★ 随着红队Webshell管理工具冰蝎3.0及哥斯拉的出现，导致大量安全检测设备失效，如何监测发现红队的新武器？

★ 某APT组织对网管厂商SolarWinds的供应链攻击被广泛关注。当类似的供应链攻击事件发生在我们的身边，我们是否能够及时发现、及时告警、溯源取证呢？

★ 跟踪APT组织的FireEye被APT组织攻击，并被窃取内部红队工具。当我们感到震撼的同时，不禁会思考，如何才能避免遭受APT攻击呢？

前不久在某数据中心的实战安全对抗演练中，我们找到了答案。

实战演练

近日，某数据中心组织了为期一周的安全对抗演练，红蓝双方进行实战化对抗，以检测某数据中心安全区域防护水平。网御团队以及安全研究中心安服团队抽调精英作为防守方参与了此次安全对抗演练。
防守方使用设备包括网御TAR和网御NFT等相关安全设备，其中网御TAR和网御NFT部署于核心位置。网御TAR在此次演练中监测到了冰蝎3.0攻击行为以及供应链攻击，网御NFT全流量溯源取证还原了攻击过程。下面我们对发现过程做下简单概述。

// 冰蝎3.0被检测 //

演练伊始，网御TAR监测到webshell上传告警以及“木马后门冰蝎3.0_连接攻击”告警, 网御安服人员在网御TAR上对攻击者IP进行历史事件分析时，又发现了fastjson反序列化漏洞告警。

网御安服人员根据网御TAR上的告警信息，到网御NFT上进行全流量取证，还原了整个攻击过程：攻击者发现漏洞，并上传了webshell，用冰蝎3.0连接webshell。攻击者采用最新的冰蝎3.0进行webshell连接，却仍被网御TAR监测告警，而整个攻击过程也被网御NFT全流量记录下来，也印证了攻防对抗的不断进步。

// 供应链攻击再现 //

演练后期，网御TAR首先监测到“AWVS扫描行为”并告警，随即，网御TAR又监测到“数据库爆破”告警，并有“内网渗透”告警产生，以及“主动外联_Frp代理攻击”告警。

网御安服人员迅速做出应对，使用网御NFT进行全流量检索，对主动外联机器进行上机检查，进行溯源取证，还原了整个攻击过程：首先，攻击者通过扫描发现了某品牌运维跳板机，整个扫描过程被网御TAR监测告警，采用钓鱼邮件对运维跳板机厂商运维人员进行供应链攻击，找到了客户已部署运维跳板机信息。攻击者通过运维跳板机进入内网，并做内网横向移动，在这个过程中网御TAR监测到并告警。攻击者在用被控内网机器做出网连接时，又被网御TAR监测到并告警。整个供应链攻击过程十分隐蔽，但仍在各个阶段均被网御TAR监测到并告警，由此可见，攻击者再高明，仍然有迹可循。

（攻击过程图）

再隐蔽的攻击也会留下痕迹，网御TAR和NFT作为两款全新产品，集精准检测与溯源取证于一体,TAR的精准检测联手NFT全流量存包溯源取证，可以做到事前预警、事中发现、事后溯源取证，确保您在各种网络威胁面前都能游刃有余，高枕无忧！