如果某些防守方成员专业程度不高,安全意识不足,还有可能在蓝队的“伏击”之下暴露更多敏感信息。例如,在针对Windows服务器应急运维的过程中,有防守方队员会直接将自己的磁盘通过远程桌面共享挂载到被告警的服务器上。这样反而可以给秘密潜伏的蓝队进一步攻击防守方成员的机会。
第五章 蓝队三十六计——经典攻击实例
古人带兵打仗讲三十六计。而蓝队实战亦是一个攻防对抗的过程,同样是人与人之间的较量,需要出谋划策、斗智斗勇。在这个过程中,有着“勾心斗角”、“尔虞我诈”,也有着勇往直前、正面硬刚。为此,我们精选了几个小案例,以三十六计为题向大家更加具体的展现蓝队的常见攻击手法。
一、 正面突破——跨网段控制工控设备
某企业为国内某大型制造业企业,内部生产网大量使用双网卡技术实现网络隔离。在本次实战攻防演习活动中,攻击队的目标是:获取该企业工控设备控制权限。
经过前期的情报收集与分析,攻击队制定了首先突破办公网,再通过办公网渗透进入工控网的战略部署。
1) 突破办公网
攻击队首先选择该企业的门户网站作为突破口,并利用一个0Day漏洞获取了该门户网站应用与操作系统的管理员权限,从而获取到该企业办公内网的接入权限。
在横向移动过程中,攻击队又探测到该企业内网中的多个服务系统和多台服务器。使用已经获得门户网站管理员账号和密码进行撞库攻击,成功登录并控制了该企业内网中的绝大多数服务器。这表明,该企业内网中的大量系统服务器都使用了相同的管理账号和密码。
至此,攻击队突破办公网的第一阶段目标顺利完成,并取得了巨大的战果。接下来的目标就是找到工控网络的突破口。
2) 定位运维人员
对已经被攻破的服务器系统进行全面排查,攻击队发现,有多台服务器中存储了用Excel明文记录的密码本,密码本中包含所有系统用户的账户和密码。同时,服务器上还明文存储了大量机构内部敏感文件,包括企业IT部门的组织架构等信息。结合组织架构及密码本信息,攻击队成功定位到了一位工控系统的运维人员,并对其联网行为开展了长时间的监控。
3) 突破工控网
经过一段时间的监控,攻击队发现该运维人员自己的办公终端上有嵌套使用远程桌面的情况,即:首先通过远程桌面登录一台主机A;继而,操作人又用主机A继续通过远程桌面,登录另一网段的主机B。通过于密码本进行对比时,发现主机A和B都是该企业工控系统中的主机设备,但各自处于网络拓扑结构中不同的层次。其中,B主机之下连有关键的工控设备。
进一步分析发现,主机A使用了双网卡,两个网卡分别对应不同网段,但是两个网卡之间没有采取任何隔离措施。同时,主机B也是一台双网卡主机,其上部署了隔离卡软件进行双网卡切换。
最终,攻击队发现了B主机上隔离卡软件的一个重大设计缺陷,并利用该缺陷成功绕过双网卡的隔离机制,成功拿到了工控设备的操作权限,可以随意停止、启动、复位相应的工控设备,某些操作可对设备的生产过程造成直接严重的伤害。
同时,攻击队的另一组人马继续摸排受控主机的用途和存储文件。功夫不负有心人,攻击队最终又发现一台“生产住操作室”的主机设备,其上存储有生产专用的文件,内容包括一些涉密文件,一旦被窃取,后果难以想象。
二、 百折不饶——社工钓鱼突破边界
某企业为某大型特种设备制造商,同时具有比较成熟的互联网服务经验。在本次实战攻防演习活动中,攻击队的目标是:获取该企业一个核心业务管控平台的控制权限。
攻击队在前期的情报收集工作中发现,该企业内部的网络防御体系比较健全,正面突破比较困难。经过头脑风暴,大家达成共识——要通过社工方法进行迂回入侵。
1) 寻找社工突破口
攻击队首先想到的社工方法也是最常见的邮件钓鱼。但考虑到该企业相对完善的网络防御体系,猜测其内网中很可能已经部署了邮件检测类的防御手段,简单的使用邮件钓鱼,很可能会被发现。
进一步的情报搜集发现:该企业使用了微信客服平台,而且微信客服平台可以进行实时聊天并发送文件。考虑到客服人员一般没有很强的技术功底,安全意识往往相对薄弱,攻击队最终商定:将社工对象确定为微信客服人员,并以投诉为话题尝试对客服进行钓鱼。
2) 冒充客服反馈问题