一直以来，笔者最担心的事情就是真实的攻击者趁乱入侵并潜伏下来，因为我国95%以上的企业并不具备对抗高级威胁的能力，试问又有几家企业能够发现潜伏下来的攻击者呢……实弹演习有利有弊，但笔者看到的更多的是给行业带来的更多的是虚假的网络安全感！

2020**演练在即，拉个群方便同行沟通。

主要是IoCs和TTPs情报共享，快速检测响应以及防止敌对国混水摸鱼！

成员要求：护网一线防守方、护网甲方、后方情报人员以及定向邀请的朋友，其他人员不得入群，请大家自觉不要拿诚信开玩笑！

2020-08-07

今天会分享一些

①.战略情报，比如专门针对我国或地区的攻击组织（可能大家之前没听说过）

②.护网前线的Threat Hunting技巧

③.情报源和分析取证工具等

2020-09.14

①.战略情报，比如专门针对我国的攻击组织（可能大家之前没听说过）

不在公开

②.护网前线的Threat Hunting技巧

这次护网主要关注如何hunting APT和红队，所以这里主要讲一下个人感兴趣的点

这里所说的Threat Hunting主要有两种：

1.利用APT组织OPSEC、网络空间搜索引擎、Passive DNS & SSL以及其他类指纹的方式进行APT追踪

关于如何利用网络空间搜索引擎进行APT追踪，黑哥已经分享过不少，这里就不展开说了。

2.基于TTPs和漏洞情报

- 最近参加了好几家甲方的演练，基于TTPs的Hunting局限性比较大，主要是很多甲方企业没有接入终端的数据，另外安全产品对Hunting的支持非常有限。

- 基于漏洞情报的比较好理解，提取漏洞利用特征，利用SIEM进行调查。

③.情报源和分析取证工具等

情报源除了大家比较熟悉的各大厂商的情报平台，这里主要发两个我最近收集到的平台：

https://sonar.omnisint.io/

https://rapiddns.io/

APT情报源，主要还是看手里有没有全球研究情报和APT的厂商、组织及个人的联系方式，比如Twitter

分享一个好用的流量分析工具：Brim

分享 #1

分析平台检测到远控域名：hashtag.sslproviders.net，通过情报中心的平台或其他开源情报平台找出此域名相关的IOCs（同一次活动中攻击者使用的域名），比如这个域名的情报来源为：https://unit42.paloaltonetworks.com/how-cybercriminals-prey-on-the-covid-19-pandemic/，然后在分析平台继续进行调查取证。

分享 #2

121.46.26.158 安全机构接管IP

分享 #3

针对对外的业务系统安排专人负责，目前遇到比较多的情况是红队拿到外网某些服务器的权限后，利用在这些服务器上收集到的Hash以及弱口令进行横向移动，这种情况下安全产品基本上不会产生告警，只能由安全分析师进行Hunting。

思路：

①.取几个周期的数据建模分析

②.实时关注横向访问流量

顺便说一句，在安排护网值守的时候建议按照人员的能力模型来分配具体负责的内容，最好有专门负责Hunting的人员。

分享 #4

这几天爆出一个微软Windows Defender的利用手法

Hunting查询：

User Agent等于MpCommunication

Wireshark：

http.user_agent == "MpCommunication"

分享 #5

CVE-2020-1472 域控提权

Hunting查询：

Wireshark

!(ip.src == x.x.x.x) && netlogon.sec_chan_type == 6

防御方法

https://support.microsoft.com/zh-cn/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc