2024HW蓝队对抗手册.docx

HW蓝队对抗手册目录OXol前言40x02准备工作41）组织结构图42）全网拓扑图43）各系统逻辑结构图44）各系统之间的调用关系45）数据流关系46）核心资产清单47）应急响应计划48）业务连续性计划49）灾难恢复计划4OXO3简单安全评估41 .端口扫描和漏洞检测51.1 机发现（Ping探测）51.2 端口扫描51.3 服务版本检测51.4 扫描多个端口51.5 UDP扫描51.6 TCP/UDP扫描（-Pn跳过主机发现）51.7 NeSSllS扫描51.8 OPENVAS扫描52. WINDOWS系统篇52.1 网络发现62.2 DHCP623DNS62.4 哈希值72.5 NETBIOS72.6 微软基线安全分析器（MBSA）83. IJNUX系统篇83.1 网络发现83.2 DHCPDHCP日志RHE1./CentOS833DNS81.4 哈希值91.5 NETBIOS94 .安全加固94.1 WINDOWS系统篇94.1.1 禁用/停止服务94.1.2 防火墙管理94.1.3 清除DNS缓存和Netios缓存104.1.4 应用控制104.1.5 IPSEC114.1.6 其他安全策略124.2 1.INUX系统篇14421服务管理144.2.1 防火墙管理154.2.2 DNS缓存154.2.3 配置IPSEC165 .检测（Visibility）181 .1.1数据包捕捉与分析182 .)TSHARK193 .)SNORT204 .)BroNSM205 .)EDITCAP228 .)NetworkMiner229 .2蜜罐技术221.)端口蜜罐225.3.2IJNUX系统篇1.)端口蜜罐232.)(PASSwE)监控DNS解析235.3日志审计235.3.1WINDOWS231 3.21.INUX252 .4响应(取证)263 .)网络信息274 .)服务信息285 .)策略、补丁、环境变量信息296 .)自启动信息297 .2)使用autoruns307 .)取日志文件358 .)文件、目录、共享信息359 .)网络信息3710 )简单基线检查4011 )检测rootkit4012 .)FaStirCOHeCtor1.inUX,收集artefacts,包括：内核版本、内核模块、网卡、系统版本、主机名、登录、网络连接、SSHknoWjWst、日志文件、进程数据、自启动等信息4013 .)SysdigandSysdigFalco行为监控415.4.2病毒样本分析426.常用技巧和工具441 .1技巧441.1.1 WINDOWS系统篇441.1.2 1.INUX系统篇1.)SNORT462 .2兵器谱493 .)REMNUX软件逆向和病毒分析发行版494 .)OPENVAS505.)SeCUrityoniOn入侵检测、网络安全监控、日志分析发行版50OxOl前言红蓝对抗的思想最早可追溯到我国现存最早的一部兵书孙子兵法，在孙子谋攻篇有这么F话："知彼知己，百战不殆；”，意为如果对S俄双方的阖兄都能了解透彻，打多少次仗都不会失败。在信息安全领域目前大家都有一个共识："粗口攻，焉知防“，攻防对抗本身是f持续的过程，在具体的对抗中，对对手了解越多就会占据主导地位红蓝对抗的主要目的在于，提高公司安全成熟度及其检测和响应攻击的能力。RedTeamsattack,andBlueTeamsdefend,buttheprimarygoalissharedbetweenthem:improvethesecuritypostureoftheorganization.0x02准备工作D组织结构图2）全网拓扑图3）各系统逻辑结构图4）各系统之间的调用关系5）数据流关系6）核心资产清单7）应急响应计划8）业务连续性计划9）灾难恢复计划0x03简单安全评估1.端口扫描和漏洞检测1.1 主机发现（Ping探测）#nm叩-Sn-PEIP地址或地址段1.2 端口扫描#nmap-openIP地址或地址段1.3 服务版本检测# nmap-sVIP地址或地址段1.4扫描多个端口# nmap-p80,443IP地址或地址段1.5 UDP扫描#nm叩-sU-p53IP地址或地址段1.6 TCP/UDP扫描（-Pn跳过主机发现）#nmap-v-Pn-SU-ST-pU:53,ll1.I37,T21-25,80,139,8080IP地址或地址段1.7 Nessus扫描#nessus-q-x-Thtml服务器IP服务器端口管理员帐号密码目标txt输出报告.html1.8 OPENVAS扫描# apt-yinstallpcregrep# wgethttps:/goo.gl/TYb1.wE# chmod+xopenvas-automate.sh&&./openvas-automate.sh目标IP2. WINDOWS系统篇2.1 网络发现基本网络发现：# C:>netview/all# C:>netview主机名Ping探测：# C:>for/1.%Iin(1,1,254)doping-w30-n1192.168.1.%Ifind"回复">>输.tt2.2 DHCP启用DHCP服务器日志功能：#C:>regaddHK1.MSystemCurrentControlSetServicesDhcpServerParametersvActivity1.ogFIag/tREG_DW0RD/d1默认日志文件目录：C:>%windir%System32Dhcp2.3 DNS启用DNS服务器日志功能：# C:>DNSCmdDNS服务器名/config/Iog1.eveI0×8100F331# 配置日志文件目录：C:>DNSCmdDNS服务器名/config/1.ogFiIePathC:dns.log# 配置日志文件大小：C:>DNSCmdDNS服务器名/config/IogfilemaxsizeOxffffffff2.4 哈希值文件校验和完整性验证(FClV):Ref:个文件：C:>fciv.exe文件名# 计算C盘所有文件并把结果保存到文件中：C:>fciv.exec:-r-shal-xml结果.xml# 列出所有hash值：C:>fciv.exe-list-shal-xml结果.xml# certutil&PowerShell# certutil-hashfile文件名SHAl# PSC:>Get-FiIeHash文件名Format-1.ist# PSC:>Get-FiIeHash-algorithmmd5文件名2.5 NETBIOSnbtstat扫描# C:>nbtstat-A目标IP地址NetBIOS缓存# C:>nbtstat-c批量扫描#C:>for/1.%Iin(1,1,254)donbtstat-An192.168.1.%I2.6 微软基线安全分析器(MBSA)扫描单个IP# C:>mbsacli.exe/targetIP地址/nos+iis+sql+password扫描IP地址段# C:>mbsacli.exe/rIP地址段/nos+iis+sql+password3. 1.INUX系统篇3.1 网络发现查看开放的SMB共享# Smbclient-1.目标主机名Ping探测# foripinip>devnull;Misplaced&ipUP":;done3.2 DHCPDHCP日志RHE1./CentOS# catvarlibdhcpddhcpd.leasesDebian/Ubuntu# grep-Ei'dhcp,varlogsyslog.l3.3 DNSDNS日志#rndcquerylog&&tail-fvarlogmessagesgrepnamed3.4 哈希值计算某目录下所有可执行文件的HASH值# findsbin-typef-execmd5sum>>md5sums.txt;# md5deep-rssbin>md5sums.txt3.5 NETBIOSnbtstat扫描#nbtscan目标IP地址或IP地址段举例：nbtscan192.168.1.2-1004. 安全加固4.1 WINDOWS系统篇4.1.1 禁用/停止服务# C:>scquery# C:>scconfig"服务名"start=disabled# C:>scstop"服务名"# C:>wmicservicewherename="月艮务名"callChangeStartmodeDisabled4.1.2 防火墙管理# 列出所有规则：# C:>netshadvfirewallfirewallshowrulename=all# 启用或禁用防火墙：C:>netshadvfirewallsetcurrentprofilestateonC:>netshadvfirewallsetcurrentprofilefirewallpolicyblockinboundalways,allowoutboundC:>netshadvfirewallsetpublicprofilestateonC:>netshadvfirewallsetprivateprofilestateonC:>netshadvfirewallsetdomainprofilestateonC:>netshadvfirewallsetallprofilestateonC:>netshadvfirewallsetallprofilestateoff# 配置举例：netshadvfirewallfirewalladdrulename="开放TCP:80端口"dir=inaction=allowprotocol=TCPlocalport=80netshadvfirewallfirewalladdrulename="开放TCP:443端口"dir=inaction=allowprotocol=TCPlocalport=443netshadvfirewallfirewalladdrulename="屏蔽TCP:445端口"dir=inaction=blockprotocol=TCPlocalport=445netshadvfirewallfirewalladdrulename="允许MyAppndir=inaction=allowprogram="C:MyAppMyApp.exe"enable=yes4.1.3清除DNS缓存和Netios缓存# C:>ipconfig/flushdn