吗喽蓝队的hvv日记

杂谈---hvv日记

前言

今年hvv又到尾声了，分享一下团队成员的hvv日记~

第一天

开局

开启早八的一天，比日常上班的时间要早许多。今年hvv我在某央企做蓝队值守，戒备好森严，进去还得人脸识别＋带牌子，客户带着我弯弯绕绕走了好一会才到了值守的地方。稍微有些慌乱，不过还是挺期待的！

打开设备监控一看，直接给我惊呆了，一个小时十几万条告警，其中大部分是连着几页同一个ip的扫描。先不管他是否成功，咱直接就是一个封！

相安无事，马上到中午干饭时间了，问了一下客户可不可以吃员工食堂，客户让我们直接点外卖得了，食堂贼贵一餐要四十多除非员工价。好吧，这么说起来确实点外卖好一点。零食药品那些明天才到，中午得吃多点下午才不会饿，和同事点了个东北饭，嘎嘎多。下午接着又看设备然后就是熬到晚上下班，第一天终于过去，躺下就睡着了zzz。

第三天

入世

风平浪静，基本上按部就班，攻击基本上是一波又一波，闲着的时候是真的boring，坐在屏幕前吃吃零食看看监控学学技战法啥的，看看时间，距离下班还有四五个小时，真tm长呀。忙的时候也很上头，一分钟就几百条告警，ip都封不过来，又是每个设备查又是紧张的和其他值守人员对接。现场全是键盘和鼠标的敲击声。

HVV期间也暴露了一大堆0day，每天都有好多威胁情报，第一天就爆出一个某EDR产品服务端RCE 0day漏洞，太强了这些0day大佬，每天看着这些0day就怕被打穿。

第七天

遭近源

今天不是风平浪静了。下午吃完饭一看，怎么内网在扫描，天啊。立刻和几个一起值守的同时分析，扫了好久根本不带停的。征求客户同意咱直接先封了它，立马响应了整个监控室的所有岗位，发现这个ip虽然是内网的，但是是分公司的一个蜜罐。

好家伙，蜜罐一登录上去看，客户说这个蜜罐有监控可以查看历史操作。咱不看不知道一看吓一跳，好端端的ping8.8.8.8，这不纯纯有问题嘛。立刻排查分公司的所有室内外监控。还真是有近源来了，几个鬼鬼祟祟的人找了个墙角把网线拔了自己插了个小设备就走了，估摸着还在那边附近，客户的管理层直接叫分公司附近派出所出警。好激动！真的第一次这么惊心动魄的溯源！

只可惜了没抓到那几个，一路调监控但是到后面就不见了。估摸着后边还会有，得打起十万分精神了。嘿嘿，客户领导直接表扬我们反应快，响应及时，挽回了很多损失。

第十二天

又是你们！

兜兜转转，他们又来了。

这次是在另外一个城市的分公司出现了大量的内网扫描，不过这次不是我们这边发现的是另外一个和客户合作的企业发现，按照上次的方法，有了一次经验，这次的响应更加迅速。调监控，芜湖，又是上次那几个人，甚至衣服都不换，他们的执着攻击让我感觉是不是他们公司安排他们不完成别回来了哈哈哈哈哈。

好嘛，直接出警。当地警方响应也是很快的，直接就抓，我们还想着设置个陷阱让他们跳进来一网打获。后面他们也是老老实实交代了是经过授权的红队。大获全胜加一千多分！

第十八天

虚惊一场

这天dmz突然爆了好多ceye.io的请求和dnslog的攻击，和同事几个立马排查，发现是某个同事打开一个网站看文章可能网站存在这些链，还好都是虚惊一场并且及时封锁了，没啥大问题，把同事的ip又给解封了。对一些看着比较可疑的ip进行攻击者画像查看和封堵。

这几天客户领导对我们轮班午睡好像不太高兴，可恶啊中午不能休息了。几个同事吃完午饭困得要死在那大眼瞪小眼哈哈哈哈哈哈，到下午三点多实在是遭不住，在那撑着看监控眼皮打架闭眼了几分钟被同事喊起来继续看监控了。

第二十天

行动迅速

这天爆出了一个微软漏洞，把大家吓得不轻，远程代码执行超高危漏洞进行复现，并发现其破坏性极大，可稳定利用、可远控、可勒索、可蠕虫等，攻击者无须任何权限即可实现远程代码执行，可导致开启了远程桌面许可服务的Windwos服务器完全沦陷。而且影响Windows Server 2000到2025所有版本，已存在近30年。

客户那边也是收到消息，问我们有没有必要对公司所有windows该版本都升级。得到我们的肯定回答后直接就安排修复了。不愧是央企，行动真快。

第二十六天

川菜真不错

今天无意的测了公司的一个网站，居然存在浪潮的漏洞，虽然客户公司每天都有在内部渗透测试，但是几十个网站可能并没有发现这些。这个站一看就是年久失修了，咱也只能通报一下给领导了。

今晚终于吃了顿好的，我们公司的销售请我们吃了川菜，虽然也是叫外卖拿进来吃，但是比平时吃的好吃太多啦！

第三十天

emo了

人麻了，今年好久啊，天天瞪着这些设备，感觉自己又近视了可恶。

之前才那么几周，这次直接两个月。客户发话说九月份还有一次集中攻击，让我们好好准备。这么一算不得到九月底，莫非传闻是真的？我也不知道，还是好好看设备吧牢弟。

有些个同事说感觉出现心理问题了……

跟你们讲个鬼故事：7月多开始2个月现在才8月半多，一半时间都没到，嘿嘿嘿。感觉他已经蚌埠住了。

不过也有些个同事安慰：这个月底实网攻击结束。下个月初沙盘推演。老爷保号，莫辜负！