护网行动0Day漏洞逆向分析与社工防护+IP自动封禁策略

高度重视网络安全工作，深入贯彻落实习近平总书记对网络安全工作重要指示精神，按照公安部“护网2020”网络安全攻防演习统一部署，护网行动技战法0Day漏洞逆向利用+线下社工防护+自动化封禁IP，防御来自攻击队的攻击，并主动诱捕攻击者，来看看本战法相关技巧吧。

一、0Day漏洞之逆向利用

防御策略概述

0Day漏洞作为攻击者的利器，往往难以有效防御。鉴于此，我们采取了一种创新的防御策略：利用仿真0Day漏洞作为诱饵，以实现早期预警和反制攻击者的目标。具体而言，我们的目标有两个：

1. 建立互联网前沿观察哨：当攻击者尝试利用0Day漏洞进行扫描或攻击时，能够第一时间发出预警通知。
2. 诱捕攻击者：通过设置仿真0Day漏洞，吸引攻击者发起攻击，并在攻击过程中捕获攻击者的信息。

防御实施步骤

准备阶段

• 2019年，一款知名安全厂商的VPN产品曝出0Day漏洞。
• 2020年，该产品再次出现新的0Day漏洞。
• 基于这些情况，我们预计该厂商的VPN系统将成为攻击者的重点攻击目标。
• 因此，我们预先部署了仿真VPN蜜罐，以等待攻击者上钩。
• 在蜜罐中植入了反制木马，一旦被攻击者执行，即可通过蜜罐管理后台实现对攻击者的反控制。

实施阶段

• 探测：2020年9月16日，我们发现了攻击者对我们部署的互联网VPN蜜罐进行了探测。
• 再次探测与下载木马：9月18日，我们再次检测到该攻击者访问了互联网蜜罐，并有访问反制插件的记录。与此同时，还发现来自同一网段的其他IP地址对互联网沙箱进行了扫描。
• 执行反制木马：2020年9月21日上午9点58分，攻击者执行了我们事先植入的反制木马程序。随即，我们通过蜜罐后台成功实现了对攻击者的反控制，并捕获到了攻击者终端上的大量信息，包括但不限于：
  • 用户信息
  • 进程信息
  • 网卡信息
  • IP信息
  • 桌面文件信息

此次利用仿真0Day漏洞的策略不仅成功地预警了攻击行为，而且还有效地捕获了攻击者的相关信息，为我们后续的安全防御提供了宝贵的数据支持。

二、线下社工防护

我方针对线下社工的防御目标为：

防止攻击者通过社工方式混入现场对我方网络进行攻击，提高我方人员的警惕意识，为来自未来的不可预知事件做好准备。

我方防守思路如下：

单位大楼加强门禁管理，定时巡检大楼外侧、及时盘查陌生人身份。建立应急响应机制及时处置突发的线下社工事件。

如下为本次案例中的线下社工防护流程图

面对0Day漏洞带来的威胁，我们采取了一系列主动防御措施，旨在预警并反制潜在的攻击者。我们的目标是建立一个有效的预警系统，并通过诱捕技术来收集有关攻击者的更多信息。以下是我们针对一起疑似线下社会工程（社工）攻击事件的具体应对过程。

应对步骤

初始探测

• 时间：2020年9月16日 20:50
• 事件：我方内网蜜罐发现来自内部无线网络的探测行为。
• 响应：立即通过无线网络IP地址定位到该账户的注册用户，并确认该行为并非由该用户执行。
• 初步判断：基于上述信息，我们判断这是一起线下社会工程攻击。

应对措施

• 现场巡检：立即组织人员在大楼周边进行巡检，但未发现可疑人员。
• 确认演习状态：与指挥部确认当前是否正在进行演习，结果表明并非演习行为。
• 警方介入：在确定该事件并非演习后，立即与当地管片民警取得联系，通报情况。

持续监控与反制

• 持续周期：该事件持续了六天。
• 监控与封堵：在这六天内，我们持续监控并封堵了所有恶意攻击行为。
• 反线下社工行动：同时，我们也积极展开反线下社工行动，试图确定攻击者的具置。
• 定位攻击源：通过一系列努力，我们大致锁定了攻击者的地理位置，并推断这可能是一次未经报备的演习行为。

后续行动

• 报警处理：当我们的反溯源能力达到极限时，我们及时报警，以进一步调查并震慑攻击者。
• 攻击停止：在警方介入后，攻击行为最终得以停止。

在这场为期六天的无线网络攻击事件中，我们保持高度警惕，严密监控每一项可疑活动，并积极采取反线下社工措施。尽管攻击者采取了复杂的技术手段，但我们通过快速响应、密切协作以及与执法机构的有效沟通，成功抵御了这次攻击，并确保了网络安全。

三、自动化封禁IP

我方自动化封禁IP的目标为：

在这期间我们在这个api大全 啊平台当中使用了Cloudmersive安全威胁检测API，对接该api实现自动发现ip威胁并自动封禁等操作，通过对接这个接口实现自动封禁提高ip封禁效率。

防止攻击者攻击者不遵守规定，在非演习时间内攻击，降低我方防守人员的防守压力。

我方自动化封禁思路如下：

收集我防守单位内各个监测设备的告警数据，综合分析，在演习时间段内发出告警，在非演习时间段内自动化封禁高可疑IP。

在本次演习过程中，我方总计分析告警日志1545837条，自动化封禁IP6419个。极大缓解了我方防守人员的防守压力。

四、总结

在本次演习中使用“0Day漏洞逆向利用+线下社工防护+自动化封禁IP”战法。“0Day漏洞逆向利用”战法，利用攻击者急切想打入集团内网的心态，故意露出破绽，引诱攻击者上钩，顺藤摸瓜，抓获攻击者；“线下社工防护”战法，及时监测并阻断了攻击者的攻击，在无法继续溯源的情况下，及时采取相应措施，打退攻击者的进攻；“自动化封禁IP”战法防御了大量来自攻击队的攻击，减轻了防守人员的防守压力，让我方防守人员留出更多精力来应对攻击队的真实攻击