于是,一名攻击队队员开始冒充客户,在该企业的微信客服平台上进行留言投诉,并要求客服人员接收名为“证据视频录像”的压缩文件包。该压缩包实际上是攻击队精心伪装的,带有木马程序的文件包。让攻击队意想不到的是,该客户人员以安全为由,果断地拒绝接收不明来源的文件。显然,攻击队可能低估了该企业客服人员的安全意识素养。
3) 社工升级攻破心理防线
不过,攻击队并没有放弃,而是进一步采用多人协作的方式,对当班客服人员进行了轮番轰炸,要求客服人员报上工号,并威胁将要对其客服质量进行投诉。经过1个小时的拉锯战,客服人员的心理防线最终被攻破,最终接受了带毒压缩包,并打开了木马文件。该客服人员的终端设备最终被控制。
以受控终端为据点,攻击队成功打入该企业的内网,后又利用一个未能及时修复的系统漏洞获取到关键设备控制权限,再结合内网的信息收集,最终成功获取到管控平台的权限。
三、 迂回曲折——供应链定点攻击
某超大型企业为一个国家级关键信息基础设施运营管理方,一旦发生安全事故,将直接危害国家安全及人民生命财产安全。在本次实战攻防演习活动中,攻击队的目标是:获取该企业内部系统的安全管控权限。
根据攻击队前期的情报收集摸排,该企业的办公网络及核心工业控制系统得到了非常严密的安全防护,对互联网暴露的业务系统较少,而且业务系统做了安全加固及多层防护,同时也拥有较强的日常网络安全运维保障能力。想要正面突破,非常困难。
前期情报分析还显示,该企业虽然规模大、人员多,但并不具备独立的IT系统研发和运维能力,其核心IT系统的建设和运维,实际上大多来自外部采购或外包服务。于是,攻击队根据这一特点,制定了从供应链入手的整体攻击策略。
1) 寻找目标供应商
攻击队首先通过检索“喜报”、“中标”、“签约”、“合作”、“验收”等关键字,在全网范围内,对该企业的供应商及商业合作伙伴进行地毯式摸排,最终选定将该企业的专用即时通信软件系统开发商A公司作为主要的攻击目标。
情报显示,A公司为该企业开发的专用即时通信系统刚刚完成开发,推测该项目目前尚处于测试阶段,A公司应该有交付和运维人员长期驻场为该企业提供运维全服务。如果能拿下驻场人员的终端设备,则可以成功进入该公司内网系统。
2) 盗取管理员账号
分析发现,A公司开发的即时通信软件也在其公司内部进行使用。而该软件的网络服务管理后台,存在一个已知的系统安全漏洞。攻击队利用该漏洞获取了服务器的控制权,并通过访问服务器的数据库系统,获取了后台管理员的账号和密码。
3) 定位驻场人员
攻击队使用管理员的账号和密码登录服务器后,发现该系统的聊天记录在服务器上是准明文(低强度加密或转换)存储的,而且管理员可以不受限制的翻阅其公司内部的历史聊天记录。
攻击队对聊天记录进行关键字检索后发现:A公司有三名员工的聊天记录中,多次出现目标企业名、OA、运维等字眼;并且这三名员工的登录IP经常落在目标企业的专属网段上。因此,攻击队判断,这三名员工就是A公司在目标企业的驻场人员。
4) 定向恶意升级包
攻击队最初的设想是,通过被控的即时通信软件服务器,向三名驻场人员定向发送恶意升级包。但这种攻击方法需要修改服务器系统配置,稍有不慎,就可能扩大攻击面,给演习工作造成不必要的损失,同时也有可能暴露自身攻击活动。
为实现对三名驻场人员更加隐蔽的定向攻击,攻击队对A公司的即使通信软件进行了更加深入的安全分析,发现其客户端软件对服务器的身份安全验证、对升级包的合法性校验机制都存在设计缺陷。
于是,攻击队利用上述缺陷,通过中间人攻击,对服务器推送给三名驻场人员的客户端软件升级包进行了劫持和篡改。最终三名驻场人员都在完全没有任何感知情况下,在各自的PC机上安装了攻击队伪装设计的恶意升级包。
5) 横向移动
攻击队以驻场人员的运维机作为跳板机进入内网后,开始进行横向移动。
攻击队首先找到了该企业的一台域控服务器,并利用一个近期最新爆出的域控系统安全漏洞,获取了该主域的域账号密码哈希信息。但防守对很快地发现了此次攻击,并将该域控服务器进行了隔离。