背景不明,攻防不明。警察要想抓小偷,首先要了解小偷的想法,这样才能更快的抓到小偷。毕竟小偷更容易抓到小偷。网络安全攻防如“矛”与“盾”。想要避免被“枪”轻易刺穿,不仅需要了解“枪”的战斗方式,还要不断强化“盾”的防御能力。我想借这篇文章来讨论一下红蓝对抗场景中的几个关键技术点。暴露面在大多数针对性攻击场景中,攻击者会收集大量关于受害目标的信息。比较常见的方法是通过网络空间搜索引擎、各种互联网技术论坛、开源站点获取尽可能多的目标信息,包括不限于一些开源应用、服务器开发的特殊端口、常用的用户名格式、密码、网络拓扑、内网网段、建站框架、数据库类型、中间件版本,甚至一些泄露的VPN账号。例如,很多内部非技术人员将一些VPN技术指南上传到百度网盘并分享给其他人,其中包含帐号、VPN访问IP或默认密码等信息。获取这些信息的恶意攻击者可能会直接导致内网被攻破。或者某个业务系统的开发者直接将自己的开源项目上传到github,没有修改其中数据库连接的配置文件,或者项目存在命令执行、任意文件下载等问题,被攻击者发现。会带来很大的风险。对于防御者自身而言,首先要做的是对当前网络环境的安全状况进行合理的评估,在对??攻防的理解的基础上识别网络中可能存在的风险,并对当前的一些暴露信息进行梳理。即便千言万语,提高员工的信息安全意识,这当然是家常便饭。要完全避免这些情况几乎是不可能的,要彻底解决这样的问题更是难上加难。进一步梳理内网资产,结合当前业务逻辑和网络拓扑,分析可能的入口点,识别风险和威胁,采取针对性的防护措施,加强访问控制,强制使用强密码、定期修改密码等都是一些合理实用的方式。EntryPointBoundary攻击者的目标是一个点,而防御者是一个区域。对于大多数攻击者来说,侵入大型跨国国有企业的内网比侵入小型复杂的金融互联网更容易。相对于复杂的组织结构和更多的互联网资产,更容易出现薄弱环节;主要业务系统官网应用、CRM系统、业务系统往往都有很好的安全防护。估计不同安防厂商的安防设备也是千差万别。常规的攻击手段很容易被挡在门外。对于大型集团公司的子公司、下属单位、冷门业务系统、测试系统,难度往往会降低很多,还不如捏个柿子。但与此同时,也存在风险。有时候连接母公司的核心内网并不容易,可能会做一些无用功。因此,入口点的边界往往不局限于当前网络的边界,网络有多大只有业务人员自己知道。还有一些常见的入口点,主要是一些网络设备的风险,比如VPN、堡垒机、边界路由器防火墙等。几年前,国外某安全厂商的防火墙出现了漏洞问题。当然还是有一些漏洞,但是默认用户和默认密码是比较常见的,特别是结合工号、用户名、密码、TOP500常用名进行爆破的特定场景。Web系统的弱口令也是常见的入口之一。如果公网的web系统中有一些知名的RCE,估计已经被各种挖矿、黑链、勒索等盯上了,但尤其是一些非常规的弱密码风险类型非常高,比如P@ssw0rd,姓名+号码,结合具体公司场景和业务场景生成的弱密??码。获取敏感信息、注册用户信息,甚至通过登录用户上传的webshel??l获取系统shell都可能造成更大的风险。数据库资产数据库资产也是经常受到攻击者关注的方向之一。获得数据库的权限后,除了可以获取里面的数据信息外,还可以作为下一次攻击的跳板。用户名、账号等敏感信息往往存储在数据库表中,内网中的很多资产都可以关联到密码识别。实在是没什么想法,也是对部分用户实施针对性钓鱼和社工的突破口。目前还有很多公司将自己的数据库映射到公网,没有设置相应的安全策略,或者存在admin/123456root/root等弱口令问题,基本和发分题一样。攻击者获取高权限mssql用户打开xp_cmdshell后,突破会带来内网漫游扩展的结果;大多数用户不会更改数据端口是默认的1521、3306、1433等,攻击者拿出扫描仪随意扫描这些数据库端口,并更改为特定的5位数字端口。常规业务将无法访问它。即使scan扫描了所有的端口,也只能找到,增加了发现的难度,无形中缩短了时间。为了节省发现攻击者的时间,一石二鸟岂不妙哉。从本质上讲,数据库资产应该是重点关注的对象之一。除了加强密码测试和安全测试,适合业务的访问限制往往是最后一道防线。即使攻击者通过其他方式获取到认证密码,由于源IP的原因,仍然无法登录认证查看相应的数据。横向移动攻击者获得内网的跳板机后,下一步自然是更进一步。尽可能扩大结果。内网资产收藏往往会有大量的网络行为。常规的生存扫描、端口扫描、SYN扫描、banner扫描,甚至C段和B段扫描流量水平还是有点大。在跳板机上搜集信息,查看本地的ARP缓存,用ifconfig查看网关地址等都会容易很多,虽然信息有限,但在流量层面基本不会被安全设备发现。扫描当然是必须的,但是方法有很多,让运动更安静的方法也有很多,这里就不展开讨论了。有时候为了快速获得权限拿下更多的服务器,动静大点也无所谓。内网常见的exploit,如MS17-010、MS08-067、RDP爆破、SMB暴力破解、数据库爆破、S2exploits、weblogicRCE系列等都是不错的选择,因为甲方非常重视内网安全Insufficient许多内网服务器和主机的安全补丁没有应用。内部Web系统修复高危漏洞、弱密码、一号多登录等问题屡见不鲜。内网经常会出现一些特殊的问题。SVN、gitlab、zabbix、redis、企业wiki、OA系统等有风险的业务可能是重大突破。通过mimikatz获取到跳板机的用户名和密码后,登录多台主机钓几条漏网之鱼就不难了。说不定windows账号也可以登录linux服务器甚至多台服务器主机。如果能弄到一些堡垒主机和虚拟化管理平台主机就比较方便了。大多数内网渗透服务器都在内网服务器或DMZ区域。出口地址为公网提供NAT转换后的服务。为了进一步穿透内网,跨网段检测,需要合适的内网传统。使用自建的CS和MSF平台,让受控主机弹回连接shell,本质上还是有点动静,即使使用了某种隧道或者代码混淆或者特殊的协议传递方式,因为服务器外联本身也是一种比较变态的方法。行为很容易被内网流量层的安全设备发现,客户端很容易被主机级的杀毒识别。由于客户端包含CC通信的IP、域名、端口等信息,很容易暴露目标甚至被追踪。同时,还将识别具有一定流量特征的CS、MSF等知名工具。使用一些常见的隧道提供商或使用一些流量转发平台更为重要。比如目前常用的ngrok、frp、nps等工具,往往都是基于TCP协议的,具有一定的隐蔽性,同时Antivirus也不会将其定义为恶意软件。利用系统进程也是比较好的方法,比如powershell、SSH流量转发等常用方法。上次更新kali2的时候无意中发现kali2集成了nishang、Powersploit等框架。无文件攻击的方法确实比较隐蔽。如果上传lcx之类的工具,本地杀毒很可能会立即报警,并潜入病毒隔离区。在Linux场景下,SSH自带这个功能,当然是比较隐蔽的。它基本上是看不见的。还有一些常见的隧道通信,比如HTTP、DNS、ICMP,都是不错的选择。钓鱼邮件钓鱼,大鱼钓鱼,鲸鱼钓鱼。与其着眼于突破层层防御,直接对人下手,也是一种事半功倍的方法。现在主流的钓鱼已经升级为捕鲸,针对特定的对象构造特定的邮件主题、附件、文档正文,比如一些经理、职能HR等场景,这些人的邮件地址往往可以从招聘网站获取,从社交平台获取,结合具体场景和受害人心理状态构建特殊诱饵文件,软件捆绑,OfficeCVE-2017-11882CVE-2017-0199,WinrarCVE-2018-20250,office混淆宏,伪造PE文件、HTA、CHM、Link文件等方式,控制其电脑并植入远程控制木马,作为进入内网的跳板。攻防对抗攻防对抗场景与僵尸网络、木马、蠕虫等传统检测方式有较大区别,主要在于传统恶意程序更倾向于自动化攻击,其攻击特征相对固定。被利用的漏洞和EXP几乎一样,特征也比较明显,没有刻意隐藏自己的行为,特征比较明显。通常可以通过威胁情报和攻击行为特征很好地识别,风险等级较高。攻防对抗场景中的攻击手段,大多是利用了某些人的弱点。一些弱口令、异常账户登录、非法网络访问、敏感信息泄露等更多是一些行为的特征,所以在识别恶意行为时,有时更应该关注一些可疑的告警类型。基于单一告警的模式在现场实用性不强,往往防御人员在识别低危告警时,往往无法发现一些蛛丝马迹。这时候,就是考验防守人员在攻防场景中的造诣了。在这种场景下,构建一定的攻击场景,自动聚合整理出一些低可疑的线索,提高相关告警级别,引起关注,是一个很好的解决方案。之前很多人讨论过AI算法模型的问题。所谓AI,本质上就是把人类的经验赋能给代码。关键是得到训练数据后的训练和特征工程的相关细节。根据目前大部分场景下的关键问题,还停留在特征工程和训练数据选择层面,还没有达到拼写算法的特征优劣。由于对抗场景中的很多行为并不是真正意义上的无声无息,而且由于大多数攻击者对受害者网络中的业务逻辑不是很熟悉,所以往往会出现大规模的异常,埋下伏笔。发现隐患。受控的跳板机、泄露的VPN账号、内网的横向目标指向等,都会表现出与通常业务逻辑不同的地方。通过对业务逻辑的基线研究,一些敏感资产出现在真实的攻防场景中。异常行为很可能得到控制,偏离基线的程度越大,可疑性越高。综上所述,在我看来,多线索关联分析+基于行为的异常行为识别高级攻击场景的识别效果会比常规的单一事件告警和攻击行为匹配更有效。安全对抗表面是攻击技术和检测防御的技术演进,本质是人与人之间的投资和技术博弈。我注意到有些文章提到了冰蝎和蚂蚁剑基于流量的检测方案。仔细阅读后,感觉局限性还是比较大的。对于一些初级白帽来说,在不修改配置的前提下可能会被检测到。如果是为了做一些改动和特殊字符拼接不难,估计会被识别为正常流量。安全对抗之路任重而道远,花样越来越多;文章最后两句,当防守方的压力真大,还有辛酸的泪水。出现了哪些新漏洞、新病毒,你要分析、检测、识别思路和解决方案。最近感觉头发越来越少了,心里很慌。最好说另外一个技术大佬,有打算跳槽的,可以私信我。
