不过,攻击队并没有放弃,又在内网中找到了一套终端安全管理系统。攻击队经过现场挖掘,找到了该系统的一个新的0Day漏洞,并利用该漏洞成功地获取了管理员权限。在成功登录系统后台后,攻击方可实现任意命令的下发和执行,能够控制该安全管理系统所辖范围内的所有终端设备。
四、 浑水摸鱼——社工钓鱼突破系统
社会工程学(简称社工)在蓝队工作中占据着半壁江山,而钓鱼攻击则是社工中的最常使用的套路。钓鱼攻击通常具备一定的隐蔽性和欺骗性,不具备网络技术能力的人通常无法分辨内容的真伪;而针对特定目标及群体精心构造的鱼叉钓鱼攻击则可令具备一定网络技术能力的人防不胜防,可谓之渗透利器。
小D团队便接到这样一个工作目标:某企业的财务系统。通过前期踩点和信息收集发现,目标企业外网开放系统非常少,也没啥可利用的漏洞,很难通过打点的方式进入到内网。
不过还是让他们通过网上搜索以及一些开源社工库中收集到一批目标企业的工作人员邮箱列表。掌握这批邮箱列表后,小D便根据已泄露的密码规则、123456、888888等常见弱口令、用户名密码相同,或用户名123这种弱口令等生成了一份弱口令字典。利用hydra等工具进行爆破,成功破解一名员工的邮箱密码。
小D对该名员工来往邮件分析发现,邮箱使用者为IT技术部员工。查看该邮箱发件箱,看到他历史发过的一封邮件如下:
标题:关于员工关掉445端口以及3389端口的操作过程
附件:操作流程.zip
小D决定浑水摸鱼,在此邮件的基础上进行改造伪装,构造钓鱼邮件如下。其中,zip文件为带有木马的压缩文件。
标题:关于员工关掉445端口以及3389端口的操作补充
附件:操作流程补充.zip
为提高攻击成功率,通过对目标企业员工的分析,小D决定对财务部门以及几个跟财务相关的部门进行邮件群发。
小D发送了一批邮件,有好几个企业员工都被骗上线,打开了附件。控制了更多的主机,继而便控制了更多的邮箱。在钓鱼邮件的制作过程中,小D灵活根据目标的角色和特点来构造。譬如在查看邮件过程中,发现如下邮件:
尊敬的各位领导和同事,发现钓鱼邮件事件,内部定义为19626事件,请大家注意邮件附件后缀后.exe、.bat等… …
小D同样采用浑水摸鱼的策略,利用以上邮件为母本,以假乱真构造以下邮件继续钓鱼:
尊敬的各位领导和同事,近期发现大量钓鱼邮件,以下为检测程序… …
附件:检测程序.zip
通过不断地获取更多的邮箱权限、系统权限,根据目标角色针对性设计钓鱼邮件,小D最终成功拿下目标!
五、 声东击西——混淆流量躲避侦察
在有红队(防守方)参与的实战攻防工作中,尤其是有红队排名或通报机制的工作中,蓝队与红队通常会产生对抗。IP封堵与绕过、WAF拦截与绕过、Webshell查杀与免杀,红蓝之间通常会开展一场没有硝烟的战争。
小Y和所带领的团队就遭遇了这么一次:刚刚创建的跳板几个小时内就被阻断了;刚刚上传的Webshell过不了几个小时就被查杀了。蓝队打到哪儿,红队就根据流量威胁审计跟到哪,不厌其烦,团队始终在目标的外围打转。
没有一个可以维持的据点,就没办法进一步开展内网突破。小Y和团队开展了一次头脑风暴,归纳分析了流量威胁审计的天然弱点,以及红队有可能出现的人员数量及技术能力不足等情况,制定了一套声东击西的攻击方案。
具体方法就是:同时寻找多个具有直接获取权限漏洞的系统,正面大流量进攻某个系统,吸引火力,侧面尽量减少流量直接拿权限并快速突破内网。
为此,小Y团队先通过信息搜集发现目标企业的某个外网WEB应用,并通过代码审计开展漏洞挖掘工作,成功发现多个严重的漏洞。另外发现该企业的一个营销网站,通过开展黑盒测试,发现存在文件上传漏洞。
小Y将团队兵分两路,除自己外的所有其他成员主攻营销网站,准备了许多分属不同A段的跳板,不在乎是否被发现,也不在乎是否封堵,甚至连漏洞扫描器都上了,力求对流量威胁分析系统开启一场规模浩大的“分布式拒绝服务”,让红队的防守人员忙于分析和应对;而自己则悄无声息地用不同的IP和浏览器指纹特征对WEB应用网站开展渗透,力求用最少的流量拿下服务器,让威胁数据淹没在营销网站的攻击洪水当中。
通过这样的攻击方案,小Y团队同时拿下营销网站和WEB应用网站,但在营销网站的动作更多,包括关闭杀软、提权、安置后门程序、批量进行内网扫描等众多敏感操作;同时在WEB应用网站利用营销网站上获得的内网信息,直接建立据点,开展内网渗透操作。