红蓝对抗中的溯源反制实战

这是我们第二次参加大型攻防真人实战。

上一次，我们在不到一个月的准备时间里，匆忙应战，最终实现了内部网络“零失分”。作为一线负责人，全面负责组织、管理和技术工作，跟打了鸡血似的战斗了两个月（可以参见我在金融群的分享）。但因为加分较少，最终排名并不理想。演练结束的时候，我发了一条朋友圈，内心OS是疲惫大于激动。

这一次，我们作为证券行业唯一“二次出征”的队伍，领导层对排名有了新要求。于是，我决定挑战“加分项”，希望能有所突破。

在此之前，笔者参加过众多的攻防演练交流活动，但很少见到人分享“溯源反制加分”这一主题。往往是厂商在介绍产品、服务时提到，谁用了我家某某产品获得了多少加分。但站在甲方角度，除了产品，还要考虑内部组织、系统部署、加分规则、报告编写等等工作。

总之，目前缺少对“溯源反制”系统化梳理的文章。本文是笔者对这段工作经历的小结，希望能对读者有所帮助。当然，任何人都有知识盲区，本文也不例外，不足之处还请大家多多批评指正。

为了完整还原此次经历，本文将按四个部分展开：

• 战前准备

• 战中对抗

• 战后反思

• 总结

---

Part1  战前准备

在介绍准备工作之前，我们先来看两个2019年的案例。

1.1 案例1>QQ群社工事件

第一个是社工案例。

如图所示，攻击流程如下：

1、攻击者在官网找到了技术支持QQ群号，在加群申请里面写上了“xx证券”，顺利通过管理员认证。

2、攻击者提前搜集到了某离职员工A的个人信息，包括姓名、职位等，进入到QQ群之后，伪装成员工A，潜伏了下来。

3、2天之后，攻击者在群里发了一则消息 -- “关于xx网络安全整改事项说明”，并附上了一个链接。

4、30s 后被管理员发现，立即T出了群聊。

5、随后，我方重新添加其为好友，通过反社工，确定了攻击队员的身份。

6、溯源这边，将链接里面的执行文件通过沙箱分析了行为，确定恶意，根据IP进行了攻击队员定位。

7、我方提交报告。

按理说，都抓到人了，这报告应该能加很多分吧？其实不然，才二百分。问题出在哪儿呢？

1.2 案例2>钓鱼邮件

接着来看第二个案例 -- 钓鱼邮件

攻击流程如下：

1、某员工B收到了名为董事长A的邮件，内容是要求建立QQ群，且不能自行拉人。一看就是典型的诈骗邮件，估计和演习无关。

2、趁着风平浪静，好奇的分析了下发件人，属于某地政府机构。看来多半是邮箱被盗。这种被盗，有可能是钓鱼，也有可能是弱口令。

3、考虑到小的政府机构一般没有专职安全人员，是弱口令的概率更大。于是找到该政府机构办公室座机号，尝试登录。发现居然进去了，OMG！

4、在邮件系统里面找到了真实发件人IP，发现来自越南，无法继续进行溯源，遂中止。

5、提交报告。同时电话联系对方单位，告知邮箱被盗，请尽快修改密码。听对方口气，估计觉得我才是骗子。

这份报告和演习无关，也没抓到人，所以没抱得分希望，想不到最后也给了二十五分，很意外。

1.3 2019年的困惑

后来和银行的大佬们交流，发现大家都是一千两千的上分，动不动还加满了分，非常困惑，到底咋做到的呢？

从大佬们的只言片语，以及厂家的交流中，大概知道了两点：

1、要部署蜜罐；

2、要成立专门的溯源反制小组。

1.4 组织结构****调整

想来也是可怜，我们当时只有防守能力，压根没想着要溯源反制，所以组织结构长这样：（括号内数字是人数）

可以看到，大量人力都在监控上。当时没预算没人，只能借助 PoC 的形式，NTA部署了4套，内网蜜罐部署了3套，通过这种方式借了7个人。分析组有 2 个人也是借的，更别谈拉人做溯源反制了。

痛定思痛，今年先把人给凑齐了。（跟上图比，数字变化了，毕竟准备更为充分）

加上笔者，一共3个人专职溯源反制。

紧接着问题来了，3个人怎么分工协作呢？

演练头两天确实有点乱，3个人基本没有协作，分析组丢过来的溯源信息，大家重复进行反打，反打的结果没有记录，无法统计，导致存在重复工作，且无法交付日报。经过摸索，我们逐渐理清了思路，在Part2会进行介绍。

1.5 蜜罐部署

有了人，就要开始部署工具了。

2019年，我们把蜜罐部署在内网，结果内网”零失分“，蜜罐连个告警都没有，监控的小伙伴每天愁死了。

所以今年我先明确了一点 -- 互联网用重型蜜罐，内网全量部署轻型蜜罐。

就像这张图，重型蜜罐（红色）是对互联网防御手段的补足（主动防御），一定要部署在攻击者直接能接触的位置。

而内网轻型蜜罐呢？就应该是灵敏度高、一触碰就告警，用HIDS启全量轻蜜罐最合适不过（HIDS的蜜罐原理很简单，就是socket监听，有连接就告警)：

---

（说明：这两张黄底的图片来自张福@青藤CEO的某篇媒体报道）

互联网重型蜜罐作为得分手段，在告警准的情况下，还要得分“简单粗暴”，给IP还不够，最好能抓到社交ID、攻击者主机信息，甚至反制攻击者。

OK，蜜罐也买回来了，怎么部署？诱饵是关键。

对此，我们设计了三大类诱饵：

1、已知漏洞：演习之前，我们做了众测、红蓝对抗，发现了一些安全问题。相信这些问题，可能提前被某些攻击者已经掌握，于是将计就计，我们把这类漏洞做成诱饵。例如 shiro漏洞，springboot 的 actuator 监控等。

2、热门漏洞：今年演习一波三折，第一天爆出了几十个0day，何不将计就计？利用这些漏洞来做诱饵呢，配上一些历史域名、欺骗域名服用，效果更佳。例如用 vpn.b.cn 运行某服 VPN 程序。

3、产品特性：蜜罐厂家都有各自的特色。比如 A 家有Mysql 反制蜜罐，B家有RDP反制蜜罐，这些都可以合理搭配使用。

好了，现在“万事俱备，只等开战”了。

Part2 战中对抗

---

本以为演习开始，会是狂风骤雨，没曾想，却是风平浪静。

头几天，NTA 设备发现了很多扫描行为，mysql 蜜罐偶尔有人登录，分析下来也都是扫描行为。一个真人攻击都没发现。

溯源反制小组很“忧伤”。

下雨天打孩（鞋）子，闲着也是闲着，于是决定将所有扫描的IP全部反打一遍。

2.1 案例3>和菠菜不期而遇

很快，我们发现一个 MySQL 蜜罐的扫描 IP 存在漏洞：

经过分析，确定：

1、IP注册地为香港特别行政区
2、存在 phpmyadmin 弱口令
3、数据库写文件拿到 webshell
4、获取系统system权限

很明显，攻击者没有对这台失陷的“肉鸡”加固。我们只是顺着“黑客”的路又走了一遍。

拿下服务器之后，要弄清楚两件事：

1、找到发起攻击的程序源头。

2、看能否进一步找到攻击者信息。

很快，在 C:\wmpub\wmiislog 目录下找到了扫描器程序。

程序主要是bat脚本，分析起来比较容易，为方便理解，我大致画出了该程序的运行流程图：

从横向和纵向两个方向来看。

纵向，是扫描器工作流：

1、攻击者运行 start.bat 文件

2、调用 检测.bat 检查肉鸡上是否已经运行该程序，存在就干掉

3、读取 gd123.txt 中的 C 段IP，调用 scan1 进行多线程扫描

4、将发现的存在 mysql 弱口令的IP、用户名和密码保存在 ALLHost.txt 文件中。

横向，是后门植入工作流，具体不展开。最后利用 sql.bat 将 tok2.exe 和 sv8.exe 植入肉鸡中。

顺着这台服务器，我们一口气拿下了 5 台攻击者服务器，如下图所示：

流程如下：

1、以 58.82.cc.ddd 这台机器为据点，找到了攻击者登录用的IP。在D盘发现了一份配置文件，从中找到了 45.192.ee.fff 这台服务器的数据库密码，发现该网站是博彩网站。

2、两台 103 的木马下载器网站也存在常规漏洞被拿下，在里面发现了 新x京 博彩建站程序。（相关程序已保留备份作为证据）

3、随后从对 tok2.exe 和 sv8.exe 进行分析，发现了 C2 域名，该服务器的tomcat 存在漏洞，也被拿下。

4、C2 上运行了木马的客户端，发现有600+终端在线。

整个程序和逻辑基本分析清楚了，接下来怎么溯源到攻击者真实身份呢？

突破口就在这个 C2 域名 -- ref.attacker.com （已做模糊化处理，非真实域名）。

通过微步在线情报社区（https://x.threatbook.cn/，免费）查询，得到该域名的历史解析IP。对第一个IP aaa.bbb.ccc.ddd 查找其历史解析域名。域名中最后一条 qq177xxxx 看起来可能是攻击者的QQ号码。但是，这几个域名之间是否有关联，是否属于同一个人？现在没法确认。

巧合的是，在搜索引擎中找到一份19年的在线病毒分析报告，从中发现了 ref.attacker.com 曾经解析到了 119.xxx.xxx.xxx，查找 119 这个IP的历史解析域名，有了新的收获。

仔细观察上图中两个红框的部分，发现以下4个域名是同时出现IP解析变动的：

• aaf.attacker.com

• bref.attacker.com

• bodyres.attacker.net

• qq1779xxxx.f3322.org

于是我们可以合理的得出以下结论：

1. 两个IP原先有正常业务：victim.cn和 victim2.cn

2. 最晚在2020年3月，黑客入侵了119.xxx.xxx.xxx （victim2.cn），将域名3、4、5、6指向了该服务器，直到 2020-06-18日。

3. 预计在2020年9月，黑客入侵了211.xxx.xxx.xxx（victim.cn）， 将域名3、4、5、6指向了该服务器，目前仍然有效。

4. 域名qq177xxxxx.attakcer.org泄露了QQ号码 177xxxxxx。

5. 利用QQ号码溯源到了身份证、手机号信息。

最终，利用该QQ号码，锁定了攻击者的真实身份，并向公安机关报案。

溯源花了2天，再用1天整理报告，按照加分规则，这种不算攻击队的行为，能加多少分，真不好说。

几天之后，报告审核完毕，加了500分。

当时就想，这加分也太难了吧，那些动不动2000多分的报告，得有多牛B！

**2.2 案例4>谜一样的得分
**

就在我们觉得加分难，难于上青天的时候，另外一份报告却给了我们一丝希望。

这份报告的内容很简单：

过程如下:

1、从NTA设备发现了一个扫描IP

2、whois查询IP信息，找到注册人邮箱

3、利用邮箱找到了当当网账号和支付宝账号

4、提交报告

可以说，这是一份常规到不能再常规，普通到不能再普通的报告，但是！它，加分了，加了200。

与此同时，类似的报告我们提交了5-6份，其他全部驳回，只有这一份加了分，可以对比下这两段评语：

1、红蓝对抗无关。对于红蓝对抗无关的追踪溯源完整还原攻击链条，溯源到xxxxx，根据程度阶梯给分。本次溯源到疑似攻击者的虚拟身份，给XXX分。

2、发现的攻击IP是非有效IP。入侵是得分的前提，对扫描探测（进行信息探测踩点，并未攻击成功）的追踪溯源不得分。请明确是否入侵成功，并提供入侵成功证据。

建议读者把上面两段评语再细读一遍。

发现了什么没有？对，裁判尺度不一致。

所以啊，加分这事儿，有时候是个“玄学”。不过摆正心态，咱们重在对抗，能找到对抗的乐趣，比“加分”更重要。

2.3 案例5>利用蜜罐设备指纹捕获攻击者

蜜罐部署之后，本以为攻击者会“犹如过江之鲫”，纷纷落入我方陷阱之中。可是5天过去了，几乎没有收获……

对抗进行到第二周的时候，听闻金融单位表现不错，开始进入到大的攻击池，将面临更多攻击队的攻击。

果不其然，某一天开始，突然发现蜜罐捕获到社交ID的攻击者数量，从每天1-2 个上升到了5-6个，量上来了，“自我防护意识”不强的攻击者也就来了。

下图是蜜罐捕获到的某攻击者设备指纹信息

在蜜罐的页面，并没有捕获到攻击者社交ID，但是识别为真人攻击。于是将该设备指纹ID提交给了蜜罐厂商，厂家在自己的“蜜罐指纹情报库”检索后，很快给出了反馈：

演习第六天，该设备指纹曾在某部委的蜜罐中被捕获到，且留下了社交ID

那所谓的“蜜罐指纹情报库”是什么呢？原理大致如下图所示：

基本流程说明：

1、我方发现了攻击者的设备指纹ID

2、某参演单位1也部署了该厂家蜜罐，捕获到某攻击者设备指纹ID和百度ID

3、某参演单位2也部署了该厂家蜜罐，捕获到某攻击者设备指纹ID和新浪ID

4、某参演单位N也部署了该厂家蜜罐，捕获到某攻击者设备指纹ID和优酷ID

5、厂家经过查询比对，将相关社交ID反馈给我方

这下就简单了，利用该社交ID，我们很快溯源到了真实攻击者，如图所示：

大致流程：

1、利用百度ID，在搜索引擎查找，发现了同名的CSDN ID。

2、利用CSDN老用户的一个漏洞，爆破了该ID的手机号。

3、利用手机号找到了攻击者的脉脉账号

4、获得攻击者完整的工作信息、教育经历、个人头像等内容。

5、提交报告。

很不幸，该报告第一次提交被驳回了，要求证明“攻击成功”。

所以这里用到了一点trick，对蜜罐页面进行改造，具体不展开，最后利用数据包重放证明攻击者“攻击成功"，第二次提交的报告通过，加1500分。

2.4 案例6>别人家的钓鱼邮件

红蓝对抗期间，我们也一直在和其他参演单位保持沟通。听说某证券公司一份报告拿了2000+，很崇拜，赶紧要来脱敏的得分报告进行学习。（说实话，脱敏挺难的，即便是做了部分信息隐藏，稍微花点功夫，还是能完整还原）

根据得分报告，笔者绘制了整个分析过程：

1、攻击者向参演单位员工发送了100+钓鱼邮件，标题为《关于申报xx杰出员工的通知》。

2、通过分析附件，找到了木马的回连地址：111.222.333.xx。对该IP用nmap扫描端口，在3389端口发现了指纹：XXXX_VM_XX 字样（敏感词打码，请脑补），基本确定属于攻击队。

3、从邮件头找到真实发件人信息：aaa@bbb.cn

4、bbb.cn 的域名持有人是CC，联系人邮箱是 dddd@qq.com

5、利用邮箱ID dddd找到了CSDN博客，确认其具备攻击能力。

6、利用邮箱在 天眼查/企查查 找到公司注册人信息，其中包括手机号码。

7、利用这些信息，进一步找到脉脉、linked in、社交和其他信息。

8、提交报告。

在复盘整个溯源的过程中，笔者发现该IP的返回信息和原报告中截图已经不一样，没有找到 XXXX_VM_XX 字样：

这样就放弃了吗？才不是。看看这些 filter 策略、OS信息、traceroute信息也是线索啊，这不，我们就发现了一个扫描IP，返回的 filter 信息一模一样：

基本也能确定这个IP来自真实攻击者。可惜的是，这哥们并没有对我们做进一步的攻击，想继续溯源也没机会了。

这个分析过程并不复杂，但前提是要收到了这封钓鱼邮件。

于是在演习的倒数第二天，我们在集团内开始疯狂的翻看邮件，通过SIEM的策略来加快查找：

1、同一个发件人，给超过10个人发邮件的，全部拉出来看一遍。（后来策略调整到5）

2、同一个标题的邮件，日志数超过10条的，告警。

找了一圈，没发现，然后扩大范围：

1、所有对外的公用邮箱（在官网、或者公开渠道有公布的），去收件人现场进行逐封排查。

2、所有带附件的邮件，虽然此前已经在沙箱运行过了，但考虑到免杀，再人工排查一遍。

花了一整天，一无所获……连个鱼都没人钓，太不给面子了。

**2.5 案例7>别人家的水坑案例
**

又一日，听到某单位的报告拿了3000+，一番软磨硬泡，总算拿到了脱敏版本。焚香沐浴，喝了一口祖仪牌奶茶，赶紧学习。

3000+就是3000+，果然不一样**。看完大开眼界。**读者快坐好，咱们一起开车了。

事情的起因是这样的，该单位监控发现，某一台服务器 A 突然在对其他服务进行扫描，显然不是A该干的事儿，看来A失陷了。

经过排查，推测是A服务器存在弱口令，被爆破之后，攻击者利用后台的计划任务写入了免杀webshell（syst.jsp)，和魔改的冰蝎(monitor.jsp)。流程如下：

快速止血之后，防守方开展了两项工作：

1、溯源

2、反制

先看溯源：

1、先通过访问该服务器特定地址这一特征，筛选出了一批可疑IP，姑且叫做IP池吧

2、将IP池在厂商的情报中心进行匹配，发现有2个IP存在可疑标签

3、其中一个IP上曾经捕获到过 C2 样本，通过二进制分析，找到了编译时的物理路径，里面泄露了攻击者的用户名。

4、利用该用户名溯源到攻击者信息。

（笔者认位该信息不一定准确，因为这个IP上的C2样本不一定属于该攻击者，从反制的结果也说明了这一点）

准不准没关系，反制抓到人了肯定准：

反制过程如下：

1、在攻击者访问记录中发现，该攻击者频繁在请求 syst.jsp 文件。

2、在该webshell中植入 probe.js[1] 探针，对攻击对⼿进⾏反向⽔坑，在攻击者再次访问webshell时获取其OS和浏览器信息。

（获取到两个操作系统信息，可能host是win10，跑了win7的虚拟机）

3、增加Canvas探针，获取CPU、主板等硬件信息，如果有返回，表明是win10，否则是win7。成功返回，说明是win10。

原报告终并未给出代码，但我估计和这个类似[2]，也希望有大佬能给出参考代码。

<html>
<body>
  <canvas id="glcanvas" width="0" height="0"></canvas>
  <script>
    var performance = window.performance || window.mozPerformance || window.msPerformance || window.webkitPerformance || {};
    document.write("<br>");
    for (var value in performance) {
      document.write(value + "<br>");
    }
    document.write("<br><br><br>");
    var canvas;
    canvas = document.getElementById("glcanvas");
    var gl = canvas.getContext("experimental-webgl");
    document.write(gl.getParameter(gl.RENDERER) + "<br>");
    document.write(gl.getParameter(gl.VENDOR) + "<br>");
    document.write(getUnmaskedInfo(gl).vendor + "<br>");
    document.write(getUnmaskedInfo(gl).renderer + "<br>");
    function getUnmaskedInfo(gl) {
      var unMaskedInfo = {
        renderer: '',
        vendor: ''
      };
      var dbgRenderInfo = gl.getExtension("WEBGL_debug_renderer_info");
      if (dbgRenderInfo != null) {
        unMaskedInfo.renderer = gl.getParameter(dbgRenderInfo.UNMASKED_RENDERER_WEBGL);
        unMaskedInfo.vendor = gl.getParameter(dbgRenderInfo.UNMASKED_VENDOR_WEBGL);
      }
      return unMaskedInfo;
    }
</script>
</body>

4、通过2和3，防守方确定了攻击者环境为 win10+chrome 47。接着，掏出珍藏已久的 chrome UAF 0day两枚，先不急，在本地做了一个复现：

（假装能看懂，堆上红色内存区域为可控制字节）

5、验证通过后，防守方利用浏览器UAF作为exploit，将免杀过的CobaltStrike木马作为payload投放到了攻击者机器，顺利拿到权限:

6、利用CS的目录管理功能，在host机器的微信安装目录找到了攻击者微信ID。并成功添加。

7、提交报告

掏出了两枚Chrome UAF 0Day，学不来学不来。也不知道是哪家公司做的协防，麻烦下次介绍给我们。

Part3 战后总结

---

---

3.1 2019年案例反思

再回过头来看2019年的两个案例，是不是发现存在很多问题？

随便列举一些：

1、没有对附件文件进行逆向分析，看是调试信息中包含了物理路径信息。

2、没有利用社工库进一步挖掘到攻击者的真实身份信息

3、报告中缺少对软件行为的细致分析。

4、钓鱼邮件完全可以将计就计，建个QQ群骗出对方的木马文件、钓鱼链接。从而进一步进行溯源分析。

3.2 红蓝对抗中溯源反制的局限性

前面虽然讲了7个案例，但是，必须承认一点

红蓝对抗期间的溯源反制存在其局限性

因为时间、演练规则、攻击人员水平等等原因，红蓝对抗期间的溯源反制和真实的APT攻击相去甚远。例如，现在常见的 C2 隐藏技术[3]，在CDN和应用上进行双重判断，可以实现真实域名的完美隐藏，对溯源造成极大的困难。但在前面的案例中均未涉及。

**3.3 报告标题优化
**

由于大部分溯源反制工作都依赖厂商人员开展，而厂商的小伙伴普遍“不爱写报告”，在情况介绍、问题分析、反制过程描述等方面，可能过于简略。所以在报告的编制上，还需要甲方自己把关。

作为“命题作文”，报告标题的重要性毋庸置疑。

记得前不久有一篇很火的微信文章，原作者标题是《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》28个字，不带标点，连断句都有困难。后来有公众号转发的时候，标题改成了《一部手机失窃引发的惊心动魄的战争》，引起了一阵热议。再后来，我发现单位领导转了一篇文章，叫做《手机一丢，倾家荡产》，尝试对比一下，哪个更会让评委有兴趣读下去呢？

• 一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链

• 一部手机失窃引发的惊心动魄的战争 

• 手机一丢，倾家荡产

Part2的案例5，笔者在食堂吃饭的时候，脑海里面闪过了好几个标题，最终改为《初探第三代蜜罐，xxx精准溯源攻击者身份》，这里面有几层用意：

1、突出第三代，说明这个技术新。

2、精准溯源，说明新技术在抓人上效率高。

3、攻击者身份，说明这份报告抓到了攻击队，必须给分必须审。

而Part2的案例3，笔者取名为《警民联动、共建美好网络空间-- xxx联合xx网监在国庆前夕铲除一伙网络博彩组织》，里面也有几层意思：

1、警民联动：突出是合成作战，这也是考点。

2、国庆前夕：为重保维稳做出贡献，是演练的初衷。

3、网络博彩：重点打击对象。

4、组织：说明意义重大。

不用主观认位标题都是假大空，咱们要内外兼修，事情要做的扎实，报告也要写的好看。

Part4 总结

---

行文至此，我们对溯源反制工作做一个总结。

**首先是溯源反制的意义。**说到溯源反制，大家第一反应估计是，“这不是公安的事情吗？”。企业既没有攻击者的个人信息，又不能实施抓捕，做这些事情收益何在？通过与网监部门打交道，以及红蓝对抗的经历，笔者总结出以下几点价值：
1、为警民联动奠定基础。站在属地网警的角度，每年需要面对大量的网络犯罪案件，在侦破率的考核指标下，如果企业能提供更全面、更深入的信息，将更加有利于案件的侦破。反过来讲，有溯源反制能力的企业，他们也更喜欢合作，倾斜更多资源。
2、对攻击者造成威慑。举个例子，某快递企业如果联合警方抓获了非法窃取数据的攻击团伙，在媒体进行了大肆报道。作为攻击者，在对该企业进行攻击之前，肯定会三思而后行，尤其是一些“脚本小子”，可能就主动放弃了。
3、提升安全实战化防护水平。所谓“攻防相长”，防守者如果想比攻击者更懂攻击，就需要不断提升实战化的攻防能力，对攻击者的隐藏手段、常见漏洞的利用方式、主动防御工具部署进行深入研究，不断迭代更新知识库。以事件为契机，以成就感为驱动，鞭策团队不断前进。

**其次是溯源反制组织架构。人力投入由目标决定，你是要拿名次，还是只想随便玩玩？不同的目标，做法不一样。如果想完整体会一次，建议配置三个人，一人负责整体组织，报告编制，以及部分反打工作；一人负责web方向，能进行常规反打、获取社工库信息；一人负责二进制和主机分析，熟悉应急响应套路；三人之间还要互相补位，比如寻找上传点、**分析登录行为、搭建CS服务端等等。在把握好度的基础上，如果发现了高价值线索，可以让厂家临时调拨更高级资源予以协助。例如需要高级木马分析、0Day投放等等。

**再者是建立完备的协作机制。**对外：1）和公安部门保持顺畅的沟通渠道，由价值线索尽快联动；2）依托厂家的情报信息，包括威胁情报、蜜罐情报等。对内：和分析组、夜班做好衔接，确保所有攻击线索都完成反打。利用共享文档进行信息记录。

**最后是常用技术手段。**本质上和红队没有太大区别，是对“攻击者"发起攻击，所以工具大体类似：

• 常见漏洞：弱口令、DB写webshell、phpstudy后门、Tomcat RCE、Shiro反序列化等。

• 常见工具：CobaltStrike、冰蝎、哥斯拉、菜刀、代理等等。对抗过程中我们还发现了一款SRC漏洞自动挖掘工具 Bayonet ，推荐给由需要的朋友。

最后的最后，作为一场比赛，希望大家辩证的看待加分与排名，保持平常心。毕竟加分的不确定性因素太多，是否有人攻击你？攻击者水平如何？裁判尺度大小？等等，都不是咱们能决定的。所以，享受过程就好。

参考：

[1]xssprobe,https://github.com/evilcos/xssprobe/blob/master/probe.js

[2]Get CPU/GPU/memory information. https://stackoverflow.com/questions/15464896/get-cpu-gpu-memory-information

[3]<红队基础建设:隐藏你的C2 server>https://xz.aliyun.com/t/4509

注：本文根据笔者在第二届世界信息安全大会（INSEC WORLD）CSO论坛分享的议题整理。

对于本文内容有问题的读者，欢迎在评论区留言，或者加笔者微信交流：