本文主要记录在本次重点保障中见到的一些蓝队操作。
提前封禁RT基础设施
巧妙利用网络空间测绘,提前封堵。除了在重点保障工作中用到,也可以在日常中用到,对RT基础设施进行监测封堵。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
| app="COBALTSTRIKE-团队服务器"
category="黑客工具" && product="资产灯塔系统"
category="黑客工具" && product="tenable-Nessus"
category="黑客工具" && product="frp"
category="黑客工具" && product="Invicti-AWVS"
category="黑客工具" && product="nps"
"Proxy-Agent: gost/"
app="Gophish-Login"
icon_hash="1943263621"||title="Faraday"
title="Greenbone Security Assistant"
app="RAPID7-Metasploit"
app="Nexpose-Security-Console-Login"
title="Login reNgine"
app="长亭科技-XRAY"
app="XRAY-Cland-Beta"
title=="VIPER"
title="DNSLog"
|
监测公开DNSlog平台请求行为
如果能够对DNS日志进行收集监测,也可以对以下地址进行监测,尤其是核心资产的请求行为。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
| oast.pro
oast.live
oast.fun
h.i.ydscan.net
ceye.io
dns1.tk
burpcollaborator.net
bxss.me
tu4.org
dnslog.cn
eyes.sh
dnslog.io
admin.dnslog.link
hyuga.co
|
关注0day漏洞更新
由于重点保障活动的特殊性,基本上0day都会集中在OA、CRM等系统上,所以利用方式多以web为主。可关注0day漏洞的发布,通过飞书、github等渠道获取利用详情,如果有经费的话,最好购买安全厂商的漏洞订阅服务,及时更新监测规则。
