攻防技术第一篇之-知彼(攻击手段)

Posted 星球守护者

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了攻防技术第一篇之-知彼(攻击手段)相关的知识,希望对你有一定的参考价值。

文章目录

信息收集

  • 信息收集指利用各种手段,针对性地收集目标单位相关的信息,覆盖面比较广,包括常规的域名IP/端口/服务、Wb站点、APP、组件/中间件等资产信息,源代码、账号密码等敏感信息,组织架构、分子公司、供应商等关联信息,员工邮箱/电话/职位等个人信息,基本只要和企业内/外部信息相关的都算在里面。
  • 通过尽可能全面的信息收集,攻击者在后续攻击中能挑选合适的突破点和突破手法,以及尽可能有效地进行进一步的深入,最终达到目标。

指纹识别

  • 组件是网络空间最小的单元,Web应用程序、数据库、中间件等都属于组件。
  • 指纹是组件上能标识对象类型的一段特征信息,用来在渗透测试信息收集环节中快速识别目标服务。
  • 指纹一般包含web服务指纹和其他服务指纹。
  • 对于web服务,指纹识别一般指通过对web应用前端代码特征、路径、服务器响应信息的比对,识别出Web应用使用的应用名称、版本、框架信息的过程。
  • 其他服务的指纹识别,一般也是通过往对应端口上发送特定的数据包,通过响应信息来判断对应端口上开启的服务类型、名称、版本及其他具体信息。
  • 指纹识别在信息收集中占据重要的位置,通过尽可能全面细致的指纹识别,攻击者能更快地挑选合适的漏洞来进行突破,以及利用合适的方式来进行深入利用。

边界突破/打点

  • 边界突破指突破目标的网络边界,从外网突破至内网的过程,也称为打点。
  • 一般来讲,攻击者针对目标进行了全面的信息收集后,将通过各种手法尝试对日标进行边界突破,以便后续深入。
  • 目前常见的边界突破手法,一是利用常规web类漏洞,直接针对企业相关的网络资产进行攻击;二是利用钓鱼近源等社会工程学手段,针对人员进行攻击;另外,先针对目标的供应商、上下游单位进行攻击,然后再迁回到目标单位,也是近几年常见的突破手法之一

远程代码执行(RCE)

  • RCE为两种漏洞的缩写,分别为Remote Command/ Code Execute,远程命令/代码执行,攻防演练中可以利用RCE获取应用服务器权限,进入企业内网。

1、远程命令执行

  • 远程系统命令执行(操作系统命令注入或简称命令注入)是一种注入漏洞。
  • 攻击者注入的Payload将作为操作系统命令执行。
  • 仅当web应用程序代码包含操作系统调用并且调用中使用了用户输入时,才可能进行OS命令注入攻击。
  • 它们不是特定于语言的,命令注入漏洞可能会出现在所有让程序调用系统外壳命令的语言中,包括C, Java, php, Perl, Ruby, Python等。操作系统使用web服务器的特权执行注入的任意命令。

2、远程代码执行

  • 代码注入攻击与命令注入攻击不同。
  • 因为需求设计,后台有时候需要把用户的输入作为代码的一部分进行执行,也就造成了远程代码执行漏洞
  • 包括使用了代码执行函数以及使用不安全的反序列化等(例如Struts2)。
  • 其实际危害性取决于服务器端解释器的限制(例如,PHP, Python等)。
  • 在某些情况下,攻击者可能能够从代码注入升级为命令注入。

WebShell

  • webshell是以 asp、PHP、jsp或者cgi 等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。
  • 使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。
  • 正因如此,也有小部分人将代码修改后当作后门程序使用,以达到控制网站服务器的目的。

反弹Shell

  • 反弹Shel!顾名思义是一个反向连接的Shell。
  • 在攻击过程中由于网络限制,攻击者无法直接连接被攻击主机的SSH、TELNET、RDP等远程控制服务,此时攻击者通过反弹Shell工具或命令在被攻击主机上启动bash或cmd等Shel(程序,并將程序的输入输出通过网络重定向到远程攻击者的主机,方便攻击者直接控制目标主机。

交互式Shell

  • 交互式模式就是在终端上执行,Shell等待用户的输入,并且立即执行提交的命令。
  • 这种模式被称作交互式是因为Shell与用户进行交互。
  • 这种模式也是大多数用户非常熟悉的:登录、执行一些命令、退出。
  • 攻防演练中常用到反弹Shell的方式获取到可交互的Shell。

PowerShell

  • PowerShell是一种强大的交互式命令行Shell(和脚本语言,默认安装在Windows操作系统上,2016年后支持开源和跨平台。
  • 由于PowerShell具有广泛的windows内部访问权限,因此,攻击者利用该技术进行攻击主要含如下几个方面:创建在内存中运行而不会在磁盘上留下任何痕迹的无文件恶意代码、通过对操作系统内部的广泛访问来执行复杂的操作、通过定期将恶意代码加载到内存中来实现持久化驻留、发现信息且收集和泄露数据、通过网络横向移动。

攻击者使用PowerShell来采用以下防御规避技术:

  • 直接在内存中加载和执行恶意代码;
  • 滥用Powershell命令和脚本来执行。在攻防演练当中,如果攻击者找到一个命令执行的功能点,可通过执行Powershel脚本来让被害机器上线到攻击者的C2服务器上。

DNSLog

  • DNSLog是一种常见的反连检测技术。
  • 通常在进行漏洞利用的过程中,应用程序由于内网隔离、程序无输出等各种各样的限制,无法立即向攻击者反馈结果,此时攻击者会将攻击过程中产生的副作用作为侧信道信息进行捕获。
  • 攻击者在发起攻击时携带一个自定义的域名,若攻击成功,应用程序将自动解析攻击代码中携带的域名,此时由攻击者持有的域名ns服务器可感知到该过程,DNS请求则会作为攻击过程中产生的重要副作用。

CC攻击

  • CC攻击 (ChallengeCoHapsar)是DDoS攻击的一种常见类型,攻击者借助代理服务器生成指向受害主机的合法请求,实现DDoS和伪装。
  • CC攻击是一种针对HTTP业务的攻击手段,该攻击模式不需要太大的攻击流量,它是对服务端业务处理瓶颈的精确打击,攻击目标包括:大量数据运算、数据库访问、大内存文件等,攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃

旁站攻击

  • 所谓旁站,指的是目标应用站点对应服务器IP的其他端口上开放的其他应用,通过针对这些其他应用发起的攻击,即称为旁站攻击。
  • 一般来说,目标的主应用系统防护相对较好,而旁站有可能会存在薄弱点,一旦通过旁站攻入服务器,那么主应用系统很可能也会沦陷。

此如目标主应用系统站点是192.168.123.123的80端口开放的应用,
如果通过扫描发现同IP:102.768.123.123的8888端口存在另外一个站点应用,
针对8888端口应用进行的攻击行为相对主应用系统就是旁站攻击。

C端攻击

  • 一般来说,机房的服务器IP都会比较集中,如果目标的服务器P集中在特定的C段,那么可以通过扫描C段内的其他IP来发现可能信息收集阶段遗漏的服务器,此时针对C段的莫他服务起攻击的行为,就叫做C段攻击。

权限维持

  • -维特控制目标主机的权限,一般指维持失陷主机和远控服务器之问的连接。
  • 权限维持一般通过定时任务、后动项、修政注册表等方式来实现。Jeva内存马由于重启后失效的特性,因此也有权限维持的说法,比如通过替换jar包等方式实现。

权限提升

  • 权限提升指提升攻击者的权限,一般指提升操作系统上的权限。
  • 攻击者在常规获取服务器的权限后,往往当前的用户不是管理员权限(比如只是web服务权限或数据库权限),会导致部分操作受阻,
  • 因此攻击者会尝试通过漏洞等方式提升当前操作用户至管理员,该过程称为提权。

后渗透/域渗透

  • 通常意义上的后渗透指的是在突破目标的网络边界完成打点后,能够接入內网之后的盼段。
  • 域渗透指针对Wdows AD域开展的渗透过程,一般最终目的为获取域控主机的操作权限,
  • 在完成域渗透后,一般攻击者能够获取所有员工的账号密码信息(一般来说密码是密文,但是基本都能破解成明文,并且密文也不会影响使用)。

横行移动

  • 横向移动通常指在内网同一个区域中的权限获取,
  • 如从DMZ区中的10.10.10.2服务器获取到了DMZ区中10.10.10.24服务器的操作系统权限。
  • 横向移动作为在复杂的内网攻击中被广泛应用的一种方式,也是APT(高级可持续威胁)攻击的重要组成部分。
  • 横向移动主要在AFT的后续攻击中发挥作用,用于窃取大量信息资产以及进行更深入的渗透。
  • 除AFT威胁事件以外,当前企业所面临的勒索问题和内部威胁也大多与 “横向移动〞有关。

纵向扩展

  • 纵向扩展指在内网不同区域之间的移动,如从DMZ区中的服务器获取到了IDC区域中的服务器权限,则可称之为纵向移动。
  • 一般来说,通过纵向扩展,攻击者可以获取得到不同的网络权限,并逐步靠近最终目标。

集权系统

  • 集权系统指企业内部能够批量管理服务器或者保存了大量服务器连接凭证的应用,
  • 常见的集权类系统包括:域控、堡垒机、运维管理系统、允许在客户端上命令执行的Zabbix或者常见的桌面管理系统
  • 集权系统是攻击者常攻击的内部系统,一旦被拿下,集权系统所控制的主机可同样视为已被控制,杀伤力大。
  • 集权系统的常见攻击口包括集权系统的主机、访问控制、配置、弱口令等。

运维平台

  • 运维平台指企业内部能够批量运维管理服务器的应用,基本运维平台都属于集权系统,是攻击

者在攻击过程中会重点关注的系统之一

中间件

  • 中间件通常指的是连接应 用系统和探作系统之间的一类软件,属于基础软件的一个大类,总的作用是为处于机子上层的应用软件提供运行和开发的环境,常见的有Tomcat、websphere、Weblogic等等。
  • 由于中间件在实际生产中的广泛使用,中间件一旦被发现有严重漏洞,影响一般都极其广泛,如Tomcat的幽灵猫漏洞、weblogic的反序列化漏洞等,这些漏洞也是攻击者最喜欢利用的手段之一。

后门

后门是指一种绕过安全性控制获得程序或系统访问权的方法,是留在计算机系统中,供某位特殊使用者通过某种特殊方式控制计算机系统的途径。其最主要目的是方便以后再次秘密进入或者控制系统。
主机上的后门来源主要有以下几种:
1、攻击者利用欺骗的手段,通过发送电子邮件或者文件,并诱使主机的操作员打开或运行藏有木马程序的邮件或文件,这些木马程序就会在主机上创建一个后门;
2、攻击者攻陷一台主机,获得其控制权后,在主机上建立后门,比如安装木马程序,以便下一次入侵时使用;
3、还有一种后门是软件开发过程中引入的。在软件的开发阶段,程序员常会在软件内创建后门以方便测试或者修改程序中的缺陷,但在软件发布时,后门被有意或者无意忽视了,没有被删除,那么这个软件天生就存在后门,安装该软件的主机就不可避免地引入了后门。

内存马

  • 内存马是无文件攻击的一种常用手段,随着攻防演练热度越来越高,流量分析、EDR等专业安全设备被蓝方广泛使用,传统的文件上传的webShell或以文件形式驻留的后门越来越容易被检测到,内存马使用越来越多。
  • 内存马大致有以下分类:Filter型、servlet型、Listener型、Agent型、controller型等。
  • 内存马主要是通过在运行的服务中直接插入运行攻击者的Webshell,不依赖实体文件的存在实现的服务后门,给检测带来巨大难度。

木马

  • 木马是隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。
  • 木马其实是计算机攻击者用于远程控制计算机的程序,将控制程序寄生于被控制的计算机系统中,里应外合,对被感染木马病毒的计算机实施操作。
  • 一般的木马程序主要是寻找计算机后门,伺机窃取被控计算机中的密码和重要文件等。
  • 可以对被控计算机实施监控、资料修改等非法操作。
  • 木马具有很强的隐蔽性,可以根据黑客意图突然发起攻击。

Shellcode

  • shellcode指能完成特殊任务的自包含的二进制代码,是一段用于利用软件漏洞而执行的代码。
  • Shellcode常常使用机器语言编写,通过劫持pc指令寄存器塞入一段可让CPU执行的Shellcode机器码,让电脑可以执行攻击者的任意指令,根据不同的任务可能是发出一条系统调用或建立一个高权限的Shell,Shellcode也就由此得名。
  • 它的最终目的是取得目标机器的控制权,所以一般被攻击者利用系统的漏洞送入系统中执行,从而获取特殊权限的执行环境,或给自己设立有特权的帐户。

代理/隧道

  • 代理:就如同字面意思,即用户与目标的通讯都经过代理来“代为处理〞。
  • 假如说C是AB之间访问的代理,那么实际通讯就如下图,并且服务器B只能感知到请求来自于代理C,并不能感受到A的存在.

![image.png](https://img-blog.csdnimg.cn/img_convert/7fa4e4e611934b2db52a973cc48787da.png#clientId=u89b44b60-5d23-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=67&id=u1dbe5a73&margin=[object Object]&name=image.png&originHeight=134&originWidth=900&originalType=binary&ratio=1&rotation=0&showTitle=false&size=181566&status=done&style=none&taskId=uc5d5a624-b61f-4629-bf55-0d8cdabc0ff&title=&width=450)
隧道的概念在攻防演练的语境下,和代理是比较接近的,一般都是用于攻击者从外网穿透至内网。

域前置

  • 域前置 (Domain fronting),是一种隐藏连接真实端点来规避Internet申查的技术。
  • 在应用层上运作时,域前置使用户能通过HTTPS 连接到被屏蔽的服务,而表面上像是在与另一个完全不

同的站点通信,攻防演练中常用于隐藏攻击人员所使用的服务器。

哈希传递

  • FTH,是pass the hash的缩写,由于windows AD域的认证特性,
  • 攻击者在获取了用户密码的ntim hash的情况下,即使不知道明文也能够完成认证。
  • 因此此类攻击方式被叫做pass the hash即哈希传递。

DNS重绑定

  • 在网页浏览过程中,用户在地址栏中输入包含域名的网址。
  • 浏览器通过DNS服务器将域名解析为IP地址,然后向对应的1P地址请求资源,最后展现给用户。而对于域名所有者,他可以设置域名所对应的IP地址。
  • 当用户第一次访问,解析域名获取一个IP地址;然后,域名持有者修改对应的IP地址;用户再次请求该域名,就会获取一个新的IP地址。
  • 对于浏览器来说,整个过程访问的都是同一域名,所以认为是安全的。

通过DNS重绑定攻击可以绕过同源策略,攻击内网的其他设备。

黑盒扫描/白盒扫描

  • 黑盒扫描一般就是通过远程识别服务的类型和版本,对服务是否存在漏洞进行判定。
  • 在一些较新的漏洞扫描软件中,应用了一些更高级的技术,比如模拟渗透攻击。
  • 白盒扫描就是在具有主机权限的情况下进行漏洞扫描。

黑盒扫描的扫描对象是运行时的应用程序,扫描速度较慢且覆盖率低;而白盒扫描则侧重于应用程序自身源代码漏洞的扫描,无需运行时的环境即可扫描,扫描速度快且覆盖率高。

远控/C2

远控和C2概念上比较相似。

  • 远控指的是远控客户端或者远控服务端。
  • C2是Command and Control的缩写,命令与控制。
  • 一般也分为C2服务端和C2客户端。

远控/C2服务端能够控制安装了客户端的机器,能够执行特定命令或者上传下载数据,也可以将流量从服务端转发至客户端所在的内网环境,常用于内网渗透。

弱口令

弱口令 (weak password)没有严格和准确的定义,通常认为容易被别人猜测到或被破解工具破解的口令均为弱口令。例如 “123〞、"abc〞等,因为这样的口令很容易被别人破解,从而使用户的互联网账号受到他人控制,因此不推荐用户使用。
弱口令的生成跟个人习惯和意识相关。容易产生弱口令的组合包括:
[1]数宇或字母连排或混排,键密字母连排,如:123456、qwerty、abcdefg、1123abc等;
[21 生日,姓名+生日,此类密码很容易利用社工被破解;
[3] 短语密码,如:5201314等。

撞库攻击

撞库攻击归因于密码的重复使用。由于有很多人将密码重复用于多个帐户,因此仅凭一组账户密码足以暴露其大部分或全部帐户。
[1]弱密码嗅探:类似111111、123456这样的简单密码因为很多人用,用这样的弱口令去试探大量的账号,就有一定概率能发现一些真正在使用弱密码的账号。实施这样的攻击一般要求攻击者手上已经掌握了大量的账号以及常见的弱密码库;
[2]利用拖库数据:这是攻击成功率更高的一种方式,原理是大多数人倾向于在多个站点上使用同一个密码。当攻击者成功入侵一个安全防护能力很弱的站点A,并拿到其数据库的所有用户名密码组合,然后再拿着这些组合去站点B尝试;
[3]针对高权限账号的暴力破解:暴力破解严格来说跟撞库是两种类型的攻击,这主要是针对一些高权限账号(如网站的管理员)用大量密码去试探,想要盗用的账号目标非常明确。

账号破解

[1]账号枚举
账号枚举是常见的账号暴破行为之一,它的主要目的并不是获取有效的账号密码组合,而仅仅是获取有效的用户名。一般在获取用户名之后可以用于其他攻击,如针对存在的用户开展密码的暴破或者将用户名用于定向钓鱼;
[2]账号暴力破解
传统的账号暴力破解指针对特定的账号进行的密码穷举,如发现某系统存在admin账号,则通过穷举密码的形式去获取adlmin正确的密码,不过这种暴破方式在有账号锁定机制的系统或者应用上效果较差,甚至在部分场景会导致业务中断;
[3]密码喷洒
该场景一般是由于企业的用户名规则较为简单,攻击者可以生成正确的用户名;或者攻击者提前通过其他手段获取到了企业内部用户名清单。在攻击者获取有效账号信息之后,可以通过固定密码,穷举用户名的形式来快速发现有效的账号密码组合。如:固定密码为Qwer1234,通过快速穷举所有用户名来发现企业中使用了该密码的员工。由于常规的账号锁定机制和风控机制都是针对单一账号的,因此这种方式能够绕过账号锁定和风控机制。

密码破解

密码破解指将密码从密文反推出明文密码的过程,常见的密码破解方式有通过密码字典进行暴力破解或通过公开的密码库直接查询明文密码。

目录爆破

目录暴破指通过宇典对web应用进行路径枚举的攻击。通过目录暴破,攻击者一般能够获取到web站点上的备份文件、隐藏页面或者存在薄弱点的接口。

虚拟机逃逸

虚拟机逃逸是指攻击者获取虛拟机权限后,利用虚拟机的漏洞或通过其他手法突破虚拟机管理器 (Hypervisor),获得宿主机操作系统管理权限的过程,最终可控制宿主机上运行的其他虛拟机。虛拟机逃逸打破了权限与数据隔离的边界,已经成为云计算时代令人国风,丧胆的重大安全威胁之一,它为攻击者打开了新的入侵途径。

沙箱逃逸

沙箱是一种按照安全策略限制程序行为的执行环境,也就是说发现可疑行为后让程序继续运行,当发现的确是病毒时才会终止。而沙箱逃逸就是在代码执行环境下,脱离种种过滤和限制,最终成功拿到shell权限的过程。攻击者往往会试图隐藏恶意软件的攻击行为来逃避沙箱检测,方法有以下三类:
[1]攻击前先检测沙箱是否存在,如果被沙箱检测到了,就会自动调整到无威胁运行模式,以逃过检测;
[2]利用沙箱技术系统中的弱点或漏洞实现逃逸;
[3] 在分析沙箱时,会使用一些未被开启的攻击属性达到目的。

免杀木马

免杀木马中的木马一般指的是远控容户端,免杀指在安装了杀毒软件的主机上,该木马不会被标识为木马文件,能够正常地执行井让主机上线到远控服务端被攻击者控制,或正常执行其他恶意命令而不被杀毒软件识别。其中免杀部分,可能是针对特定杀软进行的免杀,也有可能是通用的杀软免杀(即针对所有杀软免杀)
免杀主要有静态免杀和动态免杀。

  • 静态免杀指木马本身在不运行状态不会被杀毒软件识别,般可以通过去除木马的特征片段(特征码),以及通过对恶意代码片段进行加密,只在运行时动态解密等方式,来达到静态免杀的效果。
  • 动态免杀指木马在运行时不被杀毒软件识别,目前最为常见的动态免杀技术是通过在杀软白名单中的应用来加载攻击者恶意代码的方式(即白加黑)最终实现动态免杀。

Rootkit

Rootkit是一种通过修改操作系统内核或更改指令执行路径,来隐藏系统对象(包括文件、进程、驱动、注册表项、开放端口和网络连接等),以逃避或者规避标准系统机制的程序。
Rootkit隐遁攻击分为两类:
[1]驻留内存的Rootkit隐遁攻击:无磁盛文件,Rootkit全部在内存中加载运行,目标机器关机后,实施攻击的文件映像自我删除、自动消失,致使无证可取;
[2]伪装内存的Rootkit隐遁攻击:即使有磁盘文件,但其在内存中运行后便实施内存视图伪装,以蒙混欺骗相关实时检测取证工具,致使取得伪证。
由于Rootkit是业内公认的最难检测的隐藏手段,因此常常被攻击者使用在高质量的APT攻击,
例如植入一个持久化的后门。

反向代理/正向代理

反向代理:

  • 一般在服务器能与外网服务器通讯的情况下,内网服务器通过访问外部服务器建立稳定的隧道,并将外部流量转发至内网的代理。
  • 速度相比正向代理更快,但是特征更加明显,容易被发现。

正向代理:

  • 一般在服务器不能直接与外网服务器通讯的情况下,攻击队使用的代理方式。
  • 比较常见的方法是通过端口复用将攻击者的流量通过http/https包装后抵达内网并进行流量转发,对于攻击者来说请求和响应收到的都是常规的http/https响应。
  • 隐蔽性相比反向代理来说更高,但是速度较慢。

模板注入

模板引擎可以让程序实现界面与数据分离、业务代码与逻辑代码分离,这大大提升了开发效率,良好的设计也使得代码重用变得更加容易。与此同时,它也扩展了攻击面。除了常规的XSS外,注入到模板中的代码还有可能引发RCE。通常来说,这类问题会在博容,CMS,wiki中产生。

社会工程学

社会工程学一般指攻击者利用社会工程学相关的手段,通过近源以及各类钓鱼(电话、微信、邮件等)相关手法,对目标进行攻击并最终获取相关权限。近些年由于传统攻击手法难度逐渐加大,很多攻击队都喜欢使用社工方法突破至内网。

钓鱼攻击

钓鱼攻击指通过邮件、微信、电话等方式诱导企业内部人员点击恶意链接或打开恶意文档,直接获取企业人员办公终端权限。
钓鱼攻击通常结合木马免杀进行,红队队员会收集企业相关人员联系方式信息,准备相应的话术,诱导企业内部人员点击,进入内部网络进行横向攻击,收集上线人员终端的内部信息。

鱼叉攻击

鱼叉攻击相对于钓鱼攻击更为精准,与常规大批量发送的钓鱼邮件不同,鱼叉攻击指针对特定企业的特定员工开展的钓鱼攻击,一般为邮件钓鱼。由于通过收集信息后,攻击者针对性定制了话术,目标上钩的可能性更大,同时钓鱼行为也更难用常见的邮件网关进行拦截。

供应链攻击

供应链攻击指的是针对软件开发人员和供应商开展的攻击。由于供应商可能给目标单位进行软件开发、系统运维或者基于其他的业务特点存在直接网络连通的情况,攻击者可以通过先针对供应商进行攻击,从供应商处获取源码,甚至直接通过供应商网络连接到目标企业的内网。在实际攻防中,由于时效性、可控性等原因,一般不会采取攻击开发者基础设施(如开发插件)、在开源仓库引入恶意代码等方式。
比如,供应商A给大量银行提供了某个应用系统,那么对供应商A开展的攻击就有可能能够获取该应用系统的源码,以便挖掘Oday进行入侵;同时,供应商A内部可能也有能够直接接人或远程运维各银行该应用系统的信息。那么一旦攻击者拿下供应商A,则可直通银行内网。近几年,由于正面攻击难度加大,所以供应链攻击的比例在逐年提升。

近源攻击

近源攻击是一种近几年开始真正在攻防演练中实施的攻击手段,一般指的是直接到达目标的办公环境,通过各种手段获取内网权限,比如攻击WiFi、插BadUSB甚至直接连网线等手法。与传统依赖于Web入侵的方式不同,一旦攻击者直接出现在办公环境,基本上能够很容易地获取内网权限。

水坑攻击

水坑攻击是一个比较形象的形容方式,本质就是在目标员工常用的应用系统中植入恶意的代码,捕获目标员工的账号信息或者对目标员工进行针对性的钓鱼。
目前攻防演练中常用的水坑攻击是在内网办公应用中开展,如在OA系统登录功能中植入恶意代码去记录员工输入的账号密码,或者通过弹出安装插件之类的虚假提示诱骗员工执行木马程序,

缓冲区溢出攻击

缓冲区溢出是一种非常普遍且危险的漏洞,广泛存在于各种操作系统、应用软件中。该漏洞的成因是程序员没有对用户向程序的缓冲区输入的长度做限制,导致超过预期长度从而破坏程序的运行,使得攻击者可以操纵被攻击软件并执行攻击者设定的代码。缓冲区溢出按照所攻击对象的不同可分为3类:破坏栈数据、破坏堆数据、更改类函数指针。
在攻防演练当中,缓冲区溢出漏洞经常被攻击者使用,例如CVE-2021-3156漏洞,就是之前公开的一个提权漏洞,当在类似Unix系统上执行命令时,非root用户可以使用sudo命令来以root权限执行命令。

重放攻击

  • 重放攻击指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。
  • 重放攻击可以由发起者,也可以由拦截井重发该数据的敌方进行。攻击者利用网络监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器。

重放攻击的基本原理就是把以前纷听到的数据原封不动地重新发送给接收方。

  • 很多时候,网络上传输的数据是加密过的,此时窃听者无法得到数据的准确意义。
  • 但如果他知道这些数据的作用,就可以在不知道数据内容的情况下通过再次发送这些数据达到愚弄接收端的目的。
  • 例如,有的系统会将鉴别信息进行简单加密后进行传输,这时攻击者虽然无法窃听密码,但他们却可以首先截取加密后的口令然后将其重放,从而利用这种方式进行有效的攻击。

常用攻击工具

[1]冰蝎/哥斯拉
冰蝎和哥斯拉可以归类为攻防演练活动兴起后的新一代webshel!管理工具,具有流量加密
和功能强大的特点,并且具备或者经过二次开发后就能够具备管理内存码的功能,受到很
多攻击队的青睐;
冰蝎项目地址:https://github.com/rebeyond/Behinder
哥斯拉项目地址:https://github.com/BeichenDream/Godzilla

[2] Impacket
Linux下进行域渗透的套件,项目地址:https://github.com/SecureAuthCorp/impacket

[3]Rubeus
Windows下进行域渗透的工具之一,项目地址:https://github.com/GhostPack/Rubeus

[4] Proxychains
Linux操作系统上常见的流量转发工具,但是无法转发udp流量;
[5] Proxifier
Windows下常用的流量转发工具,通过可视化界面进行操作,对用户比较友好;
[6] FRP
常见代理工具,项目地址:https://github.com/fatedier/frp

[7] NPS
常见代理工具,项目地址:https://github.com/ehang-io/nps

[8] CS
常见的远控软件,全称Cobalt strike, 官网地址:https://www.cobaltstrike.com/;
[9] MSF
常见的远控软件,全称Metasploit,官网地址:https://www.metasploit.com/;
[10]Windows提权辅助工具
官网地址:https://i.hacking8.com/tiquan/;

[11]沙盒即服务
Hybrid Analysis是由Payload Security提供的免费恶意软件分析服务,可使用其独特的
混合分析技术检测和分析未知威胁。

以上是关于攻防技术第一篇之-知彼(攻击手段)的主要内容,如果未能解决你的问题,请参考以下文章

攻防演习紫队第三篇之 风险规避措施

攻防演习紫队第三篇之 风险规避措施

攻防演习防御体系构建之第二篇之应对攻击的常用策略

攻防演习防御体系构建之第一篇之介绍和防守的四个阶段

攻防演习紫队第一篇之介绍和组织

攻防演习紫队第一篇之介绍和组织