书接上文，《网络安全攻防演练风云》专栏之攻防演练之-网络安全产品大巡礼二，这里。

演练第一天并没有太大的波澜，白天的时间过得很快。夜色降临，攻防演练中心内的灯光依旧明亮。对于网络安全团队来说，夜晚和白天并没有什么区别，攻击队的攻击从不分昼夜。

夜班的安排

由于攻防演练需要7*24小时的值守，因此每天的晚上必须安排人员进行值守，Nick在下班前将大家聚集了起来，谈论值守安排。

“各位，接下来是演练期间的夜间值守安排，”Nick在平静的说到。他的声音平稳而有力，显示出作为领导者的果断。“每晚需要两个人值守，确保我们能够及时应对任何突发情况。根据以往的经验，夜间的工作会相对的轻松。”

小白坐站在一个不起眼的角落，虽然他团队中的拼角，但他知道，作为团队里地位最低的成员，他将承担更多的夜间值守任务。

“首先，小白，你的值守安排是最多的，年轻人熬夜应该不成问题”，Nick看向小白，语气中带着一丝歉意，但更多的是理所当然的安排。

“没问题，Nick总，我可以的”，小白点点头，他早已做好心理准备。

“接下来，王工和我们团队的成员，每个人值守三个晚上。刘总，亮哥，你们三个人每人也值守一个晚上”，Nick继续安排道。

王工微微皱眉，但还是点了点头。他长期驻场，对甲方的环境非常熟悉，知道值守的必要性。虽然心中不情愿，但是没啥地位的他，他还是选择了服从安排。

亮哥则明显有些不悦，他们本身的目标和安服并不一致，何况对于他们这些职场老油条来说，熬夜值守无疑是最不愿意接受的任务。但是为了安服能够说几句产品的好话，他们也只能无奈接受。“好的，我们做好准备”，亮哥则说到，他知道在这样的团队中，有些事情是无法避免的。

“明白了，Nick”，刘总勉强一笑，内心却在盘算如何在这次演练中尽量减少自己的工作量。

安排结束后，团队成员们陆续离开，小白和Nick留下来继续熟悉夜间值守的流程。Nick走过来拍了拍他的肩膀，“小白，我知道这对你来说不容易，但是对于我们做安服的人来说，加班已经习以为常，将来你走进职场就会明白”。

“谢谢Nick总，我一定会努力的”,小白回应道。

值守的第一晚，小白和Nick一起值守。Nick虽然态度平静，但也不时露出倦意。

“小白，你觉得这种值守安排合理吗？”,Nick问道。

“合理不合理，不是我能决定的。”小白笑了笑，“不过，既然安排了，我就尽力做好吧。”

Nick没有做声，护网第一晚很平静，相安无事。

夜间值守的第二晚，小白和王工一起值守。王工坐在监控前，和小白一样，专心的处理一些日常的监控工作。

“王工，这种夜间值守的安排你觉得怎么样？”，小白小心翼翼地问道。

王工叹了口气，“其实，对我们这些老家伙来说，熬夜确实不容易。不过，安全工作需要人来做，年轻人多承担一些也是应该的。”

“我理解，”小白点点头，“不过，作为新手，我觉得这是一个很好的学习机会。”

“你这么想就对了”，王工笑了笑，“多学点东西，对你未来的发展有好处”。

值守的第三晚，小白和刘总一起值守。刘总明显不如王工那般专注，他不断走出演练大厅，似乎在期待时间快点过去。

“小白，你真能熬啊，年轻就是好”，刘总打了个哈欠说道。

“刘总，熬夜对我来说还好，主要是觉得能学到很多东西”，小白说道。

“是啊，年轻人有干劲是好事。不过你也要注意身体，别太拼了。”，刘总显得有些敷衍。

钓鱼邮件的发现

自从Nick交代小白每天盯紧邮件网关之后，作为学生的小白，十分的负责和兴奋。于是，他每天都特别留意那些被邮件网关判定为可疑或恶意的电子邮件。

由于小白白天在酒店休息，多数的工作时间是在晚上。每天晚上交班之后，小白都会第一时间打开电脑，进入邮件网关的监控界面，查看最新的可疑和恶意的邮件。他对需要二次判断的邮件的内容、发送者的IP地址、邮件头信息等都一一记录在案，并将这些信息汇总给Nick。

在这段时间里，小白连续向Nick报告了多次针对甲方的网络钓鱼活动，Nick对小白进行了鼓励。但他也告诉了小白，单靠邮件网关提供的信息还不够，要想形成有效的溯源报告，需要更多的情报和更深入的分析，当然有的时候是需要运气的。之前小白报告的诸多钓鱼邮件由于团队内部无法给出完整的攻击链，因此都被放弃继续分析。

尽管如此，小白并没有气馁。他每天依旧认真地盯着邮件网关，仔细观察每一封可疑邮件，试图发现有价值的内容。

演练活动进行到第三天，小白按照前几天的流程，把一封发送者伪装成甲方的合作伙伴，内容是要求接收者点击一个链接和附件，并填写身份信息的邮件的详细信息报告给了Nick，Nick照例组织团队进行分析。

深入溯源的过程

按照攻防演练规则的要求以及之前的经验，针对钓鱼邮件的攻击手段，需要能够给出邮件发送者相关信息的证据，收集邮件的目的是什么，才能被判定为有效的溯源报告。

“这个邮件服务器的IP地址是一台境外的云主机，最近被VT标记成为垃圾邮件。”

Brain是整个安服团队里面比较特别的一个，他之前有过红队的经历，今年开始从事蓝队的工作，因此在团队中他是最擅长从红队角度进行分析，因此团队中的反制工作往往是由他亲自操刀。因此溯源攻击者的工作，Nick便将工作交给了他。关于钓鱼连接和样本的分析工作，Nick则是将其交给了团队中一名擅长逆向工作的小志。

WEB邮箱，以及邮件服务器这些互联网的攻击面对于Brain来说，属于家常便饭。在Brain多年娴熟技巧的加持下，经过一个上午的努力，Brain成功在邮件服务器上找到了发送者的相关的操作记录。根据相关的日志记录，Brain能够确定的是实际的threat actor通过控制互联网一个邮箱服务器发送钓鱼邮件。但是是谁操控者这台服务器，短时间内无法对于邮件服务器进行全面的取证分析。Brain深知有些操作点到为止即可，因此他放弃了继续深入追踪的想法，转而整理分析思路进行归档。

另一边，小志也在对邮件的样本进行动态和静态的分析，沙箱报告显示，这些钓鱼链接均指向境外的非营利性网站。同时沙箱的样本报告也显示，样本在后台运行后，会启动定时任务，但是沙箱报告并没有显示网络连接的行为。为了进一步分析样本中其他的IOC，小志在小白等人惊讶的目光中炫耀了一把软件调式的艺术。代码显示该样本会在计算机重启之后收集本地的credential发向境外的不同地址。经过小志的一番骚操作之后，证明了URL和样本的目的是收集用户名和密码，并发送至控制的傀儡机。由于Nick深知对于傀儡机的取证也是吃力不讨好的，因此放弃了进一步的溯源，因此他们针对钓鱼邮件的溯源工作就此为止。

形成溯源报告

在基本搞清楚整个的来龙去脉之后，Nick便要求团队内唯一的女士小美按照Brain和小志的分析结果快速的出具溯源报告。小美是团队内非常重要的一名角色，主要负责溯源报告的输出以及团队的后勤工作。

在Nick的带领下，小美迅速整理了所有的溯源信息，形成了一份详细的溯源报告。报告不仅详细描述了攻击过程，还分析了攻击者的动机和可能的下一步行动。

“这份报告很全面。”Nick满意地点点头，“我们马上提交给裁判组。”

不久后，裁判组的反馈传来，他们对这份溯源报告给予了通过，认为这是一次有效的溯源。小白和他的团队成员们都非常兴奋，这是目前甲方第一份有效的溯源报告，为甲方取得开门红，也让他们对接下来的演练充满了信心。

“干得漂亮！”，Nick拍了拍小白的肩膀，“这次是一个好的开始，接下来我们要再接再厉，争取更多的输出。”

小白点点头，他深知这只是开始，接下来还有更多的挑战等着他们。但他对自己的团队充满信心，他相信只要大家齐心协力，一定能在这次演练中取得更多的成功。通过这次钓鱼溯源的成功，小白对演练工作蓝方的工作内容心中也有了底，小白对网络安全工作的理解也更加深入。他明白了溯源不仅仅是技术手段的运用，更是对细节的关注和对信息的综合分析。

在接下来的几天里，小白和他的团队继续保持高强度的工作，不断分析和处理各种可疑邮件和安全事件。他每天都在不断学习和进步，逐渐掌握了更多的技术和方法。

由于溯源的成功，Nick安排小美给大家每人点了一杯瑞幸咖啡，大家都非常的开心。

本故事中人物角色和故事情节纯属虚构，如有雷同，纯属巧合。

本文为CSDN村中少年原创文章，未经允许不得转载，博主链接这里。