紅藍對抗之近源滲透
近源滲透(物理滲透)是紅藍對抗演練中的一個關鍵點,從相關新聞及實際測試結果來看,許多企業線上部署各種安全設備嚴陣以待,結果馬奇諾防線在線下被物理滲透繞過——物理安全或許就是部分企業的短板。本期TSRC特別邀請到騰訊企業IT部藍軍團隊成員、《黑客大揭秘:近源滲透測試》第二作者楊蕓菲(yyf),他將撰文與大家一起探討近源滲透攻防。同時也向對近源滲透感興趣的同志推薦該書。
前言
近源滲透是這兩年常被安全業內人員談起的熱門話題。不同于其他虛無縹緲的安全概念,近源滲透涉及到的無線安全、物理安全、社會工程學都十分容易落地實踐,許多企業內部的攻防對抗演練也都出現了看上去“很過分”的近源滲透攻擊手法,給防守方團隊上了生動的一課。
19年的時候,筆者和朋友們就推出了漫畫《黑客特戰隊·近源滲透》和出版書《黑客大揭秘:近源滲透測試》。作為近源滲透概念的主力“炒作者”之一,這篇文章和大家聊聊我對近源滲透的理解。
Part 1. 什么是紅藍對抗
紅藍對抗原本是一個軍事概念,指在部隊模擬對抗時,專門成立一個扮演假想敵的部隊(藍軍)與我方正面部隊(紅軍)進行對抗性演練。在信息安全領域中的紅藍對抗也是類似的思路,一方扮演黑客,另一方扮演防守者進行網絡安全攻防演練。在演練過程中,藍軍模擬真實的攻擊來評估企業現有防守體系的安全能力,紅軍對發現的問題做出相應的優化整改。通過周期性的紅藍對抗攻防演習,持續性地提高企業在攻擊防護、威脅檢測、應急響應方面的能力。
需要注意,國外流行使用Red Team(紅隊)代表攻擊方,Blue Team(藍隊)代表防守方。
Part 2. 什么是近源滲透
在《黑客大揭秘:近源滲透測試》書中,筆者將近源滲透定義為“指測試人員靠近或位于測試目標建筑內部,利用各類無線通信技術、物理接口和智能設備進行滲透測試的方法總稱”。
用通俗的話來講,就是通過喬裝、社工等方式實地物理侵入企業辦公區域,通過其內部各種潛在攻擊面(如Wi-Fi網絡、RFID門禁、暴露的有線網口、USB接口等)獲得“戰果”,最后以隱秘的方式將評估結果帶出上報,由此證明企業安全防護存在漏洞。
可以直觀地感覺到,近源滲透與傳統滲透測試的主要區別體現在對“邊界”的理解上。在通過外網網絡入口入侵企業這條路上,將面對防火墻、入侵檢測等重重防御措施,攻擊門檻逐漸變高。而在近源滲透的場景中,由于測試人員位于目標企業附近甚至建筑內部,這些地方往往存在大量被企業忽視的安全盲點。我們可以根據目標的網絡狀態、現場環境、物理位置等因素靈活地更換滲透測試方式,這也更接近滲透測試的本質。
Part 3. 近源滲透的測試目標
如果做完整的攻擊面分析,近源滲透可以涉及到的測試對象會非常多,包括WiFi、藍牙、RFID、ZigBee、蜂窩、Ethernet等等各類物聯網通信技術,甚至包括智能設備的嵌入式安全。在本文中,筆者將挑選其中較為通用且容易在紅藍對抗中實施的近源滲透技術進行探討。
3.1 無線滲透
在過去很長一段時間里,由于沒有明顯的競爭對手,人們普遍把無線安全用作Wi-Fi安全的同義詞,把無線網絡等同于Wi-Fi,下文中筆者將延續使用此習慣。
2015年3月,由于某公司內部存在開放的無線網絡,導致超級計算機“XX一號”的某節點被攻擊,大量敏感信息疑遭泄露。
2015年5月,某航站樓Wi-Fi提供商的服務器安全設施不足和代碼漏洞,導致服務器中的用戶隱私數據被泄露。
2016年,某手機售后中心因Wi-Fi安全缺陷導致內網被攻擊者入侵。
2016年4月,富士康前員工秘密橋接無線網絡侵入蘋果公司的網絡,為他人提供“改機、解鎖”服務。
2018年,國內某安全研究員在新加坡參加安全會議,在入住酒店期間通過酒店無線網絡入侵內部系統,并發表博客介紹入侵過程。
如今,無線網絡已經事實上成為了企業移動化辦公的重要基礎設施,但由于普遍缺乏有效管理,部署與使用人員的安全意識和專業知識的不足,導致AP分布混亂,設備安全性脆弱,無線網絡也越來越多地成為黑客入侵企業內網的突破口。正因為如此,筆者在《近源滲透測試》一書中花了大量筆墨用于描述基于無線網絡的安全攻防,無線滲透是目前近源滲透中的主要測試手段。
在筆者之前的工作中,曾對軍工、能源、金融、政企、電信等各種類型的行業客戶做過大量的無線滲透測試服務,發現各單位對無線安全的建設都處于相對模糊和薄弱的階段,主要反應在三塊:
1. 不知道內部有多少無線熱點
企業內部存在的熱點,從“是否由AP下發”和“使用目的”的角度,可分為以下幾類:
官方下發熱點
正式熱點:有規劃搭建的長期熱點
事件類熱點:支持業務項目的中短期熱點
歷史遺留熱點:不再使用卻未下線的熱點
非官方熱點
鄰居熱點:所有未接入到內部網絡的熱點
業務熱點:業務部門報備審批后自行建立的熱點
員工私建熱點:在辦公機上通過無線網卡分享出的熱點。
惡意熱點:用于攻擊客戶端的釣魚熱點
2. 不知道黑客具體的攻擊手法
從無線攻擊的目標來看,可以分為三類:
繞過無線認證,獲取無線網絡訪問權限
攻擊無線終端,竊取敏感信息
破壞無線基礎設施
這些目標可能會同時出現,比如先攻擊無線終端獲取憑據,再使用憑據連入網絡。針對相應的目標,黑客會采取對應具體的攻擊手法。
3. 不知道如何做無線防護
在不知道前兩點的前提下,就不可能做得好防護。
了解內部存在哪些無線熱點其實就是在梳理暴露的攻擊面,如果對此沒有清晰的認識,在這種基礎上做的無線安全防護就如同“馬其諾防線”一樣,一打就穿。
筆者曾受邀對一個大型金融企業做無線安全檢測,由于行業的敏感性同時他們高層領導對無線網絡不安全有清醒的認識,于是采取了不部署任何無線網絡的策略。初看下,連無線網絡都沒部署,自然就不會面對無線威脅。而事實是,筆者在該企業移動端開發團隊所在區域,發現了一個由mac辦公機共享出來的私建熱點,破解密碼連上網絡后,就擁有了辦公機同樣的訪問權限,直通內網。這樣一個簡單的私建熱點就把想象中“無懈可擊”的無線防護策略打破了。
從無線攻擊的目標來思考,會發現獲取無線網絡訪問權限僅是其中之一。我知道現在的企業級AP基本都自帶了釣魚熱點防護功能,那員工拿到公共場所使用怎么防釣魚熱點呢。移動化辦公是不可逆的浪潮,我們就得假設員工一定會在釣魚熱點環境下辦公,基于這種假設提出的防護策略才能扛得住真實攻擊。
對于另外一個目的“破壞無線基礎設施”可以想象這樣一個場景:由于移動化辦公的普及,大家都習慣使用筆記本設備來干活,假設在關鍵時期攻擊者在目標團隊工位偷偷放置一個無差別全阻斷的盒子進行Wi-Fi Deauth攻擊,讓受害者的運營能力在短時間內極具降低。那么是否能結合AP日志建立一套及時發現Wi-Fi Deauth攻擊,物理定位,現場排查可疑人員/設備的機制?在極端情況下,這些筆記本是否可以快速通過網線接入網絡恢復辦公能力?
企業無線安全體系建設是一個包含技術與管理的龐大話題,為了不過于偏離主題這里僅作舉例不再近一步展開。雖然這部分內容是以防守方視角寫的,但了解到防守方的痛點與難點后,可以為攻擊測試方向指明道路。“道”清晰了,“器”和“術”的積累只是時間問題。
3.2 HID攻擊
HID(human interface device)指鍵盤、鼠標與游戲標桿等這類用于為計算機提供數據輸入的人機交互設備。攻擊者可以將特殊的USB設備模擬成為鍵盤,一旦連接上計算機就執行預定的惡意操作,這便是HID攻擊。
在過去十年間,出現了Teensy、USB Rubber Ducker、BadUSB、BashBunny、WHID等等不同形式、各具特色的HID攻擊設備,它們通過DEFCON、BlackHat等安全會議和新聞媒體向外宣傳,無論是業內、業外都對這種攻擊手法具有一定了解和防范意識。筆者將介紹兩種較為有隱蔽性的HID攻擊手段,以貼近在真實環境下的攻擊場景。
1. 利用Android設備執行HID攻擊
這種方式的優勢是顯而易見的,可以便捷地在手機上切換和修改攻擊指令,自帶電源免去了從插入到發動攻擊前這段不短的初始化時間,極大提高了攻擊隱蔽性。當然,這對Android設備有一定的要求,需要root同時內核要打入USB HID補丁
(https://github.com/pelya/android-keyboard-gadget)。
筆者喜歡使用Kali Linux Nethunter來部署該攻擊工具。NetHunter是一個基于Android的開源滲透測試平臺,由 Kali Linux 社區與 Offensive Security 共同創建,系統中包含大量 Kali Linux 中的滲透測試工具,還支持 802.11幀注入、HID 攻擊、MANA惡意熱點攻擊等。利用其中的DuckHunter HID工具,編寫好USB Rubber Ducky格式的腳本后,將該Android設備與目標計算機相連,隨后便會模擬成鍵盤進行輸入。
從插入電腦到惡意操作執行完所需時間不過幾秒,這可以幫助你給那些離開工位不鎖屏的同事好好上一課。
2. USBNinja
前面把Android手機改造成了HID攻擊設備,而USBNinja更加過分,偽裝成一條數據線。
它擁有與普通數據線一致的外觀,并且可以像正常數據線一樣進行充電和傳輸數據。而一旦接收到遙控器或手機APP的指令時,它就會執行預設好的攻擊指令,模擬鍵盤輸入或鼠標點擊進行攻擊。
在最近更新的USBNinja Pro版本中進行了近一步加強,所有配置過程可在手機APP上進行,同時擁有更快的USB2.0打字速度、自毀模式清除固件、自動檢測大寫鎖定、支持BLE5.0等新功能,還增加了鍵盤、鼠標等新外形。
Pro版的USBNinja數據線售價為468元,雖然價格較貴,還是推薦藍軍同學們至少購買一套以用作向老板們進行風險演示或員工安全意識教育的工具。我們也許會懷疑U盤、懷疑手機,但實在很難對一根能充電的數據線產生懷疑。
3.3 LockPicking
LockPicking指開鎖的藝術。在DEFCON大會上歷來就有一個LockPicking Village展區來教參會者開鎖技巧,盡管撬鎖經常被與犯罪聯系起來,但開鎖技巧也可以被當做一項有用的生活技巧來學習,更或者僅僅作為一種愛好。在全球大多數的城市中,只要不將它用作犯罪目的,學習開鎖技術都是可行且合法的。
2017年,在筆者和小伙伴們組織的DC010深圳站沙龍上,便將LockPicking Village第一次引進到國內,現在已經成為DEFCON GROUP國內各本地化社區的熱門演示項目。LockPicking Village的目的在于讓我們了解到不同鎖類的安全性,以便在今后的生活中挑選購買安全性更高的鎖具。
之所以在這里提到鎖具安全,是因為筆者在各種企業內部看到太多敏感區域的門鎖僅使用了A級或B級的鎖芯,這兩種安全等級的鎖芯極易被撬開。比如筆者曾在某一企業內發現,所有樓層的弱電井門使用的都是A級鎖,利用單勾形式的便攜工具即可輕松打開,而門后便是多臺交換機和服務器設備,風險可想而知。
3.4 物理潛入
這里的潛入是指在未授權情況下進入目標區域,同樣是個與Cyber Security無關卻很有趣的話題。考慮到話題敏感性,以下內容讀者請認為是虛構,如有雷同純屬巧合。
電影《平原上的夏洛克》中,主角需要進入某高檔小區跟蹤目標,小區有較為嚴格的出入門禁管理,門禁卡每刷一次只能進一人無法尾隨。于是主角想辦法弄來了一套外賣服裝,以送外賣名義讓保安幫開門進入了小區。
XX市科學技術館,由于正值暑期高峰進入場館需要提前預約,是否今天沒法進入了呢。我發現在場館一側是一座與之相連的辦公樓,我走進辦公樓時沒遭到任何阻攔。步入轉角處的電梯來到3樓,走到辦公樓與場館相連的走道。交界處站著安保人員,我整理了一下表情,大方地走了過去。果然安保人員并沒有阻攔我,他們的任務是防止觀眾進入辦公區,而反向就默認放行了。如此,我便進入了場館。
XX市XX洞景點,作為該市的知名網紅免費景點,每到節假日都需要排長長的隊伍才能進入。這時有黃牛走過來,悄悄吆喝道“正常得排1個小時,100元走VIP通道,5分鐘就能進去”。因為帶著朋友,為避免無意義的排隊我交了錢。他帶著我七拐八繞,還不到5分鐘就進去了,不過這時我反應過來這所謂的VIP通道不就是消防通道嗎。
XX國XX安全會議,門票以RMB計算特別昂貴,在一樓處是檢票口,工作人員審核后才能乘坐扶梯上二樓會議區。作為演講者的我雖然擁有一張票,但隨行的小伙伴就沒法進入了。這時我們發現角落有一部貨梯,乘坐到二樓推開消防安全門便直接進入了人來人往的會場區。雖然沒有觀眾胸卡,但會場里邊已經沒人做檢查了。
這些案例都反應出一個共同點,正門是嚴格審核的區域,但對于員工通道、消防通道、貨梯、地下車庫等“隱藏入口”,往往就處于安保薄弱區域。對于近源滲透人員,能越近一步地進入目標內部,意味著發現問題的可能性越大。
Part 4. 近源滲透的未來發展
近源滲透并不是一個新出現的概念,以前也有“抵近攻擊”、“物理滲透”等說法,但相比于10 年前,近源滲透的測試對象增加了更多無線通信方面的技術。這是因為隨著物聯網 (IoT)的蓬勃發展,企業內部出現了各種形式的智能設備,如藍牙鍵盤鼠標、無線打印機、智能照明、智能攝像頭、智能電視、智能音箱等等,這個名單在持續增長。甚至在電梯、自動售貨機、中央空調或其他基礎設施中,也配套使用了物聯網技術,它們通過 Wi-Fi、藍牙、ZigBee、NFC 或其他無線技術進行通信。
對于企業而言,物聯網設備的特性給企業帶來了嚴重的安全挑戰。各式各樣的設備外觀,配備各式各樣的傳感器組件,采用不同的無線通信技術,運行于不同的操作系統和CPU架構中。它們大部分都沒有固定的安全配置,沒有用戶交互界面,也無法安裝安全軟件或代理以便于管控。傳統的安全實踐,如防火墻、反惡意軟件或其他安全解決方案在面臨來自物聯網的安全威脅時是不夠的,IT 管理人員甚至只能發現企業內 40%的設備,像員工帶來的智能設備等都處于企業管理視野的盲區,更無從談起如何保護它們,而它們可能已經通過某種形式接入了企業內網。
對于潛在的攻擊者來說,以這些物聯網設備作為滲透切入點是十分具有想象空間的:
2016年,Bastille的研究團隊發布了一個關于無線鼠標、無線鍵盤的漏洞披露,攻擊者可以嗅探并劫持來自無線鍵鼠的操作指令;
2017年,騰訊Blade Team利用無人機滲透智能樓宇,遠程控制辦公樓中的照明、空調、插座和電動窗簾等智能設備;
2019年,東京電氣通信大學副教授 Takeshi Sugawara 等研究者發表了一種利用激光劫持智能音箱的攻擊方式,研究者以特定頻率改變激光強度,智能設備便會認為收到了特定頻率的聲音,從而接收指令;
2020年,安恒海特實驗室在BlackHat會議上公布了一個針對藍牙的攻擊利用,攻擊者可利用Android設備中的藍牙漏洞竊取用戶通訊錄、呼叫歷史記錄和短信驗證碼等敏感信息。
可以預見,越來越多的公司和團隊會希望紅藍對抗等攻防演習活動能覆蓋到企業的物聯網環境,挖掘近源環境下的潛在安全威脅。這些新的需求依舊需要常規的安全服務團隊來滿足,實際上這就要求我們的滲透測試從業人員掌握更多的近源滲透技術以應對相關的攻防需求。
對于更廣泛的信息安全研究人員,近源滲透也將是無線通信安全、物聯網安全、物理安全、社會工程學等安全領域將攻防理論進行落地實踐的最佳場景。
后記
前不久,筆者從之前以安全研究為主的工作,轉向加入到騰訊企業IT部·安全運營中心這個更貼近業務的安全團隊,其中的主要動機之一便是希望自己在無線安全、物聯網安全上積累的攻防理念可以有機會在TOP規模的互聯網辦公場景中進行落地。
騰訊企業IT部肩負著為騰訊內部所有員工提供安全、穩定、高效的辦公基礎設施的使命,安全運營中心作為其中的安全保障團隊,也希望能在即將來臨的萬物互聯、智能辦公的浪潮中,保護員工和辦公基礎設施免受來自各種場景的安全威脅,助力辦公安全能力的持續提升。
從筆者個人觀點來看,各類無線網絡因其本身的移動性和靈活性,無線覆蓋區域內的任何用戶都有可能接入或監聽數據,基于無線層面的身份認證最終都有可能被繞過。無線通信技術在企業中的流行將不可避免地瓦解傳統基于網絡邊界的授信策略,以近源滲透場景可能涉及的種種攻擊途徑為例,可以發現:要想更好地應對來自全方位的安全威脅,需要做到“確認用戶身份”、“控制設備網絡權限”、“確認設備安全配置”、“確認應用軟件安全狀態”、“通信鏈路全加密”等一系列管控措施。
實際上這就是零信任安全體系的標配。當我初來騰訊,頭幾件讓我驚訝的事就是零信任在騰訊內部已經處于全面落地實踐的階段,為需要接入內網的各類平臺設備都賦予了在用戶身份、網絡權限、安全狀態等方面的管控能力。有機會在之后的文章和大家聊聊,如何用零信任安全的思路去解決企業無線安全中“釣魚熱點”、“私建熱點”等安全頑疾。
