首頁 > 關于我們 > 安恒動態(tài) > 2023 > 正文

2023年攻防演習案例丨中流砥柱！某集團攻防演練項目AiLPHA實戰(zhàn)案例

閱讀量：次 文章來源：安恒信息

大風起兮江湖中?諸多刺客的身影蓄勢待發(fā)

癸卯年庚申月辛丑日（公歷2023年8月11日），某大型國企正在緊鑼密鼓進行著重點安全保障工作，這是眾多現場值守俠士們的第三天。企業(yè)、安服、產品人員基本全部就位，藍色俠士均堅守在自己的崗位上。當一位俠士點下最后一個“添加suo5隧道通信檢測規(guī)則”按鈕，再為企業(yè)堡壘填上一道防線后，一段江湖之戰(zhàn)悄然開始了……

引言

”

前情提要

風險排查期，竟發(fā)現skyeye的檢測規(guī)則無法及時更新！

大戰(zhàn)在即，糧草未達！急急急！??！

再三思忖研討后，決定在此次攻防演練期間，由AiLPHA產線聯合安服采用攻擊驗證的方式，對探針能力進行查缺，并在AiLPHA平臺上進行補漏，針對攻防演練熱點漏洞和新爆0day漏洞，利用特征編寫檢測規(guī)則，持續(xù)增強平臺檢測能力。

正篇

報?。?！有敵情！?。。。?！

2023-08-11 21時20分，平臺出現suo5隧道通信告警，告警源IP為114.254.3.33，被攻擊系統(tǒng)為xx集團xx綜合辦公系統(tǒng)，一俠士發(fā)現后及時提報了該事件。

敵情：suo5隧道通信告警

研判人員進行初步分析后確認為非誤報，因為正常請求中不會出現該User-Agent。

敵情：suo5隧道通信告警詳情

汝要戰(zhàn)，那便戰(zhàn)，吾等誓守為此地網絡安全！

因此經客戶同意后，第一時間在AiLPHA平臺聯動K01防火墻封堵了攻擊IP。

殺伐果斷：聯動防火墻封禁

進一步對攻擊和受害IP的相關告警進行分析，發(fā)現受害IP在suo5隧道通信之前，還遭受了多個來源IP的多種攻擊行為，包括任意文件上傳。來源IP為負載均衡，從XFF中可以看到文件上傳行為來自于114.254.3.8，與suo5通信告警的源IP同C段，大概率為同一攻擊隊，告警時間為2023-08-11 21:01:50。查看請求體發(fā)現上傳的文件名稱為log.jsp，并非suo5代理通信的logs.jsp。

鐵證如山：完美復原的證據鏈

此時只能通過上機溯源，通過主機上的信息理清攻擊鏈條。登錄主機后，首先進入web目錄，定位惡意文件，可以看到log.jsp和logs.jsp均存在于web目錄下，說明114.XX.X.8的webshell上傳成功。推斷攻擊者利用xx綜合辦公系統(tǒng)的任意文件上傳漏洞上傳天蝎webshell，再通過webshell加密上傳suo5代理隧道工具，進而發(fā)起內網橫向掃描。

還劍入鞘，清點戰(zhàn)場

從原始日志數量可以看出，在上傳suo5代理隧道后，攻擊者發(fā)起了大量的探測動作，但并未產生探針告警，所幸處理及時，并未有無辜傷亡，且紅色刺客此次也被溯源發(fā)現。

AiLPHA，實戰(zhàn)利器

AiLPHA作為HW實戰(zhàn)攻防利器，在本次江湖大戰(zhàn)中穩(wěn)定發(fā)揮，起到了中流砥柱的關鍵作用，多次成功針對0day漏洞進行了預警，成為了攻防現場的“定海神針，友商的探針、平臺未產生告警的戰(zhàn)役，AiLPHA作為最后一道防線都成功捍衛(wèi)了集團的安全。

AiLPHA是如何做到這一點的呢？AiLPHA在威脅檢測引擎方向沉心研究，在0day漏洞探查預警道路上，一路默默前行，即使沒有既有情報，面對0day漏洞的報文特征，依然能夠使其無所遁形。此外，通過AXDR新伙伴其與終端深度融合，通過IOA分析引擎以及網端關聯的能力，可發(fā)現大量未知威脅。

安恒AiLPHA以護諸位于網絡江湖安全為己任，默默苦修，不斷沉淀！