紅隊視角下的企業安全運營
眾所周知,網絡安全的本質是攻與防,不論談及網絡安全的哪一方面都必會涉及到攻與防。作為每年參加紅藍對抗的老司機,目睹了很多大型企業安全運營中存在的薄弱點,下面就以紅隊的視角下跟大家聊聊企業安全運營,希望能拋磚引玉,為網安事業添一片瓦。
1、紅隊視角下的企業安全威脅
信息搜集
紅隊滲透的本質是信息搜集:
1、常規信息搜集
IT資產(域名、子域名、IP地址、C段、Whois信息、開放端口、運行服務、Web中間件、Web應用、操作系統、移動應用、網絡架構……)、企業信息搜集、Github信息搜集、網盤信息搜集、郵箱信息搜集、網絡空間引擎信息搜集(fofa、shodan….)、靶標企業的組織架構(單位的部門劃分、人員信息、工作職能、下屬單位等)、供應商信息(相關合同、系統、軟件、硬件、代碼、服務、人員……)、敏感信息泄露(代碼、文檔、郵箱、通訊錄、歷史漏洞泄露…..)
掌握了目標企業相關人員信息和組織架構,就可以快速定位關鍵人物實施魚叉攻擊,或確定內網橫縱向滲透路徑。
收集IT資產可以為漏洞發現和利用提供數據支撐。
掌握企業和供應商合作的相關信息,可有針對性開展供應鏈攻擊提供有效支撐。
2、非常規信息搜集:社工庫信息搜集、針對不通后綴的域名(.net/.dev/.io)、公眾號小程序信息搜集、各種貼吧微博社交平臺等。
Note:HVV分數分為路徑分和靶標分。靶標隱藏在內網核心段,由防守方層層布防,重點監控,得分較難。
而路徑分HVV后期計算較為寬松,視裁判而言,有的資產只要跟目標沾邊也可算得分。所以刷邊緣資產得路徑分是HVV中必不可少的一環。
刷邊緣資產,批量漏掃工具很多,而好用的漏洞EXP才是關鍵。在HVV期間,時間緊,目標資產多,不可面面俱到把所有漏洞都測到。而且HVV僅需要權限類漏洞,所以只需要掃描SQL注入、框架RCE、未授權之類的,具體如shiro反序列化、Weblogic系列漏洞、Redis等未授權訪問…..
資產收集
外網邊界突破
1、弱口令:
普通用戶/管理員弱口令都可得分,且OA系統、郵件系統的弱口令可泄露大量敏感數據
2、文件上傳:
通過各種繞過獲取服務器權限
3、數據庫:
弱口令
SQL注入
內網
4、框架類漏洞
OA類:泛微、通達、致遠等
郵件類:coremail,webmail
其他:phpstudy,thinkphp等
5、中間件漏洞
Apache、Weblogic、Jboss…..
6、跨站&釣魚
跨站腳本執行一般效率低且不穩定,釣魚需要免殺以及精準
Getshell常用方法
內網滲透
1、內網信息搜集
收集本機信息、查詢當前權限、判斷是否存在域、探測域內存活主機、掃描域內端口、收集域內基礎信息、查找域控制器、獲取域內的用戶和管理員信息、定位域管理員、查找域管理進程、利用PowerShell收集域信息、分析域內網段劃分情況及拓撲結構.
2、橫向移動
PTH&撞庫、內網web服務攻擊,搭建代理
3、權限維持
添加隱藏賬號、自啟動、計劃任務、注冊服務等
以上我把紅隊攻擊的重點流程給大家介紹了下,為的是知己知彼百戰不殆,正所謂未知攻焉知防。下面我就取一瓢為大家實戰演練一下。
實戰演練
2375端口(Docker)
存在漏洞:未授權訪問
檢測方式:通過docker daemon api執行docker命令
修復建議:Bind 2375 to 127.0.0.1
2181端口(Zookeeper)
存在漏洞:經ZooKeeper默認開啟在2181端口,在未進行任何訪問控制情況下,攻擊者可通過執行envi命令獲得系統大量的敏感信息,包括系統名稱、Java環境,修改或刪除Node等。
檢測方式:攻擊者可通過執行envi命令獲取大量敏感信息,包括系統名稱、Java環境、刪除node。
獲取成功
連接成功
修復建議:修改zookeeper默認端口、添加訪問控制、配置服務來源地址限制策略、增加zookeeper的認證配置。
873端口(Rsync)
存在漏洞:Rsync默認端口873,可以使用Nmap掃描開放端口是否開放,若開放端口,查看時候可默認口令登陸。使用命令查看:rsync -av x.x.x.x::
既然是同步文件,自然有選擇查看、上傳或者下載的能力,這要視權限設定,運氣好的情況下可秒殺站點。
利用方法:攻擊者可執行下載/上傳等操作,也可以嘗試上傳webshell。
列出目標服務器的同步目錄
查看模塊文件
修復建議:更改rysnc默認配置文件/etc/rsyncd.conf,添加或修改參數
訪問控制:設置host allow,限制允許訪問主機的IP
權限控制:設置read only,將模塊設置成只讀
訪問認證:設置auth、secrets,認證成功才能調用服務
模塊隱藏:設置list,將模塊隱藏
445端口(SMB)
存在漏洞:信息泄露、遠程代碼執行
利用方法:可利用共享獲取敏感信息、緩沖區溢出導致遠程代碼執行,Eg:ms17010
攻擊成功
修復建議:臨時修復:添加入站規則,關閉445端口。
打相應漏洞補丁。
443端口(SSL)
存在漏洞:OpenSSL 心臟出血。
利用方法:攻擊者可以遠程讀取存在漏洞版本的openssl服務器內存中多達64K的數據。
檢測結果
可以直接抓到正在登錄Web應用的賬號密碼等信息
修復建議:升級 openssl 到新版本,并重新啟動。
生成新密鑰,將新密鑰提交給你的CA,獲得新的認證之后在服務器上安裝新密鑰。
6379 端口(Redis)
存在漏洞:未授權訪問
利用方法:絕對路徑寫webshell 、利用計劃任務執行命令反彈shell、公私鑰認證獲取root權限、主從復制RCE等。
修改建議:修改默認端口+增加鑒權
7001 Weblogic RCE漏洞
存在漏洞:漏洞編號為CVE-2019-2725,可遠程執行命令,getshell等。
遠程執行反彈shell命令
執行結果
修復建議:
用戶可通過在weblogic啟動參數中禁用bea_wls9_async_response的方式,對此漏洞形成臨時防護。
下載相應補丁安裝包,打補丁。
2、 提升企業安全運營能力
如果你有在甲方工作的經驗就會知道企業安全運營這個崗位是具有很大挑戰的,挑戰不是來源于技術挑戰,而是不論是安全協調工作還是在去提升集團全體員工安全意識落地都會遇到很大阻力。網絡安全意識淡薄是最大的問題,所以常態化的網絡安全意識培訓是首要任務,有了這個大前提才可談網絡安全運營中心的構建和落地。
安全能力中心的構建:
1>能打硬仗的攻防人才組建,常態化研究最新漏洞進展,結合集團資產進行預警和處置修復跟蹤。
2>形成閉環的應急響應能力和機制,智能安全編排平臺輔助。
3>漏洞生命周期管理能力。
4>高效的流程(資產管理流程、威脅情報流程、漏洞管理流程、事件處置流程)
5>常態化對企業資產進行收斂,最大程度降低風險暴露面(Eg:以上實戰演練中暴露的敏感端口和服務)
6>全流量安全設備的常態化運營(將最新爆出的漏洞,利用威脅大數據、機器學習和人工持續化更新特征庫和規則庫以及調用威脅情報平臺的接口常態化實時準確檢測)
7>每年進行內部紅藍對抗演練,提升攻防能力。
