前言

突然接到通知，甲方在HVV防守前突然收到内网IP地址出现Socks代理通信，审计流量发现确实属于socks流量，不属于告警流量，告警地址为个人终端，直接准入工具阻断等待排查。

态感告警

流量分析属于正常的socks流量。

科来全流量探针流量分析

回溯分析socks流量

直接下载连接的socks端口流量，进行分析，csnas打开分析连接会话

在HTTP请求日志中发现请求的URL为我们关联单位的资产，基本确认了这个机器肯定是被控了。态感上针对被控终端无其它攻击记录，被钓鱼的可能性肯定是放在首位的。

测试Socks隧道

由于socks未设置用户名、密码，本地设置socks代理访问测试隧道

隧道可正常利用，准备准备写防守报告了。（报告可在圈子获取）

溯源

对目的IP进行端口扫描

发现起的业务还挺多，业务端口发现是某个科技公司，还有他们公司的业务

在开放的端口找到了NPS业务

访问其它端口发现该公司业务后台管理

前端

某科技公司，搞网安的，穿透工具放在自己的业务服务器上，这种RedTeam这年头真不好遇见。

突破

上面扫描的端口可以发现，在socks端口位置，协议识别TCP，跟他相邻的端口也是TCP端口

猜测也是socks协议，配置socks隧道后发现无法访问我们关联单位的内网业务，但是可以访问百度。

那么这个隧道的客户端又是在哪儿，这个也是令我比较好奇的。另外在测试后台是否能登录的时候在源码中出现了内网地址

直接挂上工具Proxifier+弱口令

挂上gorailgun，弱口令一把梭。发现了一个mssql的弱口令

财务系统前后端分离，找到数据库，内有银行卡信息。

在企查查上查询到这家公司的股东信息人员和数据库内的人员一致，一般不会有这种巧合

写溯源报告上交，完事儿

总结

整个应急流程是没有问题的，着重记录的是溯源的过程，预警产生后准入设备是直接管控终端断网的。后期联系到终端使用人之后也确实发现有上传的fscan.exe。应该还没来得及扫描，推测应该是抓取了终端用户浏览器的记录连接测试。整个应急以及溯源流程如图所示

其实很多情况下溯源到某公司或者某个个人都不会承认，现阶段的攻防演练确实存在很多不可控因素，每个授权攻击厂商或者说授权攻击队的合作商或者关联合作伙伴的支撑很常见，报告如实上交，其它交给裁判。

思考（视频教程可在圈子获取）

• 本次防守虽然出现终端被控，安全意识从宣传到是否能够有效的贯彻实施本来就是一个不可控因素，人员因素永远是防守最大的不确定性。

• 攻击队应该是新团队，或者说攻击者是新手，打红队不担心溯源，拿企业机这种低错误也没注意，或者说是不担心溯源，另外起的socks隧道未配置用户名密码，裸奔的效果带来的不仅仅是方便，还有惊“喜”。

「圈子的最近主题和圈子内部工具一些展示」

纷传100%官方认证授权，可在发现-圈子页面查看

圈子部分内容展示

poc漏洞库 8000+src陆续更新中 -紧跟时代发展争做先进网安人

一起愉快刷分-榜上有名

免杀-护网必备

新手学习、老手巩固-温故而知新

学习报告-三人行必有我师

各类会员-尊贵的SVIP

「你即将失去如下所有学习变强机会」

学习效率低，学不到实战内容

一顿自助钱，我承诺一定让用户满意，也希望用户能给予我一份信任

【详情下方图片了解】，【扫下方二维码加入】：只做高质量优质精品内容」

圈子目前价格为¥99元(交个朋友啦！)，现在星球有近150+位师傅相信并选择加入我们，圈子每天都会更新内容，老用户可永久享受初始加入价格，圈子内容持续更新中

一张图总结

免费红队知识库：

 

免责声明

由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，本公众号及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！