在紅隊的實戰過程中,紅隊專家們逐漸摸出了一些套路、總結了一些經驗:有后臺或登錄入口的,會盡量嘗試通過弱口令等方式進入系統;找不到系統漏洞時,會嘗試社工釣魚,從人開展突破;有安全防護設備的,會盡量少用或不用掃描器,使用EXP力求一擊即中;針對防守嚴密的系統,會嘗試從子公司或供應鏈來開展工作;建立據點過程中,會用多種手段多點潛伏,防患于未然。
下面介紹九種紅隊最常用的攻擊戰術。
一、 利用弱口令獲得權限
弱密碼、默認密碼、通用密碼和已泄露密碼通常是紅隊專家們關注的重點。實際工作中,通過弱口令獲得權限的情況占據90%以上。
很多企業員工用類似zhangsan、zhangsan001、zhangsan123、zhangsan888這種賬號拼音或其簡單變形,或者123456、888888、生日、身份證后6位、手機號后6位等做密碼。導致通過信息收集后,生成簡單的密碼字典進行枚舉即可攻陷郵箱、OA等賬號。
還有很多員工喜歡在多個不同網站上設置同一套密碼,其密碼早已經被泄露并錄入到了黑產交易的社工庫中;或者針對未啟用SSO驗證的內網業務系統,均習慣使用同一套賬戶密碼。這導致從某一途徑獲取了其賬戶密碼后,通過憑證復用的方式可以輕而易舉地登錄到此員工所使用的其他業務系統中,為打開新的攻擊面提供了便捷。
很多通用系統在安裝后會設置默認管理密碼,然而有些管理員從來沒有修改過密碼,如admin/admin、test/123456、admin/admin888等密碼廣泛存在于內外網系統后臺,一旦進入后臺系統,便有很大可能性獲得服務器控制權限;同樣,有很多管理員為了管理方便,用同一套密碼管理不同服務器。當一臺服務器被攻陷并竊取到密碼后,進而可以擴展至多臺服務器甚至造成域控制器淪陷的風險。
二、 利用互聯網邊界滲透內網
大部分企業都會有開放于互聯網邊界的設備或系統,如:VPN系統、虛擬化桌面系統、郵件服務系統、官方網站等。正是由于這些設備或系統可以從互聯網一側直接訪問,因此也往往會成為紅隊首先嘗試的,突破邊界的切入點。
此類設備或系統通常都會訪問內網的重要業務,為了避免影響到員工使用,很多企業都沒有在其傳輸通道上增加更多的防護手段;再加上此類系統多會集成統一登錄,一旦獲得了某個員工的賬號密碼,就可以通過這些系統突破邊界直接進入內網中來。
譬如,開放在內網邊界的郵件服務如果缺乏審計,也未采用多因子認證;員工平時又經常通過郵件傳送大量內網的敏感信息。如服務器賬戶密碼、重點人員通訊錄等。那么,當掌握相關員工的郵箱賬號密碼后,在郵件中所獲得的信息,會被紅隊下一步工作提供很多方便。
三、 利用通用產品組件漏洞
信息化的應用提高了工作效率,但其存在的安全漏洞也是紅隊人員喜歡的。歷年實戰攻防演習中,經常被利用的通用產品漏洞包括:郵件系統漏洞、OA系統漏洞、中間件軟件漏洞、數據庫漏洞等。這些漏洞被利用后,可以使攻擊方快速獲取大量賬戶權限,進而控制目標系統。而作為防守方,漏洞往往很難被發現,相關活動常常被當作正常業務訪問而被忽略。
四、 利用安全產品0Day漏洞
安全產品自身也無法避免0Day攻擊!安全產品也是一行行代碼構成,也是包含了操作系統、數據庫、各類組件等組合而成的產品。歷年攻防實戰演習中,被發現和利用的各類安全產品的0Day漏洞,主要涉及安全網關、身份與訪問管理、安全管理、終端安全等類型安全產品。這些安全產品的漏洞一旦被利用,可以使攻擊者突破網絡邊界,獲取控制權限進入網絡;獲取用戶賬戶信息,并快速拿下相關設備和網絡的控制權限。
安全產品的0Day漏洞常常是紅隊最好的攻擊利器。
五、 利用人心弱點社工釣魚
利用人的安全意識不足或安全能力不足,實施社會工程學攻擊,通過釣魚郵件或社交平臺進行誘騙,是紅隊專家經常使用的社工手段。在很多情況下,“搞人”要比“搞系統”容易得多。
釣魚郵件是最經常被使用的攻擊手段之一。紅隊專家常常會首先通過社工釣魚或漏洞利用等手段盜取某些安全意識不足的員工郵箱賬號;再通過盜取的郵箱,向該單位的其他員工或系統管理員發送釣魚郵件,騙取賬號密碼或投放木馬程序。由于釣魚郵件來自內部郵箱,“可信度”極高,所以,即便是安全意識較強的IT人員或管理員,也很容易被誘騙點開郵件中的釣魚鏈接或木馬附件,進而導致關鍵終端被控,甚至整個網絡淪陷。
冒充客戶進行虛假投訴,也是一種常用的社工手法,攻擊方會通過單人或多人配合的方式,通過在線客服平臺、社交軟件平臺等,向客戶人員進行虛假的問題反饋或投訴,設局誘使或迫使客服人員接受經過精心設計的帶毒文件或帶毒壓縮包。一旦客戶人員的心理防線被突破,打開了帶毒文件或壓縮包,客服人員的電腦就會成為攻擊隊打入內網的一個“立足點”。
除了客服人員外,很多非技術類崗位的工作人員也很容易成為社工攻擊的“外圍目標”。例如,如給法務人員發律師函,給人力資源人員發簡歷,給銷售人員發送采購需求等,都是比較常用的社工方法。而且往往“百試百靈”。
六、 利用供應鏈隱蔽攻擊
供應鏈攻擊是迂回攻擊的典型方式。攻擊方會從IT(設備及軟件)服務商、安全服務商、辦公及生產服務商等供應鏈入手,尋找軟件、設備及系統漏洞,發現人員及管理薄弱點并實施攻擊。常見的系統突破口包括:郵件系統、OA系統、安全設備、社交軟件等;常見的突破方式包括軟件漏洞,管理員弱口令等。
利用供應鏈攻擊,可以實現第三方軟件系統的惡意更新,第三方服務后臺的秘密操控,以及物理邊界的防御突破(如,受控的供應商駐場人員設備被接入內網)等多種復雜的攻擊目標。
七、 利用下屬單位迂回攻擊
在有紅隊防守的實戰攻防演習中,有時總部的系統防守會較為嚴密,紅隊很難正面突破,很難直接撬開進入內網的大門。此時,嘗試繞過正面防御,通過攻擊防守相對薄弱的下屬單位,再迂回攻入總部的目標系統,就是一種很“明智”的策略。
紅隊大量實戰中發現:絕大部分企業機構,其下屬單位之間的內部網絡,下屬單位與集團總部之間的內部網絡,均未進行有效隔離。很多部委單位、大型央企均習慣于使用單獨架設一條專用網絡,來打通各地區之間的內網連接,但同時又普遍忽視了不通區域網絡之間必要的隔離管控措施,缺乏足夠有效的網絡訪問控制。
這就導致紅隊一旦突破了子公司或分公司的防線,便可以通過內網橫向滲透,直接攻擊到集團總部,或是漫游整個企業內網,進而攻擊任意系統。
例如A子公司位于深圳,B子公司位于廣州,而總部位于北京。當A子公司或B子公司被突破后,就可以毫無阻攔地進入到總部網絡中來。事實上,A子公司與B子公司可能僅需要訪問北京總部的部分業務系統;同時,A與B則可能完全不需要有任何業務上的往來。那么,從安全角度看,就應該嚴格限制A與B之間的網絡訪問。但實際情況常常是:一條專線內網通往全國各地,一處淪陷,處處淪陷。
八、 秘密滲透
不同于民間黑客或黑產團隊,紅隊工作一般不會大規模使用漏洞掃描器,因為掃描器活動特征明顯,很容易暴露自己。例如,目前主流的WAF、IPS等防護設備都有識別漏洞掃描器的能力,一旦發現后,可能第一時間觸發報警或阻斷IP。
因此,信息收集和情報刺探是紅隊工作的基礎。在數據積累的基礎上,針對性地根據特定系統、特定平臺、特定應用、特定版本,去尋找與之對應的漏洞,編寫可以繞過防護設備的EXP來實施攻擊操作,可以達到隱蔽攻一擊即中的目的。
如果目標系統的防御縱深不夠,或使用安全設備的能力不足,當面對這種有針對性攻擊時,往往就很難及時發現和阻止攻擊行為。在攻防演習的實戰中,常常使用紅隊獲取到目標資料或數據后,被攻擊單位尚未感知到入侵行為。
如果參與演習的安全人員本身的技術能力也比較薄弱,無法實現對攻擊行為的發現、識別,無法給出有效的攻擊阻斷、漏洞溯源及系統修復策略,則在攻擊發生的很長一段時間內,防守一方可能都不會對紅隊的隱蔽攻擊采取有效的應對措施。
九、 多點潛伏
紅隊專家在工作中,通常不會僅僅站在一個據點上去去開展滲透工作,而是會采取不同的Webshell,使用不同的后門程序,利用不同的協議來建立不同特征的據點。
事實上,大部分應急響應過程并沒有溯源攻擊源頭,也未必能分析完整攻擊路徑。在防護設備告警時,很多防守方隊員會僅僅只處理告警設備中對應告警IP的服務器,而忽略了對攻擊鏈的梳理,從而導致盡管處理了告警,但仍未能將紅隊排除在內網之外。而紅隊則可以通過多個潛伏據點,實現快速“死灰復燃”。
如果某些防守方成員專業程度不高,安全意識不足,還有可能在紅隊的“伏擊”之下暴露更多敏感信息。例如,在針對Windows服務器應急運維的過程中,有防守方隊員會直接將自己的磁盤通過遠程桌面共享掛載到被告警的服務器上。這樣反而可以給秘密潛伏的紅隊進一步攻擊防守方成員的機會。
全球網絡安全資訊
安全內參
安全圈
D1Net
看雪學苑
看雪學苑
安全圈
安全內參
一顆小胡椒
安全圈
安全牛
黑白之道
