实习期间安全运营可能会被问到的问题整理。
- 详细描述一次你处理C2外联事件的完整过程。你是如何发现它的?看了哪些日志?用了哪些工具或命令(比如netstat,lsof,EDR的查询语法)?
典型流程是:当EDR/MDR/SOAR告警提示‘恶意外联’后,先做情报验证。直接利用告警里现成的信息,比如目的IP、域名和文件MD5,去微步和NTI这类平台做交叉查询。一旦发现多个IOC(比如IP和MD5)同时被标记为同一个恶意家族,形成证据链,确认C2流量。通过EDR一键隔离文件,同时将恶意IP提交到防火墙封堵平台完成全网封堵。 - 你是如何确认一个外联连接是恶意的C2,而不是正常的业务流量?你的判断依据是什么?
从四个维度交叉验证:
情报维度: 查这个IP、域名、文件hash在多个威胁情报平台上的信誉记录。如果被多个引擎标记为C2或恶意软件,这是强信号。
行为维度: 看这个连接的行为模式。正常的业务流量(如访问API)通常是短暂、有规律的。而C2连接为了等待指令,往往是长连接、心跳式访问,或者访问频率异常。
资产维度:做资产信息核对。这个外联的服务器(目的IP)是否为我们自己的云服务器、CDN节点或合作伙伴的IP?如果不是,且是一个未知的、海外的低信誉IP,风险就很高。
上下文维度:看谁发起的连接。一个php.exe进程去连接一个陌生的海外IP,和一个java.exe进程去连接我们已知的日志服务器,可疑程度是天差地别的。
追问:如果是CDN节点呢?
CDN节点(如Cloudflare、Akamai等)是研判中最容易产生误报也最容易漏报的点。攻击者可能会大量使用CDN来隐藏他们真实的C2服务器IP。如果遇到目的IP是CDN节点,分析域名而非IP,一个被标记为恶意的域名,即使解析到Cloudflare的IP,也依然是恶意的;检查SSL证书:尝试查看HTTPS连接的SSL证书信息。很多攻击者会使用自签名证书或证书与域名不匹配;深度检测HTTP特征(核心手段),利用EDR的网络流量抓包功能,去分析HTTP请求包本身的特征:
User-Agent字段: 是否是默认的、畸形的、或者已知恶意软件的专属UA
HTTP Header: 是否存在异常或过长的字段
URI路径:是否看起来像随机字符串(如/abc123.php)或已知的Webshell管理路径(如/antSword)
通信模式: 是否与C2的典型心跳行为匹配(例如:在非活动期,固定每隔60秒发送一个很小的POST包) - 什么是 IOC?常见的 IOC 类型有哪些?
IOC(Indicator of Compromise)是 “攻击痕迹”,用来定位被入侵的主机 / 攻击源;常见类型:恶意 IP、恶意域名、恶意文件哈希(MD5/SHA256)、异常注册表项(Windows)、异常进程名。 - Linux 下查看系统日志、进程、端口的常用命令?
日志:cat /var/log/messages(系统日志)、cat /var/log/secure(登录日志,查异常登录);进程:ps -ef(看所有进程)、top(实时看进程占用资源,找异常进程); 端口:netstat -tuln(看监听端口)、netstat -an | grep 80(看 80 端口连接情况,查异常外联); - Windows 和 Linux 的权限管理有什么区别?
Windows:基于用户组(如 Administrators 管理员组、Users 普通组),权限细化到 “文件 / 文件夹的读 / 写 / 执行”;Linux:基于用户(root 超级用户、普通用户)和权限位(r 读 4、w 写 2、x 执行 1,如chmod 755 file);安全操作:你做 “系统加固” 时,会把普通用户的不必要权限去掉(如 Windows 不让普通用户装软件,Linux 不让普通用户用 sudo)。