漏洞一直是第一攻击力。前期的漏洞挖掘对于打开突破口显得非常重要,在实战中,漏洞挖掘工作一般会聚焦于互联网边界应用、网络设备、办公应用、运维系统、移动办公、集权管控等方面。此外,只是找到漏洞还不够,好的漏洞利用方式也是十分重要的。想要在不通环境下达到稳定、深度的漏洞利用,这对漏洞挖掘人员来说是一个不小的挑战。
2) 工具储备
工具的目的是为了提升工作效率,好的工具往往能事半功倍,在实战中,蓝队通常需要准备信息收集、钓鱼、远控、WebShell管理、隧道、扫描器、漏洞利用等多种工具。
3) 战法策略
团队作战考虑的是配合,因此,攻击队成员的分工角色就显得尤为重要,小的战役靠个人,大的战役一定是靠机制、流程以及团队合作。好的战法策略,对于一场大的战役来讲至关重要。
4) 以赛代练
日常的任务中,需要挑选出一些具有代表性的任务来对蓝队进行有针对性的训练,有利于蓝队队员提高自身的技能。参加各类安全大赛将非常有助于蓝队队员的技术能力提升。
二、 第二阶段:情报收集
当蓝队专家接到目标任务后,并不会像渗透测试那样在简单收集数据后直接去尝试各种常见漏洞,而是先去做情报侦察和信息收集工作。收集的内容包括目标系统的组织架构、IT资产、敏感信息泄露、供应商信息等各个方面。
组织架构包括单位部门划分、人员信息、工作职能、下属单位等;IT资产包括域名、IP地址、C段、开放端口、运行服务、Web中间件、Web应用、移动应用、网络架构等;敏感信息泄露包括代码泄露、文档信息泄露、邮箱信息泄露、历史漏洞泄露信息等方面;供应商信息包括相关合同、系统、软件、硬件、代码、服务、人员等相关信息。
掌握了目标企业相关人员信息和组织架构,可以快速定位关键人物以便实施鱼叉攻击,或确定内网横纵向渗透路径;而收集了IT资产信息,可以为漏洞发现和利用提供数据支撑;掌握企业与供应商合作相关信息,可为有针对性开展供应链攻击提供素材。而究竟是要社工钓鱼,还是直接利用漏洞攻击,抑或是从供应链下手,一般取决于安全防护的薄弱环节究竟在哪里,以及蓝队对攻击路径的选择。
三、 第三阶段:建立据点
在找到薄弱环节后,蓝队专家会尝试利用漏洞或社工等方法去获取外网系统控制权限,一般称之为“打点”或撕口子。在这个过程中,蓝队专家会尝试绕过WAF、IPS、杀毒软件等防护设备或软件,用最少的流量、最小的动作去实现漏洞利用。
通过撕开的口子,寻找和内网联通的通道,再进一步进行深入渗透,这个由外到内的过程一般称之为纵向渗透。如果没有找到内外联通的DMZ区(Demilitarized Zone,隔离区),蓝队专家会继续撕口子,直到找到接入内网的点为止。
当蓝队专家找到合适的口子后,便可以把这个点作为从外网进入内网的根据地。通过frp、ewsocks、reGeorg等工具在这个点上建立隧道,形成从外网到内网的跳板,将它作为实施内网渗透的坚实据点。
若权限不足以建立跳板,蓝队专家通常会利用系统、程序或服务漏洞进行提权操作,以获得更高权限;若据点是非稳定的PC机,则会进行持久化操作,保证PC机重启后,据点依然可以在线。
四、 第四阶段:横向移动
进入内网后,蓝队专家一般会在本机以及内部网络开展进一步信息收集和情报刺探工作。包括收集当前计算机的网络连接、进程列表、命令执行历史记录、数据库信息、当前用户信息、管理员登录信息、总结密码规律、补丁更新频率等信息;同时对内网的其他计算机或服务器的IP、主机名、开放端口、开放服务、开放应用等情况进行情报刺探。再利用内网计算机、服务器不及时修复漏洞、不做安全防护、同口令等弱点来进行横向渗透扩大战果。
对于含有域的内网,蓝队专家会在扩大战果的同时去寻找域管理员登录的蛛丝马迹。一旦发现某台服务器有域管理员登录,就可以利用Mimikatz等工具去尝试获得登录账号密码明文,或者用Hashdump工具去导出NTLM哈希,继而实现对域控服务器的渗透控制。
在内网漫游过程中,蓝队专家会重点关注邮件服务器权限、OA系统权限、版本控制服务器权限、集中运维管理平台权限、统一认证系统权限、域控权限等位置,尝试突破核心系统权限、控制核心业务、获取核心数据,最终完成目标突破工作。
第四章 蓝队也套路——常用的攻击战术