公司溯源团队查到团队内部成员

在每一年的演习中，我们都会处置好几十起产品安全事件，虽然绝大多数都是已知的漏洞，但仍然有记录和总结的价值。另外身处应急响应大厅，还会得到来自几千同事传来的一手情报，他们犹如探针一样驻扎在客户侧进行防守，又或是攻击队员，在演习期间不间断的上报情报，可以帮助提升公司网络安全（安全部做出相应排查、加固和检测动作）和产品安全能力（产品线依据情报详情编写检测规则）。回顾历年写下的笔记，提炼出八个典型场景进行分享：

本章为该系列的第十四篇，亦是进入白热化战时状态的第8篇。主要介绍在实战演习期间，公司溯源反制团队查到攻击队的基础设施，然后通过域名注册的信息定位到团队内部人员。虽然是乌龙，但VPS被攻击确有发生，在这敏感且重要的时期，这些事情的处置过程显得极其紧张。

01

—

事件描述

某日，涉网犯罪中心的同事在帮客户溯源时，定位到了我们团队的小H。大致路径是：收到XX信安中心的IP溯源请求，IP为“4.x.x.178”，然后这个IP绑定的域名“fxxx.net”。

查询域名备案号，使用的是小H的名字，于是判断攻击者为他。

02

—

响应动作

收到领导的电话后，我立即联系了小H，并核实了今年其并没未参加攻击队、也没有打过任何目标。只是在去年底的时候，他同学使用过该机器打广东省HVV并被溯源。

但从溯源队提供的截图来看，时间存在较大差距，根本匹配不上。

溯源同事提示可以不提供给客户，但是其他人溯源到的话定不会手软，肯定会查过来。我们则让小H理清思路、并把事情的经过写出来，以证其清白。

03

—

处置结果

登录到服务器上查看攻击记录，并没有发现异常流量

该主机是腾讯的轻量服务器，可能会有共享IP的情况？待进一步做确认。此时，溯源团队已经看到客户的溯源报告，已经找到小H的名字，但是并不知道是在公司。

次日早上刷手机消息，意外看到nps存在0 day，并可能被恶意利用的消息。

于是转给小H进行排查，没想到他的nps配置确实存在漏洞。通过分析相关的日志发现：该服务器最近被攻下，沦为攻击队的跳板机。

04

—

经验总结

在演习期间发生这样的事件，处理起来既被动、也棘手！对于具备攻击能力的安全团队，需要加强对成员行为、公网服务与资产的管理，减少甚至避免该类事件的发生。

• 团队红线宣贯立规矩：之前是另一个同事的公众号，在演习期间分析0day写文章传播poc，现在是小 H的云主机。总会出现一些人和场景给公司、部门、团队带来麻烦，这方面缺少提醒和要求，后续确实需要加强。
• 战前检查红队基础设施：通过该事件联想到之前内部红队的VPS，也是自己管理不当导致基础设施出了问题，被攻击队利用。故在战前加固甚至临时关闭端口，是十分有必要的。