在蓝队的实战过程中,蓝队专家们逐渐摸出了一些套路、总结了一些经验:有后台或登录入口的,会尽量尝试通过弱口令等方式进入系统;找不到系统漏洞时,会尝试社工钓鱼,从人开展突破;有安全防护设备的,会尽量少用或不用扫描器,使用EXP力求一击即中;针对防守严密的系统,会尝试从子公司或供应链来开展工作;建立据点过程中,会用多种手段多点潜伏,防患于未然。
下面介绍九种蓝队最常用的攻击战术。
一、 利用弱口令获得权限
弱密码、默认密码、通用密码和已泄露密码通常是蓝队专家们关注的重点。实际工作中,通过弱口令获得权限的情况占据90%以上。
很多企业员工用类似zhangsan、zhangsan001、zhangsan123、zhangsan888这种账号拼音或其简单变形,或者123456、888888、生日、身份证后6位、手机号后6位等做密码。导致通过信息收集后,生成简单的密码字典进行枚举即可攻陷邮箱、OA等账号。
还有很多员工喜欢在多个不同网站上设置同一套密码,其密码早已经被泄露并录入到了黑产交易的社工库中;或者针对未启用SSO验证的内网业务系统,均习惯使用同一套账户密码。这导致从某一途径获取了其账户密码后,通过凭证复用的方式可以轻而易举地登录到此员工所使用的其他业务系统中,为打开新的攻击面提供了便捷。
很多通用系统在安装后会设置默认管理密码,然而有些管理员从来没有修改过密码,如admin/admin、test/123456、admin/admin888等密码广泛存在于内外网系统后台,一旦进入后台系统,便有很大可能性获得服务器控制权限;同样,有很多管理员为了管理方便,用同一套密码管理不同服务器。当一台服务器被攻陷并窃取到密码后,进而可以扩展至多台服务器甚至造成域控制器沦陷的风险。
二、 利用互联网边界渗透内网
大部分企业都会有开放于互联网边界的设备或系统,如:VPN系统、虚拟化桌面系统、邮件服务系统、官方网站等。正是由于这些设备或系统可以从互联网一侧直接访问,因此也往往会成为蓝队首先尝试的,突破边界的切入点。
此类设备或系统通常都会访问内网的重要业务,为了避免影响到员工使用,很多企业都没有在其传输通道上增加更多的防护手段;再加上此类系统多会集成统一登录,一旦获得了某个员工的账号密码,就可以通过这些系统突破边界直接进入内网中来。
譬如,开放在内网边界的邮件服务如果缺乏审计,也未采用多因子认证;员工平时又经常通过邮件传送大量内网的敏感信息。如服务器账户密码、重点人员通讯录等。那么,当掌握相关员工的邮箱账号密码后,在邮件中所获得的信息,会被蓝队下一步工作提供很多方便。
三、 利用通用产品组件漏洞
信息化的应用提高了工作效率,但其存在的安全漏洞也是蓝队人员喜欢的。历年实战攻防演习中,经常被利用的通用产品漏洞包括:邮件系统漏洞、OA系统漏洞、中间件软件漏洞、数据库漏洞等。这些漏洞被利用后,可以使攻击方快速获取大量账户权限,进而控制目标系统。而作为防守方,漏洞往往很难被发现,相关活动常常被当作正常业务访问而被忽略。
四、 利用安全产品0Day漏洞
安全产品自身也无法避免0Day攻击!安全产品也是一行行代码构成,也是包含了操作系统、数据库、各类组件等组合而成的产品。历年攻防实战演习中,被发现和利用的各类安全产品的0Day漏洞,主要涉及安全网关、身份与访问管理、安全管理、终端安全等类型安全产品。这些安全产品的漏洞一旦被利用,可以使攻击者突破网络边界,获取控制权限进入网络;获取用户账户信息,并快速拿下相关设备和网络的控制权限。
安全产品的0Day漏洞常常是蓝队最好的攻击利器。
五、 利用人心弱点社工钓鱼
利用人的安全意识不足或安全能力不足,实施社会工程学攻击,通过钓鱼邮件或社交平台进行诱骗,是蓝队专家经常使用的社工手段。在很多情况下,“搞人”要比“搞系统”容易得多。
钓鱼邮件是最经常被使用的攻击手段之一。蓝队专家常常会首先通过社工钓鱼或漏洞利用等手段盗取某些安全意识不足的员工邮箱账号;再通过盗取的邮箱,向该单位的其他员工或系统管理员发送钓鱼邮件,骗取账号密码或投放木马程序。由于钓鱼邮件来自内部邮箱,“可信度”极高,所以,即便是安全意识较强的IT人员或管理员,也很容易被诱骗点开邮件中的钓鱼链接或木马附件,进而导致关键终端被控,甚至整个网络沦陷。