12月12日18:57:30客户单位对互联网开放的致远OA被入侵,文件被加密,后缀为.locked。收到干系关照后随即进场应急。
搜索了一下这个后缀,大部分的结果都是这个病毒都是通过smb纵横传播的。目标主机已禁用网卡断网处置。
入侵检讨指定时间范围内被修正的工具
按照以前文章中阐述的方法,根据案发韶光,利用dm:20211212查找了exe、jsp等关键字,在exe关键字中创造非常:
常规检讨
根据案发韶光查找痕迹再无有用信息,因此常规检讨了操作系统。由于事情量大,利用之前文章中的工具进行自动化网络。同样未创造非常,打单程序并未运行。
检讨可攻击范围
由于可用信息较少,因此反向思维推理:
1.从内网横向渗透的可能性:由于仅一台主机被打单,因此打消该可能性。
2.从互联网纵向渗透:排查互联网网关,创造仅映射业务端口,因此打消操作系统层面被入侵的可能性。
3.因此将检讨重点放在运用系统上。
检讨攻击痕迹
没找到,后来才创造是致远自己写的java程序,加载的也不是tomcat的配置文件,没有产生日志即不会被第三方异机备份。同时也没有流量回溯设备。
安全设备的检讨概述
安全设备中只能看到谁攻击了,但是看不出来是谁利用哪个漏洞进来的。由于黑客攻击成功了,意味着黑客绕过了特色库,即不会匹配规则和匹配规则中的记录日志功能。
但是在检讨APT过程中创造了异样(安恒还是牛滴呀):
到这里即会创造,除了一个恶意文件,啥也没有创造,该怎么兑现这个方法论?
“任何节点千万不要卡在自己这,一定要往前推进,想尽办法往前推进,如果弗成,那你也是尽力了”
迁移转变点-站在攻击者的角度
同时也算相应了"统统积累都是为了应对此类情形"这句话。
在以往可能受限于能力,可能就停止了,但是现在不一样了,我会把信息网络了。
根据关键字进行搜索。
根据信息网络的结果进行测试,创造存在漏洞。
ps:实在哪有这么顺利,版本漏洞这块翻遍了搜索引擎:
致远-OA-A8-htmlofficeservlet-getshell-漏洞致远OA-A6-search_result.jsp-sql注入漏洞致远OA-A6-setextno.jsp-sql注入漏洞致远OA-A6-test.jsp-sql注入漏洞致远OA-A6-敏感信息透露一-致远OA-A6-敏感信息透露二-致远OA-A6-重置数据库账号密码漏洞致远OA-A8-m-后台万能密码致远OA-A8-m-存在sql语句页面回显功能致远OA-A8-v5-任意用户密码修正致远OA-A8-v5-忽略验证码撞库致远OA-A8-任意用户密码修正漏洞致远OA-A8-未授权访问致远OA-A8-系统远程命令实行漏洞致远OA-Session泄露漏洞致远OA-帆软报表组件-前台XXE漏洞致远OA-ajax.d前台未授权任意文件上传致远OA系统多版本Getshell漏洞复现
沉住心,总结建议该怎么写
由于并不一定是通过这个洞进去的,也有可能是通过其他没有公开但是已在野外利用的,由于做事器上并没有痕迹为此做支撑,因此须要建议客户:
1.开启访问日志记录,例如这个洞须要用到的URI便是漏洞指纹,虽然看不到POST数据,但是访问日志中会留下痕迹;
2.检讨补丁安装情形,没有公开但是在野外利用的,厂商肯定清楚;
3.禁止做事器访问互联网,例如这个漏洞的利用就涉及目标主机是否可以主动外联。
万变不离其宗
场景、事宜就和人类指纹类似,不可能一样,那么如何应对不同场景的突发事宜,唯有整理出适用于自己的一套方法论作为根本支撑才是最适用的。
IOC
45.76.99.222
8abaa521a014cdbda2afe77042f21947b147197d274bf801de2df55b1e01c904