红队视角下的防御体系突破之第二篇案例分析

Posted 星球守护者

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了红队视角下的防御体系突破之第二篇案例分析相关的知识,希望对你有一定的参考价值。

文章目录

0x04 红队三十六计——经典攻击实例

  • 古人带兵打仗讲三十六计,而红队实战亦是一个攻防对抗的过程,同样是人与人之间的较量,需要出谋划策、斗智斗勇。

一、 浑水摸鱼——社工钓鱼突破系统

社会工程学(简称社工)在红队工作中占据着半壁江山,而钓鱼攻击则是社工中的最常使用的套路。

  • 钓鱼攻击通常具备一定的隐蔽性欺骗性,不具备网络技术能力的人通常无法分辨内容的真伪;
  • 而针对特定目标及群体精心构造的鱼叉钓鱼攻击则可令具备一定网络技术能力的人防不胜防,可谓之渗透利器。

案例:背景:小D团队便接到这样一个工作目标:某企业的财务系统。通过前期踩点和信息收集发现,目标企业外网开放系统非常少,也没啥可利用的漏洞,很难通过打点的方式进入到内网。

  • 不过还是让他们通过网上搜索以及一些开源社工库中收集到一批目标企业的工作人员邮箱列表。
  • 掌握这批邮箱列表后,小D便根据已泄露的密码规则、123456、888888等常见弱口令、用户名密码相同,或用户名123这种弱口令等生成了一份弱口令字典。利用hydra等工具进行爆破,成功破解一名员工的邮箱密码。
  • 小D对该名员工来往邮件分析发现,邮箱使用者为IT技术部员工。
  • 查看该邮箱发件箱,看到他历史发过的一封邮件如下:
标题:关于员工关掉445端口以及3389端口的操作过程

附件:操作流程.zip

小D决定浑水摸鱼,在此邮件的基础上进行改造伪装,构造钓鱼邮件如下。

其中,zip文件为带有木马的压缩文件。

标题:关于员工关掉445端口以及3389端口的操作补充

附件:操作流程补充.zip

为提高攻击成功率,通过对目标企业员工的分析,小D决定对财务部门以及几个跟财务相关的部门进行邮件群发。

  • 小D发送了一批邮件,有好几个企业员工都被骗上线,打开了附件。

  • 控制了更多的主机,继而便控制了更多的邮箱。

  • 在钓鱼邮件的制作过程中,小D灵活根据目标的角色和特点来构造。

    譬如在查看邮件过程中,发现如下邮件:

尊敬的各位领导和同事,发现钓鱼邮件事件,内部定义为19626事件,请大家注意邮件附件后缀后.exe、.bat等… …

小D同样采用浑水摸鱼的策略,利用以上邮件为母本,以假乱真构造以下邮件继续钓鱼:

尊敬的各位领导和同事,近期发现大量钓鱼邮件,以下为检测程序… …

附件:检测程序.zip

通过不断地获取更多的邮箱权限、系统权限,根据目标角色针对性设计钓鱼邮件,小D最终成功拿下目标!

二、 声东击西——混淆流量躲避侦察

  • 在有蓝队(防守方)参与的实战攻防工作中,尤其是有蓝队排名或通报机制的工作中,红队与蓝队通常会产生对抗。
  • IP封堵与绕过、WAF拦截与绕过、Webshell查杀与免杀,红蓝之间通常会开展一场没有硝烟的战争。

小Y和所带领的团队就遭遇了这么一次:

  • 刚刚创建的跳板几个小时内就被阻断了;
  • 刚刚上传的Webshell过不了几个小时就被查杀了。
  • 红队打到哪儿,蓝队就根据流量威胁审计跟到哪,不厌其烦,团队始终在目标的外围打转
  • 没有一个可以维持的据点,就没办法进一步开展内网突破。
  • 小Y和团队开展了一次头脑风暴,归纳分析了流量威胁审计的天然弱点,以及蓝队有可能出现的人员数量及技术能力不足等情况,制定了一套声东击西的攻击方案。

具体方法就是:

同时寻找多个具有直接获取权限漏洞的系统,
正面大流量进攻某个系统,
吸引火力,
侧面尽量减少流量直接拿权限并快速突破内网。

第一步 小Y团队多个目标攻击

  • 先通过信息搜集发现目标企业的某个外网WEB应用
  • 并通过代码审计开展漏洞挖掘工作,成功发现多个严重的漏洞。
  • 另外发现该企业的一个营销网站,通过开展黑盒测试,发现存在文件上传漏洞。

第二步 小Y将团队兵分两路,

  • 除自己外的所有其他成员主攻营销网站,准备了许多分属不同A段的跳板,
  • 不在乎是否被发现,也不在乎是否封堵,甚至连漏洞扫描器都上了,
  • 力求对流量威胁分析系统开启一场规模浩大的“分布式拒绝服务”,
  • 让蓝队的防守人员忙于分析和应对;
  • 而自己则悄无声息地用不同的IP和浏览器指纹特征对WEB应用网站开展渗透,
  • 力求用最少的流量拿下服务器,让威胁数据淹没在营销网站攻击洪水当中。

第三步 通过这样的攻击方案,小Y团队同时拿下营销网站和WEB应用网站

  • 但在营销网站的动作更多,包括关闭杀软、提权、安置后门程序、批量进行内网扫描等众多敏感操作;
  • 同时在WEB应用网站利用营销网站上获得的内网信息,直接建立据点,开展内网渗透操作。

第四步 很快营销网站就被蓝方下线了

  • 蓝队开始根据流量开展分析、溯源和加固工作;
  • 而此时小Y已经在WEB应用网站上搭建了frp socks代理内网横向渗透拿下多台服务器,
  • 使用了多种协议木马,备份多个通道稳固权限,以防被防守方发现或直接踢出局。
  • 接续的几天服务器权限再未丢失,继续后渗透拿下域管理员、域控制器,最终拿下目标权限,工控设备权限等核心目标系统

第五步 在渗透收尾的后期,

  • 小Y团队通过目标企业安全信息中心的员工邮件看到,
  • 蓝队此时依旧在对营销网站产生的数据报警做分析和上报防守战果等工作,
  • 然而此时该企业的目标系统其实早已经被红队拿下了。

三、 李代桃僵——旁路攻击搞定目标

其实在红队工作过程当中,也碰到过很多奇葩的事情:

  • 譬如有蓝队将整个网站的首页替换成了一张截图
  • 有的将所有数据传输接口全部关闭了,然后采用excel表格的方式实现数据导入;
  • 有的将内网目标系统的IP做了限定仅允许某个管理员IP访问等。

小H带领的红队就遇到类似的一次:

  • 目标企业把外网系统能关的都关了,
  • 甚至连邮件系统都做了策略,
  • 基本上没有办法实现打点和进入内网。

为此,小H团队通过充分信息收集后,决定采取“李代桃僵”的策略:

  • 既然母公司不让搞,那么就去搞子公司。
  • 然而工作过程中发现,子公司也做好了防护,而且基本上也关个遍。
  • 一不做,二不休,子公司不让搞,那么就搞子公司的子公司,搞它的孙公司。

第一步 小H团队从孙公司下手,

  • 利用sql注入+命令执行漏洞成功进入(孙公司A) DMZ区
  • 继续后渗透内网横向移动控制了孙公司域控DMZ服务器
  • 在(孙公司A)稳固权限后,尝试搜集最终目标内网信息、子公司信息,未发现目标系统信息。
  • 但发现(孙公司A)可以连通(子公司B)。

第二步 小H决定利用(孙公司A)内网对(子公司B)展开攻击。

  • 利用tomcat弱口令+上传漏洞进入(子公司B)内网域,
  • 利用该服务器导出的密码在内网中横向渗透
  • 继而拿下(子公司B)多台域服务器,
  • 并在杀毒服务器获取到域管理员账号密码
  • 最终获取(子公司B)域控制器权限。

第三步 在(子公司B)内做信息收集发现:

  • (目标系统x)托管在(子公司C),
  • (子公司C)单独负责运营维护,
  • 而(子公司B)内有7名员工与(目标系统x)存在业务往来,
  • 7名员工大部分时间在(子公司C)办公,
  • 但办公电脑资产属于(子公司B),加入(子公司B)的域,且办公电脑经常带回(子公司B)。

第四步 根据收集到的情报信息,

  • 小H团队以(子公司B)内的7名员工作为入口点,在其接入(子公司B)内网时,
  • 利用域权限在其电脑种植木马后门
  • 待其接入(子公司C)内网时,继续通过员工计算机实施内网渗透,
  • 并获取(子公司C)域控制权限。
  • 根据日志分析,锁定了(目标系统x)管理员电脑,
  • 继而获取(目标系统x)管理员登陆账号,
  • 最终获取(目标系统x)控制权限。

四、 顺手牵羊——巧妙种马实施控制

  • 红队永远不会像渗透测试那样,根据一个工作流程或者漏洞测试手册,按照规范去做就能完成任务。
  • 红队的工作永远是具有随机性挑战性对抗性的。
  • 在工作过程中,总会有各种出其不意的情况出现,只有能够随机应变,充分利用出现的各种机遇,才能最终突破目标完成任务,小P这次做的目标就是如此。

第一步 小P团队通过挖掘目标企业OA系统的0Day漏洞

  • 继而获得了Webshell权限
  • 然而脚跟还没站稳,蓝队的管理员便发现了OA系统存在异常,
  • 对OA系统应用及数据库进行了服务器迁移,同时修复了漏洞。

第二步 本来是个很悲伤的事情,然而小P测试发现:

  • 蓝队虽然对OA系统进行了迁移并修复了漏洞,但是居然没有删除全部Webshell后门脚本
  • 部分后门脚本仍然混杂在OA程序中,并被重新部署在新的服务器。
  • 攻击队依然可以连接之前植入的Webshell,顺利提权,拿到了服务器权限。

第三步 拿到服务器权限后,

  • 小P团队发现蓝队的管理员居然连接到OA服务器进行管理操作,
  • 并将终端PC主机的磁盘全部挂载到OA服务器中。
  • “既来之,则安之”,小P发现这是一个顺手牵羊的好机会。

第四步 小P团队小心翼翼地对管理员身份及远程终端磁盘文件进行确认,

  • 并向该管理员的终端磁盘写入了自启动后门程序。
  • 经过了一天的等待,蓝队管理员果然重启了终端主机,后门程序上线。
  • 在获取到管理员的终端权限后,小P很快发现,该管理员为单位运维人员,主要负责内部网络部署、服务器运维管理等工作。
  • 该管理员使用MyBase工具对重要服务器信息进行加密存储,
  • 攻击队通过键盘记录器,获取了MyBase主密钥,继而对MyBase数据文件进行了解密,
  • 最终获取了包括VPN、堡垒机、虚拟化管理平台等关键系统的账号及口令。

第五步 小P团队利用获取到的账号口令登录到虚拟化平台中,

  • 定位到演习目标系统的虚拟主机,并顺利获取了管理员权限。
  • 至此,工作正式完成!

五、 暗渡陈仓——迂回渗透取得突破

在有明确重点目标的实战攻防演习中,通常蓝队都会严防死守、严阵以待

  • 时时刻刻盯着从外网进来的所有流量,不管你攻还是不攻,他们始终坚守在那里。
  • 发现有可疑IP立即成段地封堵,一点机会都不留。
  • 此时,从正面硬刚显然不划算,红队一般会采取暗度陈仓的方式,
  • 绕过蓝队的防守线,从其他没有防守的地方去开展迂回攻击
  • 小M这回遇到的就是这样一个硬骨头。

第一步 小M团队在确定攻击目标后,

  • 对目标企业的域名ip段端口业务等信息进行收集,
  • 并对可能存在漏洞目标进行尝试性攻击
  • 结果发现大多数目标要么是都已关闭,要么是使用高强度的防护设备。
  • 在没有0day且时间有限情况下,小M决定放弃正面突破,采取暗度陈仓策略

第二步 通过天眼查网站,

  • 小M了解到整个公司的子公司及附属业务分布情况,
  • 目标业务覆盖了xx、xx、xx、xx等地,
  • 其中xx包涵业务相对较多,极大可能有互相传送数据及办公协同的内网,
  • 故决定选择从xx作为切入点。

第三步 经过对xx业务进行一系列的踩点刺探,

  • 小M团队在目标企业的xx酒店业务网站找到一个SA权限的注入点,
  • 成功登陆后台并利用任意文件上传成功getshell
  • 通过数据库SA权限获取数据库服务器system权限
  • 发现数据库服务器在域内且域管在登录状态。
  • 因服务器装有赛门铁克,
  • 因此采取添加证书的方式,
  • 成功绕过杀软并抓到域管密码,
  • 同时导出了域hash及域结构。

第四步 在导出的域结构中发现了国内域的机器,

  • 于是小M团队开始尝试从xx域向目标所在的国内域开展横向渗透
  • 在国内域的IP段内找到一台服务器并getshell,提权后抓取此服务器密码。
  • 利用抓取到的密码尝试登陆其他服务器,成功登陆到一台杀毒服务器,
  • 并在杀毒服务器上成功抓到国内域的域管密码
  • 使用域管账号成功控制堡垒机、运维管理、vpn等多个重要系统。

第五步 通过大量的信息收集,

  • 小M团队最终获得了渗透目标的IP地址,
  • 利用前期收集到的账号密码,成功登陆目标系统,
  • 并利用任意文件上传漏洞拿到服务器权限。

0x05 红队眼中的防守弱点

一、 资产混乱、隔离策略不严格

  • 除了大型银行之外,很多行业对自身资产情况比较混乱,没有严格的访问控制(ACL)策略,且办公网和互联网之间大部分相通,可以直接使远程控制程序上线
  • 除了大型银行与互联网行业外,其他很多行业在DMZ区和办公网之间不做或很少做隔离,网络区域划分也不严格,给了红队很多可乘之机。
  • 此外,几乎所有行业的下级单位和上级单位的业务网都可以互通
  • 而除了大型银行之外,其他很多行业的办公网也大部分完全相通,缺少必要的分区隔离
  • 所以,红队往往可以轻易地实现实施从子公司入侵母公司,从一个部门入侵其他部门的策略。

二、 通用中间件未修复漏洞较多

  • 通过中间件来看,WeblogicWebsphereTomcatApachenginxIIS都有使用。
  • Weblogic应用比较广泛,因存在反序列化漏洞,所以常常会被作为打点和内网渗透的突破点。
  • 所有行业基本上都有对外开放的邮件系统,可以针对邮件系统漏洞,譬如跨站漏洞CoreMail漏洞XXE漏洞来针对性开展攻击,
  • 也可以通过钓鱼邮件鱼叉邮件攻击来开展社工工作,均是比较好的突破点。

三、 边界设备成为进入内网的缺口

  • 从边界设备来看,大部分行业都会搭建VPN设备
  • 可以利用VPN设备的一些SQL注入、加账号、远程命令执行等漏洞开展攻击,
  • 亦可以采取钓鱼爆破弱口令等方式来取得账号权限,
  • 最终绕过外网打点环节,直接接入内网实施横向渗透。

四、 内网管理设备成扩大战果突破点

  • 从内网系统和防护设备来看,
  • 大部分行业都有堡垒机自动化运维虚拟化邮件系统域环境
  • 虽然这些是安全防护的集中管理设备
  • 但往往由于缺乏定期的维护升级,
  • 反而都可以作为开展权限扩大的突破点。

摘抄


生活中,无论是谁,都可能遇到人生低谷的时光,或是前路迷茫,或是被命运的洪流击败。
过分患得患失,往往得不偿失。比失败更可怕的是,被失败打败。
有的人遇到挫折后,担心再次失败,而瞻前顾后。
结果,越害怕失败,就越不敢前行,心绪越紧张,就越无法改变现状。
从而,让自己陷入“持续低迷、心力交瘁”的死循环中,无法自拔。
世事瞬息万变,人生不可能一帆风顺,成功有之,失败亦有时。
人不能因为害怕摔倒,而停止前行。
任何时候,想要突破重围,就要把精力放在成功的可能性上,顺便做好最坏的准备,给失败留后路。
而后,根据当下的情形,适时优化策略,才有机会走出困境。
《不必害怕失败,适时优化策略》


以上是关于红队视角下的防御体系突破之第二篇案例分析的主要内容,如果未能解决你的问题,请参考以下文章

蓝队视角下的防御体系怎样进行突破

攻防演习防御体系构建之第二篇之应对攻击的常用策略

攻防演习防御体系构建之第一篇之介绍和防守的四个阶段

ATK&CK1红队评估实战靶场Vulnstack之第二篇web漏洞

ATK&CK1红队评估实战靶场Vulnstack之第二篇web漏洞

红队攻防之从边界突破到漫游内网(无cs和msf)