攻防比赛常见的打点路径有哪些

实战攻防演练中红队网络的部署情况各有特点,蓝队也会根据攻 击目标的不同而采取不同的攻击策略和手段。下面几个案例展示的就 是针对红队网络的不同薄弱点采取的不同的典型攻击策略与方法手 段。

正面突破:跨网段控制工控设备

某企业为一家国内的大型制造业企业,其内部生产网大量使用双 网卡技术实现网络隔离。在本次实战攻防演练中,攻击队的目标是获 取该企业工控设备的控制权限。

经过前期的情报搜集与分析,攻击队制定了首先突破办公内网, 再通过办公内网渗透进入工控网的战略部署。

(1)突破办公内网

攻击队首先选择将该企业的门户网站作为突破口,并利用一个 0day漏洞获取了该门户网站的应用及操作系统的管理员权限,从而获 取到该企业办公内网的接入权限。

在横向拓展过程中,攻击队又探测到该企业内网中的多个服务系 统和多台服务器。使用已经获得的门户网站管理员账号和密码进行撞 库攻击,成功登录并控制了该企业内网中的绝大多数服务器。这表 明,该企业内网中有大量系统服务器使用了相同的管理员账号和密 码。

至此,攻击队突破办公网的第一阶段目标顺利完成,并取得了巨 大的战果。接下来的目标就是找到工控网络的突破口。

(2)定位运维人员

经过对已攻破服务器系统的全面排查,攻击队发现,有多台服务 器中存储了用Excel明文记录的密码本,密码本中包含所有系统用户的 账号和密码。同时,服务器上还明文存储了大量内部敏感文件,包括 企业IT部门的组织架构等信息。结合组织架构及密码本信息,攻击队 成功定位到一位工控系统的运维人员,并对其联网行为展开长时间的 监控。

(3)突破工控网

经过一段时间的监控,攻击队发现该运维人员的办公终端上有嵌 套使用远程桌面的情况:首先通过远程桌面登录一台主机A,继而又用 主机A通过远程桌面登录另一网段的主机B。通过与密码本比对,发现 主机A和B都是该企业工控系统中的主机设备,但处于网络拓扑结构中 的不同层级。其中,主机B之下连有关键的工控设备。

进一步分析发现:主机A使用了双网卡,两个网卡分别对应不同网 段,但它们之间没有采取任何隔离措施;主机B也是一台双网卡主机, 其上部署了隔离卡软件用于双网卡切换。

最终,攻击队发现了主机B上隔离卡软件的一个重大设计缺陷,并 利用该缺陷成功绕过双网卡的隔离机制,成功获取到工控设备的操作 权限,可以随意停止、启动、复位相应的工控设备,某些操作可对设 备的生产过程造成直接且严重的伤害。

同时,攻击队的另一组人马继续摸排受控主机的用途和存储文 件。功夫不负有心人,攻击队最终又发现一台名为“生产主操作室” 的主机设备,其上存储有生产专用的文件,其中有一些涉密文件,这 些涉密文件一旦被窃取,后果难以想象。

浑水摸鱼:社工钓鱼,突破系统

某企业为一家国内的大型国有企业,该企业部署了比较完善的网 络安全防护设备。在本次实战攻防演练中,攻击队的目标是获取该企 业财务系统的控制权限。

经过前期的情报搜集与分析,目标企业外网的开放系统非常少, 也没有可利用的漏洞,很难直接突破目标外网,于是攻击队将突破重 点放在了钓鱼上。

(1)破解员工邮箱密码

攻击队通过网上搜索以及搜索一些开源社工库,搜集到一批目标 企业的工作人员邮箱列表。掌握这批邮箱列表后,攻击队便根据已泄 露的密码规则、123456和888888等常见弱口令、用户名与密码相同、 用户名123这种弱口令生成了一份弱口令字典。利用hydra等工具进行 爆破,攻击队成功破解一名员工的邮箱密码。

(2)改造和伪装钓鱼邮件

攻击队对该名员工的来往邮件进行分析后发现,他是IT技术部员 工。查看该邮箱发件箱,看到他发过一封邮件,邮件标题和附件如 下。

标题:关于员工关掉445端口以及3389端口的操作过程 附件:操作流程.zip

攻击队决定浑水摸鱼,在此邮件的基础上进行改造和伪装,构造 钓鱼邮件,邮件标题和附件如下。其中,zip文件为带有木马的压缩文 件。

标题:关于员工关掉445端口以及3389端口的操作补充 附件:操作流程补充.zip

(3)根据身份精准钓鱼

为提高攻击成功率,通过对目标企业员工的分析,攻击队决定向 财务部门以及几个与财务相关的部门群发邮件。

攻击队发送了一批邮件,有好几个企业员工都被骗,打开了附 件。控制了更多的主机,继而便控制了更多的邮箱。在钓鱼邮件的制 作过程中,攻击队灵活根据目标的角色和特点来构造。譬如在查看邮 件过程中,发现如下邮件:

尊敬的各位领导和同事,发现钓鱼邮件事件,内部定义为19626事 件,请大家注意后缀为.exe、.bat等的邮件附件。

攻击队同样采用浑水摸鱼的策略,利用以上邮件为母本,以假乱 真地构造以下邮件继续钓鱼:

尊敬的各位领导和同事,近期发现大量钓鱼邮件,以下为检测程 序……

附件:检测程序.zip

通过不断地获取更多的邮箱权限、系统权限,根据目标角色针对 性地设计钓鱼邮件,攻击队最终成功拿下目标。

  1. 偷梁换柱:冒充客户,突破边界

某大型设备制造企业具有比较成熟的互联网服务经验。在本次实 战攻防演练中,攻击队的目标是获取该企业的一个核心业务管控平台 的控制权限。

攻击队在前期的情报搜集工作中发现,该企业内部的网络防御体 系比较健全,正面突破比较困难。经过头脑风暴,大家达成共识—— 通过社工方法迂回入侵。

(1)寻找社工突破口

攻击队首先想到的社工方法也是最常见的邮件钓鱼。但考虑到该 企业相对完善的网络防御体系,猜测其内网中很可能已经部署了邮件 检测类的防御手段,简单地使用邮件钓鱼,很有可能会被发现。

进一步的情报搜集发现,该企业使用了微信客服平台,而且微信 客服平台支持实时聊天和发送文件。考虑到客服人员一般没有很强的 技术功底,安全意识相对薄弱,攻击队最终商定:将社工对象确定为 微信客服人员,并以投诉为话题尝试对客服人员进行钓鱼(见图5- 1)。

攻防比赛常见的打点路径有哪些_第1张图片

图5-1 冒充客户

(2)冒充客户反馈问题

于是,一名攻击队队员开始冒充客户,在该企业的微信客服平台 上留言投诉,并要求客服人员接收名为“证据视频录像”的压缩文件 包。该压缩包实际上是攻击队精心伪造的带有木马程序的文件包。让 攻击队意想不到的是,该客服人员以安全为由,果断拒绝接收来源不 明的文件。显然,攻击队低估了该企业客服人员的安全素养。

(3)社工升级攻破心理防线

不过,攻击队并没有放弃,而是进一步采用多人协作的方式,对 当班客服人员进行了轮番轰炸,要求客服人员报上工号,并威胁将要 对其客服质量进行投诉。经过1个多小时的拉锯战,客服人员的心理防 线被攻破,最终接收了带毒压缩包,并打开了木马文件。该客服人员 的终端设备最终被控制。

以受控终端为据点,攻击队成功打入该企业的内网,后又利用一 个未能及时修复的系统漏洞获取到关键设备的控制权限,再结合从内 网搜集到的信息,最终成功获取到管控平台的权限。

声东击西:混淆流量,躲避侦察

某关键行业大型国有企业,配备了较强的网络安全团队进行安全 防护。在本次实战攻防演练中,攻击队的目标是获取该企业工控系统 等核心平台的控制权限。

在有红队(防守方)参与的实战攻防工作,尤其是有红队排名或 通报机制的工作中,红队与蓝队通常会发生对抗。IP封堵与绕过、WAF 拦截与绕过、Webshell查杀与免杀,红蓝之间通常会展开没有硝烟的 战争。

(1)激烈攻防,难以立足

蓝队创建的跳板几个小时内就被阻断了,上传的Webshell过不了 几个小时就被查杀了。蓝队打到哪儿,红队就根据流量威胁审计跟到 哪儿,不厌其烦,蓝队始终在目标的外围打转。

(2)分析系统,制订方案

没有一个可以维持的据点,就没办法进一步开展内网突破。蓝队 开展了一次头脑风暴,归纳和分析流量威胁审计的天然弱点,以及红 队有可能出现的人员数量及技术能力不足等情况,并制定了一套声东 击西的攻击方案。

具体方法是:找到多个具有直接获取权限漏洞的系统,正面用大 流量进攻某个系统,吸引火力,侧面尽量减少流量直接获取权限并快 速突破内网。

蓝队通过信息搜集找到目标企业的某个外网Web应用,并通过代码 审计开展漏洞挖掘工作,发现多个严重的漏洞;另外还找到该企业的 一个营销网站,通过开展黑盒测试,发现该网站存在文件上传漏洞。

(3)兵分两路,声东击西

蓝队兵分两路:除队长外的所有成员主攻营销网站,准备了许多 分属不同IP网段的跳板,不在乎是否被发现,也不在乎是否封堵,甚 至连漏洞扫描器都用上了,力求对流量威胁分析系统开启一场规模浩

大的“分布式拒绝服务”,让红队的防守人员忙于分析和应对;而队 长则悄无声息地用不同的IP和浏览器指纹特征对Web应用开展渗透,力 求用最少的流量拿下服务器,让威胁数据淹没在营销网站的攻击洪水 当中(见图5-2)。

攻防比赛常见的打点路径有哪些_第2张图片

图5-2 流量数据混淆WAF穿透的主要手段

通过这样的攻击方案,蓝队同时拿下营销网站和Web应用。在营销 网站上的动作更多,包括关闭杀软、提权、安置后门程序、批量进行 内网扫描等众多敏感操作;同时在Web应用上利用营销网站上获得的内 网信息,直接建立据点,开展内网渗透操作。

(4)隐秘渗透,拿下权限

很快红队就将营销网站下线了,并开始根据流量开展分析、溯源 和加固工作;而此时蓝队已经在Web应用上搭建了FRP Socks代理,通 过内网横向渗透拿下多台服务器,使用了多种协议木马,并备份了多 个通道稳固权限,以防被红队发现或直接踢出局。接下来的几天服务 器权限再未丢失,蓝队继续后渗透,拿下域管理员、域控制器,最终 拿下目标权限——工控系统等核心平台的控制权限。

在渗透工作收尾的后期,蓝队通过目标企业安全信息中心的员工 邮件看到,红队此时依旧在对营销网站产生的数据报警进行分析和上报防守战果等工作,然而该企业的目标系统早已被蓝队拿下了。

迂回曲折:供应链定点攻击

某超大型企业在实战攻防演练中,攻击队的目标是获取该企业内 部系统的安全管控权限。

攻击队通过前期的情报搜集和摸排后发现,该企业的办公网络及 核心工业控制系统有非常严密的安全防护,对互联网暴露的业务系统 较少,而且业务系统做了安全加固及多层防护,同时拥有较强的日常 网络安全运维保障能力。想要正面突破,非常困难。

前期情报分析还显示,该企业虽然规模大、人员多,但并不具备 独立的IT系统研发和运维能力,其核心IT系统的建设和运维实际上大 多来自外部采购或外包服务。于是,根据这一特点,攻击队制定了从 供应链入手的整体攻击策略。

(1)寻找目标供应商

攻击队首先通过检索“喜报”“中标”“签约”“合作”“验 收”等关键词,在全网范围内,对该企业的供应商及商业合作伙伴进 行地毯式排查,最终选定将该企业的专用即时通信系统开发商A公司作 为主要攻击目标。

情报显示,A公司为该企业开发的专用即时通信系统刚刚完成。攻 击队推测该系统目前尚处于测试阶段,A公司应该有交付和运维人员长 期驻场为该企业提供运维全服务。要是能拿下驻场人员的终端设备, 就可以进入该公司的内网系统。

(2)盗取管理员账号

分析发现,A公司开发的即时通信系统其公司内部也在使用,而该 系统的网络服务管理后台存在一个已知的系统安全漏洞。攻击队利用 该漏洞获取了服务器的控制权,并通过访问服务器的数据库系统,获 取了后台管理员的账号和密码。

(3)定位驻场人员

攻击队使用管理员的账号和密码登录服务器后,发现该系统的聊 天记录在服务器上是准明文(低强度加密或变换)存储的,而且管理 员可以不受限制地翻阅其公司内部的历史聊天记录。

攻击队对聊天记录进行关键字检索后发现:A公司有3名员工的聊 天记录中多次出现目标企业名、OA、运维等字眼,并且这3名员工的登 录IP经常落在目标企业的专属网段上。攻击队由此断定,这3名员工就 是A公司在目标企业的驻场人员。

(4)定向恶意升级包

攻击队最初的设想是,通过被控的即时通信软件服务器,向3名驻 场人员定向发送恶意升级包。但这种攻击方法需要修改服务器系统配 置,稍有不慎就可能扩大攻击面,给演练工作造成不必要的损失,同 时也有可能暴露自身的攻击活动。

为实现对3名驻场人员进行更加隐蔽的定向攻击,攻击队对A公司 的即时通信系统进行了更加深入的安全分析,发现其客户端软件对服 务器的身份安全验证、对升级包的合法性校验机制都存在设计缺陷。

于是,攻击队利用上述缺陷,通过中间人攻击对服务器推送给3名 驻场人员的客户端软件升级包进行了劫持和篡改。最终,3名驻场人员 都在没有任何感知的情况下,在各自的PC上安装了攻击队伪装设计的 恶意升级包。

(5)横向拓展 攻击队以驻场人员的运维机作为跳板机进入内网后,开始横向拓

展。

攻击队首先找到了该企业的一台域控服务器,并利用一个最新曝 出的域控系统安全漏洞,获取了该主域的域账号和密码的哈希信息。 但防守队很快发现了此次攻击,并对该域控服务器进行了隔离。

不过,攻击队并没有放弃,又在内网中找到了一套终端安全管理 系统。攻击队经过现场挖掘,找到了该系统的一个新的0day漏洞,并 利用该漏洞获取了管理员权限。在登录管理系统后台后,攻击方可下 发和执行任意命令,能够控制该安全管理系统所辖范围内的所有终端 设备。

李代桃僵:旁路攻击,搞定目标

某企业为大型商贸企业,在全国多个城市拥有子公司。在本次实 战攻防演练中,攻击队的目标是获取该企业内部核心平台的控制权 限。

(1)外网关闭,无从下手

在攻击过程中,蓝队碰到过很多怪异的事情,比如:有的红队将 网站首页替换成一张截图;有的将数据传输接口全部关闭,采用Excel 表格的方式进行数据导入;有的对内网目标系统的IP做了限定,仅允 许某个管理员IP访问。

本次蓝队就遇到了一件类似的事情:目标企业把外网系统能关的 都关了,甚至对邮件系统都制订了策略,基本上没有办法实现打点和 进入内网。

(2)改变策略,攻击分部

为此,蓝队经过充分的信息搜集后,决定采取“李代桃僵”的策 略:既然母公司无法进攻,那么就进攻二级子公司。然而蓝队在工作 过程中发现,子公司也做好了防护,基本上无懈可击。一不做,二不 休,二级子公司无法进攻,那么就攻击二级子公司下属的三级子公 司。图5-3所示为公司内部的信任通联常被攻击者利用的示例。

(3)逐个击破,层层渗透

于是,蓝队从三级子公司下手,利用SQL注入+命令执行漏洞成功 进入三级子公司A的DMZ区。然后,继续渗透、内网横向拓展,控制了 三级子公司的域控、DMZ服务器。在三级子公司A稳固权限后,尝试搜 集最终目标的内网信息、三级子公司信息,未发现目标系统信息,但 发现三级子公司A的内网可以访问二级子公司B的网络。

攻防比赛常见的打点路径有哪些_第3张图片

图5-3 公司内部的信任通联常被攻击者利用

蓝队决定利用三级子公司A的内网对子公司B展开攻击。利用 Tomcat弱口令+上传漏洞进入二级子公司B的内网,利用该服务器导出 的密码在内网中横向渗透,继而拿下二级子公司B的多台域服务器,并 在杀毒服务器中获取到域管理员的账号和密码,最终获取到二级子公 司B的域控制器权限。

(4)找准目标,获取权限

在二级子公司B内进行信息搜集发现:目标系统x托管在二级子公 司C,由二级子公司C单独负责运营和维护;二级子公司B内有7名员工 与目标系统x存在业务往来;7名员工大部分时间在二级子公司C办公, 但其办公电脑属于二级子公司B的资产,被加入二级子公司B的域,且 经常被带回二级子公司B。

根据搜集到的情报信息,蓝队以二级子公司B内的7名员工作为突 破口,在其接入二级子公司B内网后,利用域权限在其电脑中种植木马 后门。待其接入二级子公司C内网后,继续通过员工电脑实施内网渗 透,并获取二级子公司C的域控制权限。根据日志分析,锁定了目标系 统x的管理员电脑,继而获取目标系统x的管理员登录账号,最终获取 目标系统x的控制权限。

顺手牵羊:巧妙种马,实施控制

某企业为大型商贸企业,在全国多个城市拥有子公司。在本次实 战攻防演练中,攻击队的目标是获取该企业内部核心平台的控制权 限。

蓝队的工作永远不会像渗透测试那样,根据一个工作流程或者漏 洞测试手册,按照规范去做就能完成。蓝队的工作永远是具有随机 性、挑战性、对抗性的。在工作过程中,总会有各种出其不意的情况 出现,只有随机应变,充分利用出现的各种机遇,才能最终突破目 标、完成任务。蓝队这次的目标就是如此。

(1)攻击被发现,行动受阻

蓝队通过挖掘目标企业OA系统的0day漏洞,获得了Webshell权 限。然而脚跟还没站稳,红队的管理员便发现了OA系统存在异常,对 OA系统应用及数据库进行了服务器迁移,同时修复了漏洞,图5-4所示 为常见的示例。

攻防比赛常见的打点路径有哪些_第4张图片

图5-4 对外暴露的协同办公等业务系统是主要的被攻击对象 (2)利用存留后门脚本,继续发起攻击

本来是件令人沮丧的事情,然而蓝队在测试后发现:红队虽然对 OA系统进行了迁移并修复了漏洞,但是居然没有删除全部的Webshell 后门脚本;部分后门脚本仍然混杂在OA程序中,并被重新部署在新的 服务器上。攻击队通过连接之前植入的Webshell,顺利提权,拿到了 服务器权限。

拿到服务器权限后,蓝队发现红队的管理员居然连接到OA服务器 进行管理操作,并将终端PC主机的磁盘全部挂载到OA服务器上。蓝队 发现这是一个顺手牵羊的好机会。

(3)耐心等待时机,获取核心权限

蓝队小心翼翼地对管理员身份及远程终端磁盘文件进行确认,并 向该管理员的终端磁盘写入了自启动后门程序。经过一天的等待,红 队管理员果然重启了终端主机,后门程序上线。在获取到管理员的终 端权限后,蓝队很快发现,该管理员为单位运维人员,主要负责内部 网络部署、服务器运维管理等工作。该管理员使用MyBase工具对重要 服务器信息进行加密存储。攻击队通过键盘记录器,获取了MyBase主 密钥,继而对MyBase数据文件进行了解密,最终获取了包括VPN、堡垒 机、虚拟化管理平台等关键系统的账号及口令。

最终,蓝队利用获取到的账号和口令登录虚拟化平台,定位到演 练目标系统的虚拟主机,并顺利获取了管理员权限。至此,渗透工作 完成!

暗度陈仓:迂回渗透,取得突破

在有明确重点目标的实战攻防演练中,红队通常都会严防死守、 严阵以待,时刻盯着从外网进来的所有流量,不管你攻还是不攻,他 们都始终坚守在那里。一旦发现有可疑IP,他们会立即成段地封堵, 一点机会都不留。此时,从正面硬碰硬显然不明智,蓝队一般会采取 暗度陈仓的方式,绕过红队的防守线,从没有防守的地方开展迂回攻 击。蓝队这回遇到的就是这样一块硬骨头。

(1)防守固若金汤,放弃正面突破

蓝队在确定攻击目标后,对目标企业的域名、IP段、端口、业务 等信息进行搜集,并对可能存在漏洞的目标进行尝试性攻击。结果发 现,大多数目标要么已关闭,要么使用了高强度的防护设备。在没有 0day漏洞且时间有限的情况下,蓝队决定放弃正面突破,采取暗度陈 仓策略。

(2)调查公司业务,从薄弱环节入手

通过相关查询网站,蓝队了解到整个公司的子公司及附属业务的 分布情况,目标业务覆盖中国香港、中国台湾、韩国、法国等国家/地 区,其中中国香港的业务相对较多,极大可能有互相传送数据及办公 协同的内网,故决定将其业务作为切入点。

经过对中国香港业务进行一系列的踩点和刺探,蓝队在目标企业 的香港分部业务网站找到一个SA权限的注入点,成功登录后台并利用 任意文件上传完成getshell。通过数据库SA权限获取数据库服务器的 system权限,发现数据库服务器在域内且域管是登录状态。由于服务 器装有赛门铁克杀毒软件,因此采取添加证书的方式,成功绕过杀毒 软件并抓到域管密码,同时导出了域Hash及域结构。

(3)外围渗透,获取权限

由于在导出的域结构中发现了中国内地域的机器,蓝队开始尝试 从中国香港域向目标所在的中国内地域开展横向渗透。在中国内地域 的IP段内找到一台服务器并完成getshell,提权后抓取到此服务器密

码。利用抓取到的密码尝试登录其他服务器,成功登录一台杀毒服务 器,并在该杀毒服务器上成功抓到中国内地域的域管密码。使用域管 账号成功控制堡垒机、运维管理、VPN等多个重要系统。

通过大量的信息搜集,蓝队最终获得了渗透目标的IP地址,利用 前期搜集到的账号和密码成功登录目标系统,并利用任意文件上传漏 洞获取服务器权限。至此,整个渗透工作结束。

短兵相接:近源渗透,直入内网

某企业为大型金融企业,核心业务关系国计民生。因为行业特殊 性,其互联网侧的接口非常少,并且安全防护非常严密,没有可以利 用的突破条件。在外网无法直接突破的情况下,蓝队采用近源攻击的 方式,冒充目标企业内部人员进入其办公内网,利用其公共区内的安 全漏洞,成功接入其核心内网。

(1)前期侦察发现无懈可击,放弃常规网络突破手段

在开展网络攻击前,蓝队针对该目标进行了细致的信息搜集和侦 察,对公司总部、分支机构等名下的域名、IP以及开放的互联网业务 应用进行了仔细梳理,未发现可利用的地方。遂放弃了采用常规网络 突破手段,决定利用目标可能存在的人员管理漏洞开展攻击。

(2)利用办公区人员进出管理漏洞,冒充内部工作人员进入

通过对目标某子机构办公现场侦察,蓝队发现该子机构对进入目 标办公区的人员管理比较松懈:只要戴着单位工牌,就可直接进入办 公区,门口保安并不做过多的查验和辨识。蓝队遂在网上购买与该目 标同一样式的工牌,制作假身份信息,冒充内部工作人员,在办公时 间堂而皇之地进入目标办公区。

(3)利用无人值守主机,顺利接入内网

进入目标子机构办公大楼后,蓝队发现各楼层楼梯可随意穿行, 畅通无阻,办公区有无人值守工位计算机且有网线连接。蓝队来到无 人值守工位并通过U盘工具进行登录密码绕过,打开多台办公区电脑, 发现机器均为生产机器,网段在生产区内,可进行内网横向拓展。

(4)再接再厉,渗透控制核心业务系统

蓝队通过无人值守计算机接入生产网,对内网进行扫描探测,发 现了目标业务生产内网网关管理系统;通过默认口令控制内网网关管 理系统,并进一步控制生产区堡垒机,可控制堡垒机下所有核心业务 系统,还可以通过目标子机构和总部业务网络深入接触总部的业务相 关系统。因涉及数据安全,故终止操作。

参考资料

红蓝攻防构建实战化网络安全防御体系
青藤云安全 2022攻防演练蓝队防守指南

你可能感兴趣的:(网络,运维,服务器)