实战攻防之红队视角下的防御体系突破
声明
本文基于实战攻防之红队视角下的防御体系突破. 这一核心内容而形成的学习笔记,并希望能帮助更多人受益于这一研究成果。如有侵犯权益,请及时联系
红队三十六计——经典攻击实例
古代军事谋略中包含着著名的三十六计,在实战中双方通常会经历一场攻防对抗的过程,在这种情况下双方都是面对着同类的人类进行对决同样是对人与人之间的较量在这一过程中既有运用智慧周旋竞争的"勾心斗角"也有明争暗斗的"尔虞我诈"同时也不乏主动出击直接对抗的勇气与果敢这些战术手段我们选取了一些典型案例通过具体案例展示了红队常见的进攻策略
浑水摸鱼——社工钓鱼突破系统
作为红队的核心手段,在战局中占据主导地位的社会工程学(简称社工),其主要表现在内容设计上具有高度的迷惑性,并且往往利用了普通用户的非专业特性。其中以钓鱼攻击为代表的手段因其隐蔽性和欺骗性成为社工中最具危害性的手段之一。对于缺乏专业知识和技术储备的用户而言,在信息辨识方面往往处于劣势位置;而针对特定目标及群体精心构造的精准钓鱼策略,则使得具备一定技术水平的参与者难以应对。
小D团队便负责了这样一个工作目标:某企业的财务系统。经过一番实地考察和信息梳理后发现, 该企业外网开放系统的数量极少, 也没有什么可利用的漏洞, 进入内网通道相对困难。
虽然他们通过网络途径以及一些开源社工库获取了一批目标企业的工作人员邮箱列表。掌握这些邮箱信息后的小D根据现有的密码规则以及常用简单密码如123456、888888等、账户名与密码一致的情况和账户名设置为类似123这样的简单组合等因素编制了一份 weak password dictionary. 借助hydra等工具进行暴力破解,在短时间内成功攻破了一名员工的邮箱密码
小D对其来往邮件进行分析后发现,该邮箱的使用者属于IT技术部的员工。随后,检查该邮箱的收件箱内容,观察到他过去曾发送过一封邮件内容如下:
标题:关于员工关掉445端口以及3389端口的操作过程
附件:操作流程.zip
小D选择避实就虚的方法,在原有邮件内容上进行伪装处理,并制作了钓鱼邮件样本。在其中包含了恶意隐藏程序的压缩包。
标题:关于员工关掉445端口以及3389端口的操作补充
附件:操作流程补充.zip
为提升攻击效率,在深入研究目标企业人员结构的基础上, 小D采取行动, 对财务部及相关职能部门展开邮件群发工作, 确保信息传递的准确性和安全性
小D共发送了多封邮件给相关联系人,请注意不要点击附件中的链接以免造成不必要的损失。
尊敬的各位领导及同事:你们好!我们已经发现了一批次钓鱼邮件行为,并将其归类为19626事件,请各位注意查看并删除所有附件中.exe文件或.bat文件等
小D同样运用 deceit、谎言的策略,并将以上邮件作为模板制作出看似真实的钓鱼邮件。
尊敬的各位领导和同事,近期发现大量钓鱼邮件,以下为检测程序… …
附件:检测程序.zip
持续地积累并提升邮箱及系统操作权限,在明确的目标角色指引下精心策划并制作具有针对性的钓鱼邮件样本;经过不懈努力后终于实现了目标交付
声东击西——混淆流量躲避侦察
在涉及蓝队(防守方)的实际攻防演练中,尤其是在特别关注于蓝队排名或通报机制的工作情况下,双方往往会在攻防过程中展开激烈的对抗。红队采取的IP封堵措施及规避策略,WAF防御策略及绕过方法,以及对Webshell探测及防护机制的研究,使得双方在战斗中经常陷入胶着战的状态。
小Y及其领导团队遭遇了一次情况:在短时间内建立起来的跳板很快就被切断了;随后上传的Webshell在短时间内被发现并封禁。每当红队进攻至某区域时,蓝队就会迅速采取行动追踪流量威胁来源,并反复对目标外围区域进行防御部署。
没有任何一个据点能够被长期保持,则内网突破将无法顺利进行。小Y及其团队通过一次全面的战略会议,在深入分析和总结流量威胁审计的本质问题后,并结合蓝队当前的数量和技术水平有限的情况,设计了一套错位打击的攻击方案。
具体方法就是:同时探索多台存在直接获取权限漏洞的系统,并采取主动发起高流量攻击至某系统以吸引防御力量的同时通过侧面低流量攻击手段获取相应权限随后迅速突破网络防线
为此, 小Y团队首先利用信息搜集技术识别出目标企业的某个外网WEB应用, 并借助代码审计手段深入排查其潜在安全风险, 最终成功定位出多个严重的安全漏洞. 此外还发现了该企业的一个营销网站, 通过对该网站进行黑盒测试分析, 发现存在文件上传路径上的安全漏洞.
小Y将团队分为两部分。其余所有团队成员专注于营销网站,并布设了许多不同A段的跳板。不介意是否被发现或封堵,并且还在使用漏洞扫描器进行测试。为了发起一场规模宏大的分布式拒绝服务(DDoS)攻击活动而努力工作。与此同时,在线人员却以不同的IP地址和浏览器指纹特征进行渗透攻击,并尽量以最小的流量获取服务器资源。他成功地使威胁数据淹没在 Marketing 网站发起的大规模攻击之中
通过这样的攻击方案, 小Y团队不仅掌握了营销网站, 也成功控制了WEB应用网站. 在营销网站方面, 他们采取了更为全面的操作, 包括但不限于: 有效识别并清除杀软威胁; 获得系统管理权限; 隐私通道的建立与配置; 大规模执行内部网络扫描. 这些措施都围绕着提升渗透效率而展开. 同时, 在WEB应用层面, 基于获取的内网信息基础, 小Y团队迅速部署优势节点, 展开了针对企业核心系统的全面渗透行动
蓝方迅速将营销网站切除。
与此同时, 蓝队启动流量分析、逆向追踪以及防御措施部署流程。
与此同时, 小Y已成功在WEB应用服务器上架设了FRP socks代理服务器。
通过内网横向渗透手段成功获取多台关键服务器。
利用多种协议木马技术进行渗透, 并建立多条安全通道以稳固权限。
同时, 通过这些安全通道对目标设备进行了 thorough 备份, 防止受阻.
在随后的日子里 server 权限始终未发生丢失状态。
持续展开渗透行动最终获取到 domain 管理者账号及 domain 控制器配置信息。
同时, 取得了 target 设备与网络的核心访问权限。
随着渗透行动接近尾声,在目标企业安全信息中心的安全人员发出的内部邮件中随后出现了一项重要情报线索随后,在目标企业安全信息中心的安全人员发出的内部邮件中
李代桃僵——旁路攻击搞定目标
其实在红队的工作过程中也遇到过许多不寻常的情况:例如蓝队更换了网站首页为一张截图有些团队完全封闭了数据传输接口并实现了通过Excel表格的数据导入还有些团队对内网目标系统的IP进行了限制只让特定管理员IP能够访问
小H领导的红队在一次类似的情况中遇到了这样的情况:目标企业将外网系统的访问权限设置为不可用,并对邮件系统采取了相应的防护措施;几乎无法进行打点操作并进入内网区域。
鉴于此
于是
小H有意通过技术手段对孙公司A的内网发起进攻,并计划针对其中一家子公司展开恶意行为。他首先使用Tomcat系统的弱口令及上传漏洞的方式进入了(子公司的)内网域。接着他通过该服务器导出的密码,在网络内部进行横向扩散,并最终成功侵入并控制了(子公司的)多台服务器。在这些受感染的服务器上进一步操作后,并最终从杀毒服务器上获取到了(子公司的)域管理员账号及密码信息。随后他将这些 credentials 输入到杀毒软件中进行验证,并最终获得了(子公司的)域控制器权限控制权
为了在 subsidiaries B 中进行信息收集,并发现了以下情况:Target System X 已经托管于 subsidiary C 中心位置。该中心全面负责运营及维护工作。其中 7 名员工与 Target System X 之间存在业务往来了。这些员工大部分时间位于公司 C 的办公地点工作,并已将他们的办公电脑的资产归属到公司 B 下属网络域中进行管理。此外,在 subsidiaries B 内部经常可以看到这些带回到 subsidiaries B 的办公电脑 assets.
基于收集的情报信息, 小H团队以(子公司B)内的7名员工作为入口点, 在其接入(子公司B)内网时, 利用域权限在其电脑中种植木马后门. 当其接入子公司的C内网时, 并进一步利用员工计算机进行内网渗透活动, 并获取子公司的C域控制权限. 通过日志分析手段, 从而定位到了目标系统x的管理员电脑, 进而获取目标系统x的管理员登录账号, 最终实现了对目标系统x的控制权限获取.
顺手牵羊——巧妙种马实施控制
红队从不会像渗透测试那样严格按照既定的工作流程或漏洞测试指南去执行任务,并非按照规范就能完成目标;他们的工作始终兼具随机性、挑战性和对抗性,在执行过程中总会遇到意外的情况;仅当具备灵活应变的能力,并能充分利用出现的机遇时才能最终突破障碍完成任务;小P这次行动的目标正是如此
小P团队利用目标企业OA系统的0Day漏洞进行挖掘后获得了Webshell权限。然而在刚站稳不久时蓝队管理人员察觉到OA系统运行异常随后对系统应用及数据库实施了服务器迁移并对现有漏洞进行了修复
原本就是一件令人沮丧的事。经小P的测试发现:尽管蓝队完成了对OA系统的转移,并修补了存在的漏洞;然而所有Webshell后门程序却仍未被彻底清除。这些隐藏的后门程序仍在原系统内运行,并被迁移到新的服务器环境中。攻击队仍可利用之前植入的Webshell;成功获取了目标服务器的所有权限。
拿到服务器权限后,小P团队意识到这是一个重要的发现。他们注意到蓝队的管理员竟然通过OA系统实现了对终端主机磁盘的访问,并且将终端PC主机的所有磁盘挂载至该OA系统中。于是顺手牵羊的机会由此显现出来。
小P团队审慎地核实了管理员身份及远程终端磁盘文件,并通过其终端磁盘注入了自启动后门程序。在等待期间,在获得了管理员的终端权限后随后发现该管理员乃单位运维人员。单位运维人员主要负责内部网络部署以及服务器运维管理等相关工作。通过MyBase工具对关键服务器信息进行了加密存储,并通过键盘记录器手段成功获得了MyBase主密钥。继而解密了MyBase的数据文件,并最终获取了VPN、堡垒机以及虚拟化管理平台等关键系统的账号和密码。
最终,在经过一系列操作后,在虚拟化平台上实现了对目标系统的核心访问,并精准识别并定位到了被模拟的目标服务器。随后系统管理员获得了相应的权限配置。至此,在这场模拟演习中取得了圆满成功
暗渡陈仓——迂回渗透取得突破
在面对具有明确目标的重点实战攻防演习时
当小M团队确定了攻击目标后,在获取该目标企业相关的域名信息时,并未遗漏其IP地址范围以及端口配置;同时,在初步评估该企业业务运行情况时也发现了潜在的安全风险。通过详细分析后发现,在当前环境下绝大多数的目标都已经处于关闭状态;或者它们已经被部署上了功能强大的防护装置。基于现有资源限制以及时间紧迫性的考量,在没有0day且时间有限情况下小M决定放弃正面突破采取暗度陈仓策略
小M借助天眼查网站这一工具,在深入了解整个公司架构的基础上掌握了其子公司及附属业务的具体分布情况;这些业务领域遍布香港、台湾、韩国以及法国等多个地区;值得注意的是,在香港地区运营的业务规模相对较大,并且很可能存在内部网络用于数据交换和协同办公;最终决定将重点放在香港上
为了解探香港业务,在目标企业的香港酒店业务网站上发现了具有SA权限的一个入口。小M团队成功访问了后台管理系统,并借助任意可上传文件获取了getshell指令。随后通过提升数据库管理权限进而获得了服务器系统管理权限,在此过程中发现该服务器位于域内,并且当前处于已登录状态。由于服务器预装了赛门铁克软件包,在此情况下我们选择了通过添加相应证书来实现防护。最终抓取到了域主密码以及相关域信息
通过导出域结构分析后发现存在本地域机器后
基于充足的数据采集,小M团队成功获取了渗透目标的IP地址。随后,在前期阶段获取到了 accounts 和 passwords,在完成登录步骤后,并借助任意文件上传漏洞实现了对服务器权限的获取。小M团队成功完成了对攻击目标的渗透任务。
至此,整个渗透工作结束。
延伸阅读
更多内容 可以 实战攻防之红队视角下的防御体系突破. 进一步学习
联系我们
该文档的标准编号为DB编号 3008.5-2018《人力资源服务规范》中包含了关于高级人才寻访的具体指导与策略。其中,在第五部分中详细讨论了针对高端人才的招募方法与实施计划。