ROUND 1   信息收集

攻方1

顺着这单位的外网服务器扫一圈，看有没有同网段的其他设备，使使劲儿应该能打穿，试试。

你先扫外网服务器，我收集下二级域名和管理员信息。

攻方2

攻方1

顺便把他们的小程序和公众号之类的也爬一爬，看能不能翻出有用信息，争取把网盘或者Github源代码之类的找到。

好。注意扫描频率，别触发IDS或者WAF之类的。

攻方2

企业A

就知道你们会用互联网资产暴露面为攻击切口，好在我们已经用360数字安全托管运营服务梳理了边缘业务资产，调整安全设备策略，明晰资产的业务归属。

ROUND 2   漏洞扫描

攻方1

我这儿找到了一些二级子域的信息，还有些小程序和公众号的内容，发现有几个小程序登录授权使用了shiro，我这上千个key跑完都没法利用，估计已经改过了。

我还在扫IP，同网段的设备不多，还没找到口子。以前他们的外网服务器有个Log4j漏洞，现在已经补上了，用不了了，我之前的权限也已经丢了。外网服务器跟内网应该是做了物理隔离，估计这条道走不通。

攻方2

攻方1

单位内网很可能走的都是专线，看来得找到获得授权的终端当跳板才行。你先接着扫描，我看看能不能暴破出一个VPN账号。

360本脑攻防演练防御指挥平台发现大量攻击行为，shiro反序列化漏洞利用、Log4j漏洞利用、弱口令爆破等等，迅速对攻击IP进行封堵。

企业A

攻方1

客户把我的代理IP给屏蔽了，应该是扫描被发现了，看来得多换几个代理。

我这儿有足够的代理IP，换个IP继续干。

攻方2

发现多个IP继续对外网服务器进行扫描，我们正在通过360 XDR一体机对攻击进行溯源。通过溯源分析，根据流量特征增加了WAF的自定义规则，目前可以阻断对方攻击。

企业A

攻方1

什么情况，我这刚换的代理IP都被封。

你别忙活了，应该是流量特征被拦截了，换再多IP也没用，我这找到个有用的信息。这家企业的系统允许30多家第三方企业通过VPN接入，我们只要搞定其中一台终端就行了。

攻方2

攻方1

这下攻击面大了！来吧，把你最新的免杀木马贡献出来，邮件挂马先扫荡一圈，没准有能中招的

ROUND 3 横向移动

攻方1

有上钩的了，而且有VPN登陆权限。我先摸摸内网情况，看看账号访问权限够不够。

我去搭建个内网穿透的隧道，他们内网应该没什么防护，我直接扫描一下内网，看看能不能找到其他的口子，你先做一下权限维持吧，别呆会这台肉鸡的权限丢了。

攻方2

攻方1

我这儿找到一个服务器的共享文件夹，里面有些应该是物流监控系统的配置文件，里边有数据库的账号密码信息。

可以，你直接发给我，我隧道已经搭建好了，我直接去连接。他们内网的防护竟然也做的这么好，根本扫不到其他的漏洞。

攻方2

360云端安全专家

本脑攻防演练防御指挥平台联动 XDR探针，通过关联分析、攻击链回溯等能力，还原攻击路径，定位到被攻击的服务器以及攻击端源IP，确认攻击端频繁访问此服务器上核心业务系统的攻击行为。随后云端安全专家调用SOAR预案对服务器和受控终端进行网络隔离，并紧急协助客户修改核心业务系统的弱口令密码，对被控终端进行上机排查，清理后门程序。