蓝队实战笔记

粗略反制思路

1. 部署蜜罐，获取攻击者信息，jsonp&xss拿到登陆过的常用网站账号，记得蜜罐网段严格隔离，同时WAF等不要拦截发往蜜罐的请求。
2. 在官网等子域名首页，放上含有恶意木马或病毒的文件，伪装成运维不小心遗留的文件。如wwwroot_2020.zip
3. 部署钓鱼站点，如vpn.xxx.com，并附上假的vpn操作手册，内含exe安装包马或pdf文件上马，诱导攻击者点击。
4. 伪造一个虚拟的员工，故意点击或落入攻击者的陷阱，但是进行反制任务。

溯源

了解分析威胁来源，如ip 、文件、邮件样本等进行初步分析，形成一个大概的判断：

1. 攻击者高精度ip查询 https://www.chaipip.com/aiwen.html https://ipip.bet 可以查询ip的大概位置，定位ip情况，比如酒仙桥360总部位置等确定大概攻击者ip范围
2. 威胁情报分析 微步在线 可以查询ip 样本 hash url https://x.threatbook.cn/nodev4/vb4/list
3. 在线沙箱 如腾讯哈勃平台 https://habo.qq.com/# 多家在线病毒库检测病毒、木马、恶意脚本 https://r.virscan.org/
4. 蜜罐拿到的信息如何定位个人？看到相关账号信息，如手机号、QQ号、邮箱、用户名，常用的google搜索 查看大概信息，手机号？输入支付宝，查看大概实名，百家姓猜测，脉脉搜索用户名，id号？搜索朋友圈常见的微信群，google等，查找对应的人。
5. 疑似钓鱼邮件？查看邮件的原始报文信息，判断邮箱来源，提取样本分析，注意样本一定要在虚拟机沙箱中分析，不误点击。
6. 现场分析电脑一定要安装杀毒软件，推荐小红伞、nod32、卡巴等