taibeihacker
Moderator
第一章什麼是藍隊
藍隊,一般是指網絡實戰攻防演習中的攻擊一方。
藍隊一般會採用針對目標單位的從業人員,以及目標系統所在網絡內的軟件、硬件設備同時執行多角度、全方位、對抗性的混合式模擬攻擊手段;通過技術手段實現系統提權、控制業務、獲取數據等滲透目標,來發現系統、技術、人員、管理和基礎架構等方面存在的網絡安全隱患或薄弱環節。
藍隊人員並不是一般意義上的電腦黑客。因為黑客往往以攻破系統,獲取利益為目標;而藍隊則是以發現系統薄弱環節,提升系統安全性為目標。此外,對於一般的黑客來說,只要發現某一種攻擊方法可以有效地達成目標,通常就沒有必要再去嘗試其他的攻擊方法和途徑;但藍隊的目標則是要盡可能地找出系統中存在的所有安全問題,因此往往會窮盡已知的“所有”方法來完成攻擊。換句話說,藍隊人員需要的是全面的攻防能力,而不僅僅是一兩招很牛的黑客技術。
藍隊的工作也與業界熟知的滲透測試有所區別。滲透測試通常是按照規範技術流程對目標系統進行的安全性測試;而藍隊攻擊一般只限定攻擊範圍和攻擊時段,對具體的攻擊方法則沒有太多限制。滲透測試過程一般只要驗證漏洞的存在即可,而藍隊攻擊則要求實際獲取系統權限或系統數據。此外,滲透測試一般都會明確要求禁止使用社工手段(通過對人的誘導、欺騙等方法完成攻擊),而藍隊則可以在一定範圍內使用社工手段。
還有一點必須說明:雖然實戰攻防演習過程中通常不會嚴格限定藍隊的攻擊手法,但所有技術的使用,目標的達成,也必須嚴格遵守國家相關的法律和法規。
在演習實踐中,藍隊通常會以3人為一個戰鬥小組,1人為組長。組長通常是藍隊中綜合能力最強的人,需要較強的組織意識、應變能力和豐富的實戰經驗。而2名組員則往往需要各有所長,具備邊界突破、橫向移動(利用一台受控設備攻擊其他相鄰設備)、情報收集或武器研製等某一方面或幾個方面的專長。
藍隊工作對其成員的能力要求往往是綜合性的、全面性的。藍隊成員不僅要會熟練使用各種黑客工具、分析工具,還要熟知目標系統及其安全配置,並具備一定的代碼開發能力,以便應對特殊問題。
第二章藍隊演變趨勢
“魔高一尺道高一丈”!防守能力提升的同時,攻擊能力也在與時俱進。目前,藍隊的工作已經變得非常體系化、職業化和工具化,主要變現如下。
1)體系化
從漏洞準備、工具準備,到情報收集、內網滲透等,每個人都有明確的分工,有組織地形成團隊作戰能力,已經很少有一個人幹全套的情況了。
2)職業化
藍隊人員都來自各組織專職實戰演習團隊,有明確分工和職責,具備協同配合的職業操守,平時開展專業化訓練。
3)工具化
工具化程序持續提升,除了使用常用滲透工具,基於開源代碼的定制化工具應用增多,自動化攻擊被大規模應用,如採用多IP出口的自動化攻擊平台進行作業。
從實戰對抗的手法來看,現如今的藍隊還呈現出社工化、強對抗和迂迴攻擊的特點。
1)社工化
利用“人”的弱點實施社會工程學攻擊,是黑產團伙和高級威脅組織的常用手段,如今也被大量引入實戰攻防演習當中。
除了釣魚、水坑等傳統社工攻擊手段外,如今的藍隊還會經常通過在線客服、私信好友等多種交互平台進行社工攻擊,以便更加高效地獲取業務信息。社工手段的多變性往往會讓防守方防不勝防。
2)強對抗
利用0Day漏洞、NDay漏洞、免殺技術等方式與防守方進行高強度的技術對抗,也是近1-2年來藍隊在實戰攻防演習中表現出的明顯特點。特別的,藍隊人員大多出自安全機構,經過專業訓練,因此往往會比民間黑客更加了解安全軟件的防護機制和安全系統的運行原理,其使用的對抗技術也往往更具針對性。
3)迂迴攻擊
對於防護嚴密,有效監控的目標系統來說,正面攻擊往往難以奏效。這就迫使藍隊越來越多的採用“曲線救國”的攻擊方式,將戰線拉長:從目標系統的同級單位和下級單位入手,從供應鍊及業務合作方下手,在防護相對薄弱的關聯機構中尋找突破點,通過迂迴攻擊的方式攻破目標系統。
第三章藍隊四板斧——攻擊的四個階段
藍隊的攻擊並非是天馬行空的撞大運,而是一個有章可循、科學合理的作戰過程。一般來說,藍隊的工作可分為四個階段:站前準備、情報收集、建立據點和橫向移動。我們也常將這個四個階段稱為藍隊工作的“四板斧”。
一、第一階段:準備收集
在一場實戰攻防演習作戰開始前,藍隊人員主要會從以下幾個方面進行準備。
1)漏洞挖掘
漏洞一直是第一攻擊力。前期的漏洞挖掘對於打開突破口顯得非常重要,在實戰中,漏洞挖掘工作一般會聚焦於互聯網邊界應用、網絡設備、辦公應用、運維繫統、移動辦公、集權管控等方面。此外,只是找到漏洞還不夠,好的漏洞利用方式也是十分重要的。想要在不通環境下達到穩定、深度的漏洞利用,這對漏洞挖掘人員來說是一個不小的挑戰。
2)工具儲備
工具的目的是為了提升工作效率,好的工具往往能事半功倍,在實戰中,藍隊通常需要準備信息收集、釣魚、遠控、WebShell管理、隧道、掃描器、漏洞利用等多種工具。
3)戰法策略
團隊作戰考慮的是配合,因此,攻擊隊成員的分工角色就顯得尤為重要,小的戰役靠個人,大的戰役一定是靠機制、流程以及團隊合作。好的戰法策略,對於一場大的戰役來講至關重要。
4)以賽代練
日常的任務中,需要挑選出一些具有代表性的任務來對藍隊進行有針對性的訓練,有利於藍隊隊員提高自身的技能。參加各類安全大賽將非常有助於藍隊隊員的技術能力提升。
二、第二階段:情報收集
當藍隊專家接到目標任務後,並不會像滲透測試那樣在簡單收集數據後直接去嘗試各種常見漏洞,而是先去做情報偵察和信息收集工作。收集的內容包括目標系統的組織架構、IT資產、敏感信息洩露、供應商信息等各個方面。
組織架構包括單位部門劃分、人員信息、工作職能、下屬單位等;IT資產包括域名、IP地址、C段、開放端口、運行服務、Web中間件、Web應用、移動應用、網絡架構等;敏感信息洩露包括代碼洩露、文檔信息洩露、郵箱信息洩露、歷史漏洞洩露信息等方面;供應商信息包括相關合同、系統、軟件、硬件、代碼、服務、人員等相關信息。
掌握了目標企業相關人員信息和組織架構,可以快速定位關鍵人物以便實施魚叉攻擊,或確定內網橫縱向滲透路徑;而收集了IT資產信息,可以為漏洞發現和利用提供數據支撐;掌握企業與供應商合作相關信息,可為有針對性開展供應鏈攻擊提供素材。而究竟是要社工釣魚,還是直接利用漏洞攻擊,抑或是從供應鏈下手,一般取決於安全防護的薄弱環節究竟在哪裡,以及藍隊對攻擊路徑的選擇。
三、第三階段:建立據點
在找到薄弱環節後,藍隊專家會嘗試利用漏洞或社工等方法去獲取外網系統控制權限,一般稱之為“打點”或撕口子。在這個過程中,藍隊專家會嘗試繞過WAF、IPS、殺毒軟件等防護設備或軟件,用最少的流量、最小的動作去實現漏洞利用。
通過撕開的口子,尋找和內網聯通的通道,再進一步進行深入滲透,這個由外到內的過程一般稱之為縱向滲透。如果沒有找到內外聯通的DMZ區(Demilitarized Zone,隔離區),藍隊專家會繼續撕口子,直到找到接入內網的點為止。
當藍隊專家找到合適的口子後,便可以把這個點作為從外網進入內網的根據地。通過frp、ewsocks、reGeorg等工具在這個點上建立隧道,形成從外網到內網的跳板,將它作為實施內網滲透的堅實據點。
若權限不足以建立跳板,藍隊專家通常會利用系統、程序或服務漏洞進行提權操作,以獲得更高權限;若據點是非穩定的PC機,則會進行持久化操作,保證PC機重啟後,據點依然可以在線。
四、第四階段:橫向移動
進入內網後,藍隊專家一般會在本機以及內部網絡開展進一步信息收集和情報刺探工作。包括收集當前計算機的網絡連接、進程列表、命令執行歷史記錄、數據庫信息、當前用戶信息、管理員登錄信息、總結密碼規律、補丁更新頻率等信息;同時對內網的其他計算機或服務器的IP、主機名、開放端口、開放服務、開放應用等情況進行情報刺探。再利用內網計算機、服務器不及時修復漏洞、不做安全防護、同口令等弱點來進行橫向滲透擴大戰果。
對於含有域的內網,藍隊專家會在擴大戰果的同時去尋找域管理員登錄的蛛絲馬跡。一旦發現某台服務器有域管理員登錄,就可以利用Mimikatz等工具去嘗試獲得登錄賬號密碼明文,或者用Hashdump工具去導出NTLM哈希,繼而實現對域控服務器的滲透控制。
在內網漫游過程中,藍隊專家會重點關注郵件服務器權限、OA系統權限、版本控制服務器權限、集中運維管理平台權限、統一認證系統權限、域控權限等位置,嘗試突破核心系統權限、控制核心業務、獲取核心數據,最終完成目標突破工作。
第四章藍隊也套路——常用的攻擊戰術
在藍隊的實戰過程中,藍隊專家們逐漸摸出了一些套路、總結了一些經驗:有後台或登錄入口的,會盡量嘗試通過弱口令等方式進入系統;找不到系統漏洞時,會嘗試社工釣魚,從人開展突破;有安全防護設備的,會盡量少用或不用掃描器,使用EXP力求一擊即中;針對防守嚴密的系統,會嘗試從子公司或供應鏈來開展工作;建立據點過程中,會用多種手段多點潛伏,防患於未然。
下面介紹九種藍隊最常用的攻擊戰術。
一、利用弱口令獲得權限
弱密碼、默認密碼、通用密碼和已洩露密碼通常是藍隊專家們關注的重點。實際工作中,通過弱口令獲得權限的情況佔據90%以上。
很多企業員工用類似zhangsan、zhangsan001、zhangsan123、zhangsan888這種賬號拼音或其簡單變形,或者123456、888888、生日、身份證後6位、手機號後6位等做密碼。導致通過信息收集後,生成簡單的密碼字典進行枚舉即可攻陷郵箱、OA等賬號。
還有很多員工喜歡在多個不同網站上設置同一套密碼,其密碼早已經被洩露並錄入到了黑產交易的社工庫中;或者針對未啟用SSO驗證的內網業務系統,均習慣使用同一套賬戶密碼。這導致從某一途徑獲取了其賬戶密碼後,通過憑證復用的方式可以輕而易舉地登錄到此員工所使用的其他業務系統中,為打開新的攻擊面提供了便捷。
很多通用系統在安裝後會設置默認管理密碼,然而有些管理員從來沒有修改過密碼,如admin/admin、test/123456、admin/admin888等密碼廣泛存在於內外網系統後台,一旦進入後台系統,便有很大可能性獲得服務器控制權限;同樣,有很多管理員為了管理方便,用同一套密碼管理不同服務器。當一台服務器被攻陷並竊取到密碼後,進而可以擴展至多台服務器甚至造成域控制器淪陷的風險。
二、利用互聯網邊界滲透內網
大部分企業都會有開放於互聯網邊界的設備或系統,如:VPN系統、虛擬化桌面系統、郵件服務系統、官方網站等。正是由於這些設備或系統可以從互聯網一側直接訪問,因此也往往會成為藍隊首先嘗試的,突破邊界的切入點。
此類設備或系統通常都會訪問內網的重要業務,為了避免影響到員工使用,很多企業都沒有在其傳輸通道上增加更多的防護手段;再加上此類系統多會集成統一登錄,一旦獲得了某個員工的賬號密碼,就可以通過這些系統突破邊界直接進入內網中來。
譬如,開放在內網邊界的郵件服務如果缺乏審計,也未採用多因子認證;員工平時又經常通過郵件傳送大量內網的敏感信息。如服務器賬戶密碼、重點人員通訊錄等。那麼,當掌握相關員工的郵箱賬號密碼後,在郵件中所獲得的信息,會被藍隊下一步工作提供很多方便。
三、利用通用產品組件漏洞
信息化的應用提高了工作效率,但其存在的安全漏洞也是藍隊人員喜歡的。歷年實戰攻防演習中,經常被利用的通用產品漏洞包括:郵件系統漏洞、OA系統漏洞、中間件軟件漏洞、數據庫漏洞等。這些漏洞被利用後,可以使攻擊方快速獲取大量賬戶權限,進而控制目標系統。而作為防守方,漏洞往往很難被發現,相關活動常常被當作正常業務訪問而被忽略。
四、利用安全產品0Day漏洞
安全產品自身也無法避免0Day攻擊!安全產品也是一行行代碼構成,也是包含了操作系統、數據庫、各類組件等組合而成的產品。歷年攻防實戰演習中,被發現和利用的各類安全產品的0Day漏洞,主要涉及安全網關、身份與訪問管理、安全管理、終端安全等類型安全產品。這些安全產品的漏洞一旦被利用,可以使攻擊者突破網絡邊界,獲取控制權限進入網絡;獲取用戶賬戶信息,并快速拿下相關設備和網絡的控制權限。
安全產品的0Day漏洞常常是藍隊最好的攻擊利器。
五、利用人心弱點社工釣魚
利用人的安全意識不足或安全能力不足,實施社會工程學攻擊,通過釣魚郵件或社交平台進行誘騙,是藍隊專家經常使用的社工手段。在很多情況下,“搞人”要比“搞系統”容易得多。
釣魚郵件是最經常被使用的攻擊手段之一。藍隊專家常常會首先通過社工釣魚或漏洞利用等手段盜取某些安全意識不足的員工郵箱賬號;再通過盜取的郵箱,向該單位的其他員工或系統管理員發送釣魚郵件,騙取賬號密碼或投放木馬程序。由於釣魚郵件來自內部郵箱,“可信度”極高,所以,即便是安全意識較強的IT人員或管理員,也很容易被誘騙點開郵件中的釣魚鏈接或木馬附件,進而導致關鍵終端被控,甚至整個網絡淪陷。
冒充客戶進行虛假投訴,也是一種常用的社工手法,攻擊方會通過單人或多人配合的方式,通過在線客服平台、社交軟件平台等,向客戶人員進行虛假的問題反饋或投訴,設局誘使或迫使客服人員接受經過精心設計的帶毒文件或帶毒壓縮包。一旦客戶人員的心理防線被突破,打開了帶毒文件或壓縮包,客服人員的電腦就會成為攻擊隊打入內網的一個“立足點”。
除了客服人員外,很多非技術類崗位的工作人員也很容易成為社工攻擊的“外圍目標”。例如,如給法務人員發律師函,給人力資源人員發簡歷,給銷售人員發送採購需求等,都是比較常用的社工方法。而且往往“百試百靈”。
六、利用供應鏈隱蔽攻擊
供應鏈攻擊是迂迴攻擊的典型方式。攻擊方會從IT(設備及軟件)服務商、安全服務商、辦公及生產服務商等供應鏈入手,尋找軟件、設備及系統漏洞,發現人員及管理薄弱點並實施攻擊。常見的系統突破口包括:郵件系統、OA系統、安全設備、社交軟件等;常見的突破方式包括軟件漏洞,管理員弱口令等。
利用供應鏈攻擊,可以實現第三方軟件系統的惡意更新,第三方服務後台的秘密操控,以及物理邊界的防禦突破(如,受控的供應商駐場人員設備被接入內網)等多種複雜的攻擊目標。
七、利用下屬單位迂迴攻擊
在有紅隊防守的實戰攻防演習中,有時總部的系統防守會較為嚴密,藍隊很難正面突破,很難直接撬開進入內網的大門。此時,嘗試繞過正面防禦,通過攻擊防守相對薄弱的下屬單位,再迂迴攻入總部的目標系統,就是一種很“明智”的策略。
藍隊大量實戰中發現:絕大部分企業機構,其下屬單位之間的內部網絡,下屬單位與集團總部之間的內部網絡,均未進行有效隔離。很多部委單位、大型央企均習慣於使用單獨架設一條專用網絡,來打通各地區之間的內網連接,但同時又普遍忽視了不通區域網絡之間必要的隔離管控措施,缺乏足夠有效的網絡訪問控制。
這就導致藍隊一旦突破了子公司或分公司的防線,便可以通過內網橫向滲透,直接攻擊到集團總部,或是漫遊整個企業內網,進而攻擊任意系統。
例如A子公司位於深圳,B子公司位於廣州,而總部位於北京。當A子公司或B子公司被突破後,就可以毫無阻攔地進入到總部網絡中來。事實上,A子公司與B子公司可能僅需要訪問北京總部的部分業務系統;同時,A與B則可能完全不需要有任何業務上的往來。那麼,從安全角度看,就應該嚴格限制A與B之間的網絡訪問。但實際情況常常是:一條專線內網通往全國各地,一處淪陷,處處淪陷。
八、秘密滲透
不同於民間黑客或黑產團隊,藍隊工作一般不會大規模使用漏洞掃描器,因為掃描器活動特徵明顯,很容易暴露自己。例如,目前主流的WAF、IPS等防護設備都有識別漏洞掃描器的能力,一旦發現後,可能第一時間觸發報警或阻斷IP。
因此,信息收集和情報刺探是藍隊工作的基礎。在數據積累的基礎上,針對性地根據特定係統、特定平台、特定應用、特定版本,去尋找與之對應的漏洞,編寫可以繞過防護設備的EXP來實施攻擊操作,可以達到隱蔽攻一擊即中的目的。
如果目標系統的防禦縱深不夠,或使用安全設備的能力不足,當面對這種有針對性攻擊時,往往就很難及時發現和阻止攻擊行為。在攻防演習的實戰中,常常使用藍隊獲取到目標資料或數據後,被攻擊單位尚未感知到入侵行為。
如果參與演習的安全人員本身的技術能力也比較薄弱,無法實現對攻擊行為的發現、識別,無法給出有效的攻擊阻斷、漏洞溯源及系統修復策略,則在攻擊發生的很長一段時間內,防守一方可能都不會對藍隊的隱蔽攻擊採取有效的應對措施。
九、多點潛伏
藍隊專家在工作中,通常不會僅僅站在一個據點上去去開展滲透工作,而是會採取不同的Webshell,使用不同的後門程序,利用不同的協議來建立不同特徵的據點。
事實上,大部分應急響應過程並沒有溯源攻擊源頭,也未必能分析完整攻擊路徑。在防護設備告警時,很多防守方隊員會僅僅只處理告警設備中對應告警IP的服務器,而忽略了對攻擊鏈的梳理,從而導致儘管處理了告警,但仍未能將藍隊排除在內網之外。而藍隊則可以通過多個潛伏據點,實現快速“死灰復燃”。
如果某些防守方成員專業程度不高,安全意識不足,還有可能在藍隊的“伏擊”之下暴露更多敏感信息。例如,在針對Windows服務器應急運維的過程中,有防守方隊員會直接將自己的磁盤通過遠程桌面共享掛載到被告警的服務器上。這樣反而可以給秘密潛伏的藍隊進一步攻擊防守方成員的機會。
第五章藍隊三十六計——經典攻擊實例
古人帶兵打仗講三十六計。而藍隊實戰亦是一個攻防對抗的過程,同樣是人與人之間的較量,需要出謀劃策、鬥智斗勇。在這個過程中,有著“勾心鬥角”、“爾虞我詐”,也有著勇往直前、正面硬剛。為此,我們精選了幾個小案例,以三十六計為題向大家更加具體的展現藍隊的常見攻擊手法。
一、正面突破——跨網段控制工控設備
某企業為國內某大型製造業企業,內部生產網大量使用雙網卡技術實現網絡隔離。在本次實戰攻防演習活動中,攻擊隊的目標是:獲取該企業工控設備控制權限。
經過前期的情報收集與分析,攻擊隊制定了首先突破辦公網,再通過辦公網滲透進入工控網的戰略部署。
1)突破辦公網
攻擊隊首先選擇該企業的門戶網站作為突破口,並利用一個0Day漏洞獲取了該門戶網站應用與操作系統的管理員權限,從而獲取到該企業辦公內網的接入權限。
在橫向移動過程中,攻擊隊又探測到該企業內網中的多個服務系統和多台服務器。使用已經獲得門戶網站管理員賬號和密碼進行撞庫攻擊,成功登錄並控制了該企業內網中的絕大多數服務器。這表明,該企業內網中的大量系統服務器都使用了相同的管理賬號和密碼。
至此,攻擊隊突破辦公網的第一階段目標順利完成,並取得了巨大的戰果。接下來的目標就是找到工控網絡的突破口。
2)定位運維人員
對已經被攻破的服務器系統進行全面排查,攻擊隊發現,有多台服務器中存儲了用Excel明文記錄的密碼本,密碼本中包含所有系統用戶的賬戶和密碼。同時,服務器上還明文存儲了大量機構內部敏感文件,包括企業IT部門的組織架構等信息。結合組織架構及密碼本信息,攻擊隊成功定位到了一位工控系統的運維人員,並對其聯網行為開展了長時間的監控。
3)突破工控網
經過一段時間的監控,攻擊隊發現該運維人員自己的辦公終端上有嵌套使用遠程桌面的情況,即:首先通過遠程桌面登錄一台主機A;繼而,操作人又用主機A繼續通過遠程桌面,登錄另一網段的主機B。通過於密碼本進行對比時,發現主機A和B都是該企業工控系統中的主機設備,但各自處於網絡拓撲結構中不同的層次。其中,B主機之下連有關鍵的工控設備。
進一步分析發現,主機A使用了雙網卡,兩個網卡分別對應不同網段,但是兩個網卡之間沒有採取任何隔離措施。同時,主機B也是一台雙網卡主機,其上部署了隔離卡軟件進行雙網卡切換。
最終,攻擊隊發現了B主機上隔離卡軟件的一個重大設計缺陷,並利用該缺陷成功繞過雙網卡的隔離機制,成功拿到了工控設備的操作權限,可以隨意停止、啟動、復位相應的工控設備,某些操作可對設備的生產過程造成直接嚴重的傷害。
同時,攻擊隊的另一組人馬繼續摸排受控主機的用途和存儲文件。功夫不負有心人,攻擊隊最終又發現一台“生產住操作室”的主機設備,其上存儲有生產專用的文件,內容包括一些涉密文件,一旦被竊取,後果難以想像。
二、百折不饒——社工釣魚突破邊界
某企業為某大型特種設備製造商,同時具有比較成熟的互聯網服務經驗。在本次實戰攻防演習活動中,攻擊隊的目標是:獲取該企業一個核心業務管控平台的控制權限。
攻擊隊在前期的情報收集工作中發現,該企業內部的網絡防禦體係比較健全,正面突破比較困難。經過頭腦風暴,大家達成共識——要通過社工方法進行迂迴入侵。
1)尋找社工突破口
攻擊隊首先想到的社工方法也是最常見的郵件釣魚。但考慮到該企業相對完善的網絡防禦體系,猜測其內網中很可能已經部署了郵件檢測類的防御手段,簡單的使用郵件釣魚,很可能會被發現。
進一步的情報蒐集發現:該企業使用了微信客服平台,而且微信客服平台可以進行實時聊天並發送文件。考慮到客服人員一般沒有很強的技術功底,安全意識往往相對薄弱,攻擊隊最終商定:將社工對象確定為微信客服人員,並以投訴為話題嘗試對客服進行釣魚。
2)冒充客服反饋問題
於是,一名攻擊隊隊員開始冒充客戶,在該企業的微信客服平台上進行留言投訴,並要求客服人員接收名為“證據視頻錄像”的壓縮文件包。該壓縮包實際上是攻擊隊精心偽裝的,帶有木馬程序的文件包。讓攻擊隊意想不到的是,該客戶人員以安全為由,果斷地拒絕接收不明來源的文件。顯然,攻擊隊可能低估了該企業客服人員的安全意識素養。
3)社工升級攻破心理防線
不過,攻擊隊並沒有放棄,而是進一步採用多人協作的方式,對當班客服人員進行了輪番轟炸,要求客服人員報上工號,並威脅將要對其客服質量進行投訴。經過1個小時的拉鋸戰,客服人員的心理防線最終被攻破,最終接受了帶毒壓縮包,並打開了木馬文件。該客服人員的終端設備最終被控制。
以受控終端為據點,攻擊隊成功打入該企業的內網,後又利用一個未能及時修復的系統漏洞獲取到關鍵設備控制權限,再結合內網的信息收集,最終成功獲取到管控平台的權限。
三、迂迴曲折——供應鏈定點攻擊
某超大型企業為一個國家級關鍵信息基礎設施運營管理方,一旦發生安全事故,將直接危害國家安全及人民生命財產安全。在本次實戰攻防演習活動中,攻擊隊的目標是:獲取該企業內部系統的安全管控權限。
根據攻擊隊前期的情報收集摸排,該企業的辦公網絡及核心工業控制系統得到了非常嚴密的安全防護,對互聯網暴露的業務系統較少,而且業務系統做了安全加固及多層防護,同時也擁有較強的日常網絡安全運維保障能力。想要正面突破,非常困難。
前期情報分析還顯示,該企業雖然規模大、人員多,但並不具備獨立的IT系統研發和運維能力,其核心IT系統的建設和運維,實際上大多來自外部採購或外包服務。於是,攻擊隊根據這一特點,制定了從供應鏈入手的整體攻擊策略。
1)尋找目標供應商
攻擊隊首先通過檢索“喜報”、“中標”、“簽約”、“合作”、“驗收”等關鍵字,在全網範圍內,對該企業的供應商及商業合作夥伴進行地毯式摸排,最終選定將該企業的專用即時通信軟件系統開發商A公司作為主要的攻擊目標。
情報顯示,A公司為該企業開發的專用即時通信系統剛剛完成開發,推測該項目目前尚處於測試階段,A公司應該有交付和運維人員長期駐場為該企業提供運維全服務。如果能拿下駐場人員的終端設備,則可以成功進入該公司內網系統。
2)盜取管理員賬號
分析發現,A公司開發的即時通信軟件也在其公司內部進行使用。而該軟件的網絡服務管理後台,存在一個已知的系統安全漏洞。攻擊隊利用該漏洞獲取了服務器的控制權,並通過訪問服務器的數據庫系統,獲取了後台管理員的賬號和密碼。
3)定位駐場人員
攻擊隊使用管理員的賬號和密碼登錄服務器後,發現該系統的聊天記錄在服務器上是準明文(低強度加密或轉換)存儲的,而且管理員可以不受限制的翻閱其公司內部的歷史聊天記錄。
攻擊隊對聊天記錄進行關鍵字檢索後發現:A公司有三名員工的聊天記錄中,多次出現目標企業名、OA、運維等字眼;並且這三名員工的登錄IP經常落在目標企業的專屬網段上。因此,攻擊隊判斷,這三名員工就是A公司在目標企業的駐場人員。
4)定向惡意升級包
攻擊隊最初的設想是,通過被控的即時通信軟件服務器,向三名駐場人
藍隊,一般是指網絡實戰攻防演習中的攻擊一方。
藍隊一般會採用針對目標單位的從業人員,以及目標系統所在網絡內的軟件、硬件設備同時執行多角度、全方位、對抗性的混合式模擬攻擊手段;通過技術手段實現系統提權、控制業務、獲取數據等滲透目標,來發現系統、技術、人員、管理和基礎架構等方面存在的網絡安全隱患或薄弱環節。
藍隊人員並不是一般意義上的電腦黑客。因為黑客往往以攻破系統,獲取利益為目標;而藍隊則是以發現系統薄弱環節,提升系統安全性為目標。此外,對於一般的黑客來說,只要發現某一種攻擊方法可以有效地達成目標,通常就沒有必要再去嘗試其他的攻擊方法和途徑;但藍隊的目標則是要盡可能地找出系統中存在的所有安全問題,因此往往會窮盡已知的“所有”方法來完成攻擊。換句話說,藍隊人員需要的是全面的攻防能力,而不僅僅是一兩招很牛的黑客技術。
藍隊的工作也與業界熟知的滲透測試有所區別。滲透測試通常是按照規範技術流程對目標系統進行的安全性測試;而藍隊攻擊一般只限定攻擊範圍和攻擊時段,對具體的攻擊方法則沒有太多限制。滲透測試過程一般只要驗證漏洞的存在即可,而藍隊攻擊則要求實際獲取系統權限或系統數據。此外,滲透測試一般都會明確要求禁止使用社工手段(通過對人的誘導、欺騙等方法完成攻擊),而藍隊則可以在一定範圍內使用社工手段。
還有一點必須說明:雖然實戰攻防演習過程中通常不會嚴格限定藍隊的攻擊手法,但所有技術的使用,目標的達成,也必須嚴格遵守國家相關的法律和法規。
在演習實踐中,藍隊通常會以3人為一個戰鬥小組,1人為組長。組長通常是藍隊中綜合能力最強的人,需要較強的組織意識、應變能力和豐富的實戰經驗。而2名組員則往往需要各有所長,具備邊界突破、橫向移動(利用一台受控設備攻擊其他相鄰設備)、情報收集或武器研製等某一方面或幾個方面的專長。
藍隊工作對其成員的能力要求往往是綜合性的、全面性的。藍隊成員不僅要會熟練使用各種黑客工具、分析工具,還要熟知目標系統及其安全配置,並具備一定的代碼開發能力,以便應對特殊問題。
第二章藍隊演變趨勢
“魔高一尺道高一丈”!防守能力提升的同時,攻擊能力也在與時俱進。目前,藍隊的工作已經變得非常體系化、職業化和工具化,主要變現如下。
1)體系化
從漏洞準備、工具準備,到情報收集、內網滲透等,每個人都有明確的分工,有組織地形成團隊作戰能力,已經很少有一個人幹全套的情況了。
2)職業化
藍隊人員都來自各組織專職實戰演習團隊,有明確分工和職責,具備協同配合的職業操守,平時開展專業化訓練。
3)工具化
工具化程序持續提升,除了使用常用滲透工具,基於開源代碼的定制化工具應用增多,自動化攻擊被大規模應用,如採用多IP出口的自動化攻擊平台進行作業。
從實戰對抗的手法來看,現如今的藍隊還呈現出社工化、強對抗和迂迴攻擊的特點。
1)社工化
利用“人”的弱點實施社會工程學攻擊,是黑產團伙和高級威脅組織的常用手段,如今也被大量引入實戰攻防演習當中。
除了釣魚、水坑等傳統社工攻擊手段外,如今的藍隊還會經常通過在線客服、私信好友等多種交互平台進行社工攻擊,以便更加高效地獲取業務信息。社工手段的多變性往往會讓防守方防不勝防。
2)強對抗
利用0Day漏洞、NDay漏洞、免殺技術等方式與防守方進行高強度的技術對抗,也是近1-2年來藍隊在實戰攻防演習中表現出的明顯特點。特別的,藍隊人員大多出自安全機構,經過專業訓練,因此往往會比民間黑客更加了解安全軟件的防護機制和安全系統的運行原理,其使用的對抗技術也往往更具針對性。
3)迂迴攻擊
對於防護嚴密,有效監控的目標系統來說,正面攻擊往往難以奏效。這就迫使藍隊越來越多的採用“曲線救國”的攻擊方式,將戰線拉長:從目標系統的同級單位和下級單位入手,從供應鍊及業務合作方下手,在防護相對薄弱的關聯機構中尋找突破點,通過迂迴攻擊的方式攻破目標系統。
第三章藍隊四板斧——攻擊的四個階段
藍隊的攻擊並非是天馬行空的撞大運,而是一個有章可循、科學合理的作戰過程。一般來說,藍隊的工作可分為四個階段:站前準備、情報收集、建立據點和橫向移動。我們也常將這個四個階段稱為藍隊工作的“四板斧”。
一、第一階段:準備收集
在一場實戰攻防演習作戰開始前,藍隊人員主要會從以下幾個方面進行準備。
1)漏洞挖掘
漏洞一直是第一攻擊力。前期的漏洞挖掘對於打開突破口顯得非常重要,在實戰中,漏洞挖掘工作一般會聚焦於互聯網邊界應用、網絡設備、辦公應用、運維繫統、移動辦公、集權管控等方面。此外,只是找到漏洞還不夠,好的漏洞利用方式也是十分重要的。想要在不通環境下達到穩定、深度的漏洞利用,這對漏洞挖掘人員來說是一個不小的挑戰。
2)工具儲備
工具的目的是為了提升工作效率,好的工具往往能事半功倍,在實戰中,藍隊通常需要準備信息收集、釣魚、遠控、WebShell管理、隧道、掃描器、漏洞利用等多種工具。
3)戰法策略
團隊作戰考慮的是配合,因此,攻擊隊成員的分工角色就顯得尤為重要,小的戰役靠個人,大的戰役一定是靠機制、流程以及團隊合作。好的戰法策略,對於一場大的戰役來講至關重要。
4)以賽代練
日常的任務中,需要挑選出一些具有代表性的任務來對藍隊進行有針對性的訓練,有利於藍隊隊員提高自身的技能。參加各類安全大賽將非常有助於藍隊隊員的技術能力提升。
二、第二階段:情報收集
當藍隊專家接到目標任務後,並不會像滲透測試那樣在簡單收集數據後直接去嘗試各種常見漏洞,而是先去做情報偵察和信息收集工作。收集的內容包括目標系統的組織架構、IT資產、敏感信息洩露、供應商信息等各個方面。
組織架構包括單位部門劃分、人員信息、工作職能、下屬單位等;IT資產包括域名、IP地址、C段、開放端口、運行服務、Web中間件、Web應用、移動應用、網絡架構等;敏感信息洩露包括代碼洩露、文檔信息洩露、郵箱信息洩露、歷史漏洞洩露信息等方面;供應商信息包括相關合同、系統、軟件、硬件、代碼、服務、人員等相關信息。
掌握了目標企業相關人員信息和組織架構,可以快速定位關鍵人物以便實施魚叉攻擊,或確定內網橫縱向滲透路徑;而收集了IT資產信息,可以為漏洞發現和利用提供數據支撐;掌握企業與供應商合作相關信息,可為有針對性開展供應鏈攻擊提供素材。而究竟是要社工釣魚,還是直接利用漏洞攻擊,抑或是從供應鏈下手,一般取決於安全防護的薄弱環節究竟在哪裡,以及藍隊對攻擊路徑的選擇。
三、第三階段:建立據點
在找到薄弱環節後,藍隊專家會嘗試利用漏洞或社工等方法去獲取外網系統控制權限,一般稱之為“打點”或撕口子。在這個過程中,藍隊專家會嘗試繞過WAF、IPS、殺毒軟件等防護設備或軟件,用最少的流量、最小的動作去實現漏洞利用。
通過撕開的口子,尋找和內網聯通的通道,再進一步進行深入滲透,這個由外到內的過程一般稱之為縱向滲透。如果沒有找到內外聯通的DMZ區(Demilitarized Zone,隔離區),藍隊專家會繼續撕口子,直到找到接入內網的點為止。
當藍隊專家找到合適的口子後,便可以把這個點作為從外網進入內網的根據地。通過frp、ewsocks、reGeorg等工具在這個點上建立隧道,形成從外網到內網的跳板,將它作為實施內網滲透的堅實據點。
若權限不足以建立跳板,藍隊專家通常會利用系統、程序或服務漏洞進行提權操作,以獲得更高權限;若據點是非穩定的PC機,則會進行持久化操作,保證PC機重啟後,據點依然可以在線。
四、第四階段:橫向移動
進入內網後,藍隊專家一般會在本機以及內部網絡開展進一步信息收集和情報刺探工作。包括收集當前計算機的網絡連接、進程列表、命令執行歷史記錄、數據庫信息、當前用戶信息、管理員登錄信息、總結密碼規律、補丁更新頻率等信息;同時對內網的其他計算機或服務器的IP、主機名、開放端口、開放服務、開放應用等情況進行情報刺探。再利用內網計算機、服務器不及時修復漏洞、不做安全防護、同口令等弱點來進行橫向滲透擴大戰果。
對於含有域的內網,藍隊專家會在擴大戰果的同時去尋找域管理員登錄的蛛絲馬跡。一旦發現某台服務器有域管理員登錄,就可以利用Mimikatz等工具去嘗試獲得登錄賬號密碼明文,或者用Hashdump工具去導出NTLM哈希,繼而實現對域控服務器的滲透控制。
在內網漫游過程中,藍隊專家會重點關注郵件服務器權限、OA系統權限、版本控制服務器權限、集中運維管理平台權限、統一認證系統權限、域控權限等位置,嘗試突破核心系統權限、控制核心業務、獲取核心數據,最終完成目標突破工作。
第四章藍隊也套路——常用的攻擊戰術
在藍隊的實戰過程中,藍隊專家們逐漸摸出了一些套路、總結了一些經驗:有後台或登錄入口的,會盡量嘗試通過弱口令等方式進入系統;找不到系統漏洞時,會嘗試社工釣魚,從人開展突破;有安全防護設備的,會盡量少用或不用掃描器,使用EXP力求一擊即中;針對防守嚴密的系統,會嘗試從子公司或供應鏈來開展工作;建立據點過程中,會用多種手段多點潛伏,防患於未然。
下面介紹九種藍隊最常用的攻擊戰術。
一、利用弱口令獲得權限
弱密碼、默認密碼、通用密碼和已洩露密碼通常是藍隊專家們關注的重點。實際工作中,通過弱口令獲得權限的情況佔據90%以上。
很多企業員工用類似zhangsan、zhangsan001、zhangsan123、zhangsan888這種賬號拼音或其簡單變形,或者123456、888888、生日、身份證後6位、手機號後6位等做密碼。導致通過信息收集後,生成簡單的密碼字典進行枚舉即可攻陷郵箱、OA等賬號。
還有很多員工喜歡在多個不同網站上設置同一套密碼,其密碼早已經被洩露並錄入到了黑產交易的社工庫中;或者針對未啟用SSO驗證的內網業務系統,均習慣使用同一套賬戶密碼。這導致從某一途徑獲取了其賬戶密碼後,通過憑證復用的方式可以輕而易舉地登錄到此員工所使用的其他業務系統中,為打開新的攻擊面提供了便捷。
很多通用系統在安裝後會設置默認管理密碼,然而有些管理員從來沒有修改過密碼,如admin/admin、test/123456、admin/admin888等密碼廣泛存在於內外網系統後台,一旦進入後台系統,便有很大可能性獲得服務器控制權限;同樣,有很多管理員為了管理方便,用同一套密碼管理不同服務器。當一台服務器被攻陷並竊取到密碼後,進而可以擴展至多台服務器甚至造成域控制器淪陷的風險。
二、利用互聯網邊界滲透內網
大部分企業都會有開放於互聯網邊界的設備或系統,如:VPN系統、虛擬化桌面系統、郵件服務系統、官方網站等。正是由於這些設備或系統可以從互聯網一側直接訪問,因此也往往會成為藍隊首先嘗試的,突破邊界的切入點。
此類設備或系統通常都會訪問內網的重要業務,為了避免影響到員工使用,很多企業都沒有在其傳輸通道上增加更多的防護手段;再加上此類系統多會集成統一登錄,一旦獲得了某個員工的賬號密碼,就可以通過這些系統突破邊界直接進入內網中來。
譬如,開放在內網邊界的郵件服務如果缺乏審計,也未採用多因子認證;員工平時又經常通過郵件傳送大量內網的敏感信息。如服務器賬戶密碼、重點人員通訊錄等。那麼,當掌握相關員工的郵箱賬號密碼後,在郵件中所獲得的信息,會被藍隊下一步工作提供很多方便。
三、利用通用產品組件漏洞
信息化的應用提高了工作效率,但其存在的安全漏洞也是藍隊人員喜歡的。歷年實戰攻防演習中,經常被利用的通用產品漏洞包括:郵件系統漏洞、OA系統漏洞、中間件軟件漏洞、數據庫漏洞等。這些漏洞被利用後,可以使攻擊方快速獲取大量賬戶權限,進而控制目標系統。而作為防守方,漏洞往往很難被發現,相關活動常常被當作正常業務訪問而被忽略。
四、利用安全產品0Day漏洞
安全產品自身也無法避免0Day攻擊!安全產品也是一行行代碼構成,也是包含了操作系統、數據庫、各類組件等組合而成的產品。歷年攻防實戰演習中,被發現和利用的各類安全產品的0Day漏洞,主要涉及安全網關、身份與訪問管理、安全管理、終端安全等類型安全產品。這些安全產品的漏洞一旦被利用,可以使攻擊者突破網絡邊界,獲取控制權限進入網絡;獲取用戶賬戶信息,并快速拿下相關設備和網絡的控制權限。
安全產品的0Day漏洞常常是藍隊最好的攻擊利器。
五、利用人心弱點社工釣魚
利用人的安全意識不足或安全能力不足,實施社會工程學攻擊,通過釣魚郵件或社交平台進行誘騙,是藍隊專家經常使用的社工手段。在很多情況下,“搞人”要比“搞系統”容易得多。
釣魚郵件是最經常被使用的攻擊手段之一。藍隊專家常常會首先通過社工釣魚或漏洞利用等手段盜取某些安全意識不足的員工郵箱賬號;再通過盜取的郵箱,向該單位的其他員工或系統管理員發送釣魚郵件,騙取賬號密碼或投放木馬程序。由於釣魚郵件來自內部郵箱,“可信度”極高,所以,即便是安全意識較強的IT人員或管理員,也很容易被誘騙點開郵件中的釣魚鏈接或木馬附件,進而導致關鍵終端被控,甚至整個網絡淪陷。
冒充客戶進行虛假投訴,也是一種常用的社工手法,攻擊方會通過單人或多人配合的方式,通過在線客服平台、社交軟件平台等,向客戶人員進行虛假的問題反饋或投訴,設局誘使或迫使客服人員接受經過精心設計的帶毒文件或帶毒壓縮包。一旦客戶人員的心理防線被突破,打開了帶毒文件或壓縮包,客服人員的電腦就會成為攻擊隊打入內網的一個“立足點”。
除了客服人員外,很多非技術類崗位的工作人員也很容易成為社工攻擊的“外圍目標”。例如,如給法務人員發律師函,給人力資源人員發簡歷,給銷售人員發送採購需求等,都是比較常用的社工方法。而且往往“百試百靈”。
六、利用供應鏈隱蔽攻擊
供應鏈攻擊是迂迴攻擊的典型方式。攻擊方會從IT(設備及軟件)服務商、安全服務商、辦公及生產服務商等供應鏈入手,尋找軟件、設備及系統漏洞,發現人員及管理薄弱點並實施攻擊。常見的系統突破口包括:郵件系統、OA系統、安全設備、社交軟件等;常見的突破方式包括軟件漏洞,管理員弱口令等。
利用供應鏈攻擊,可以實現第三方軟件系統的惡意更新,第三方服務後台的秘密操控,以及物理邊界的防禦突破(如,受控的供應商駐場人員設備被接入內網)等多種複雜的攻擊目標。
七、利用下屬單位迂迴攻擊
在有紅隊防守的實戰攻防演習中,有時總部的系統防守會較為嚴密,藍隊很難正面突破,很難直接撬開進入內網的大門。此時,嘗試繞過正面防禦,通過攻擊防守相對薄弱的下屬單位,再迂迴攻入總部的目標系統,就是一種很“明智”的策略。
藍隊大量實戰中發現:絕大部分企業機構,其下屬單位之間的內部網絡,下屬單位與集團總部之間的內部網絡,均未進行有效隔離。很多部委單位、大型央企均習慣於使用單獨架設一條專用網絡,來打通各地區之間的內網連接,但同時又普遍忽視了不通區域網絡之間必要的隔離管控措施,缺乏足夠有效的網絡訪問控制。
這就導致藍隊一旦突破了子公司或分公司的防線,便可以通過內網橫向滲透,直接攻擊到集團總部,或是漫遊整個企業內網,進而攻擊任意系統。
例如A子公司位於深圳,B子公司位於廣州,而總部位於北京。當A子公司或B子公司被突破後,就可以毫無阻攔地進入到總部網絡中來。事實上,A子公司與B子公司可能僅需要訪問北京總部的部分業務系統;同時,A與B則可能完全不需要有任何業務上的往來。那麼,從安全角度看,就應該嚴格限制A與B之間的網絡訪問。但實際情況常常是:一條專線內網通往全國各地,一處淪陷,處處淪陷。
八、秘密滲透
不同於民間黑客或黑產團隊,藍隊工作一般不會大規模使用漏洞掃描器,因為掃描器活動特徵明顯,很容易暴露自己。例如,目前主流的WAF、IPS等防護設備都有識別漏洞掃描器的能力,一旦發現後,可能第一時間觸發報警或阻斷IP。
因此,信息收集和情報刺探是藍隊工作的基礎。在數據積累的基礎上,針對性地根據特定係統、特定平台、特定應用、特定版本,去尋找與之對應的漏洞,編寫可以繞過防護設備的EXP來實施攻擊操作,可以達到隱蔽攻一擊即中的目的。
如果目標系統的防禦縱深不夠,或使用安全設備的能力不足,當面對這種有針對性攻擊時,往往就很難及時發現和阻止攻擊行為。在攻防演習的實戰中,常常使用藍隊獲取到目標資料或數據後,被攻擊單位尚未感知到入侵行為。
如果參與演習的安全人員本身的技術能力也比較薄弱,無法實現對攻擊行為的發現、識別,無法給出有效的攻擊阻斷、漏洞溯源及系統修復策略,則在攻擊發生的很長一段時間內,防守一方可能都不會對藍隊的隱蔽攻擊採取有效的應對措施。
九、多點潛伏
藍隊專家在工作中,通常不會僅僅站在一個據點上去去開展滲透工作,而是會採取不同的Webshell,使用不同的後門程序,利用不同的協議來建立不同特徵的據點。
事實上,大部分應急響應過程並沒有溯源攻擊源頭,也未必能分析完整攻擊路徑。在防護設備告警時,很多防守方隊員會僅僅只處理告警設備中對應告警IP的服務器,而忽略了對攻擊鏈的梳理,從而導致儘管處理了告警,但仍未能將藍隊排除在內網之外。而藍隊則可以通過多個潛伏據點,實現快速“死灰復燃”。
如果某些防守方成員專業程度不高,安全意識不足,還有可能在藍隊的“伏擊”之下暴露更多敏感信息。例如,在針對Windows服務器應急運維的過程中,有防守方隊員會直接將自己的磁盤通過遠程桌面共享掛載到被告警的服務器上。這樣反而可以給秘密潛伏的藍隊進一步攻擊防守方成員的機會。
第五章藍隊三十六計——經典攻擊實例
古人帶兵打仗講三十六計。而藍隊實戰亦是一個攻防對抗的過程,同樣是人與人之間的較量,需要出謀劃策、鬥智斗勇。在這個過程中,有著“勾心鬥角”、“爾虞我詐”,也有著勇往直前、正面硬剛。為此,我們精選了幾個小案例,以三十六計為題向大家更加具體的展現藍隊的常見攻擊手法。
一、正面突破——跨網段控制工控設備
某企業為國內某大型製造業企業,內部生產網大量使用雙網卡技術實現網絡隔離。在本次實戰攻防演習活動中,攻擊隊的目標是:獲取該企業工控設備控制權限。
經過前期的情報收集與分析,攻擊隊制定了首先突破辦公網,再通過辦公網滲透進入工控網的戰略部署。
1)突破辦公網
攻擊隊首先選擇該企業的門戶網站作為突破口,並利用一個0Day漏洞獲取了該門戶網站應用與操作系統的管理員權限,從而獲取到該企業辦公內網的接入權限。
在橫向移動過程中,攻擊隊又探測到該企業內網中的多個服務系統和多台服務器。使用已經獲得門戶網站管理員賬號和密碼進行撞庫攻擊,成功登錄並控制了該企業內網中的絕大多數服務器。這表明,該企業內網中的大量系統服務器都使用了相同的管理賬號和密碼。
至此,攻擊隊突破辦公網的第一階段目標順利完成,並取得了巨大的戰果。接下來的目標就是找到工控網絡的突破口。
2)定位運維人員
對已經被攻破的服務器系統進行全面排查,攻擊隊發現,有多台服務器中存儲了用Excel明文記錄的密碼本,密碼本中包含所有系統用戶的賬戶和密碼。同時,服務器上還明文存儲了大量機構內部敏感文件,包括企業IT部門的組織架構等信息。結合組織架構及密碼本信息,攻擊隊成功定位到了一位工控系統的運維人員,並對其聯網行為開展了長時間的監控。
3)突破工控網
經過一段時間的監控,攻擊隊發現該運維人員自己的辦公終端上有嵌套使用遠程桌面的情況,即:首先通過遠程桌面登錄一台主機A;繼而,操作人又用主機A繼續通過遠程桌面,登錄另一網段的主機B。通過於密碼本進行對比時,發現主機A和B都是該企業工控系統中的主機設備,但各自處於網絡拓撲結構中不同的層次。其中,B主機之下連有關鍵的工控設備。
進一步分析發現,主機A使用了雙網卡,兩個網卡分別對應不同網段,但是兩個網卡之間沒有採取任何隔離措施。同時,主機B也是一台雙網卡主機,其上部署了隔離卡軟件進行雙網卡切換。
最終,攻擊隊發現了B主機上隔離卡軟件的一個重大設計缺陷,並利用該缺陷成功繞過雙網卡的隔離機制,成功拿到了工控設備的操作權限,可以隨意停止、啟動、復位相應的工控設備,某些操作可對設備的生產過程造成直接嚴重的傷害。
同時,攻擊隊的另一組人馬繼續摸排受控主機的用途和存儲文件。功夫不負有心人,攻擊隊最終又發現一台“生產住操作室”的主機設備,其上存儲有生產專用的文件,內容包括一些涉密文件,一旦被竊取,後果難以想像。
二、百折不饒——社工釣魚突破邊界
某企業為某大型特種設備製造商,同時具有比較成熟的互聯網服務經驗。在本次實戰攻防演習活動中,攻擊隊的目標是:獲取該企業一個核心業務管控平台的控制權限。
攻擊隊在前期的情報收集工作中發現,該企業內部的網絡防禦體係比較健全,正面突破比較困難。經過頭腦風暴,大家達成共識——要通過社工方法進行迂迴入侵。
1)尋找社工突破口
攻擊隊首先想到的社工方法也是最常見的郵件釣魚。但考慮到該企業相對完善的網絡防禦體系,猜測其內網中很可能已經部署了郵件檢測類的防御手段,簡單的使用郵件釣魚,很可能會被發現。
進一步的情報蒐集發現:該企業使用了微信客服平台,而且微信客服平台可以進行實時聊天並發送文件。考慮到客服人員一般沒有很強的技術功底,安全意識往往相對薄弱,攻擊隊最終商定:將社工對象確定為微信客服人員,並以投訴為話題嘗試對客服進行釣魚。
2)冒充客服反饋問題
於是,一名攻擊隊隊員開始冒充客戶,在該企業的微信客服平台上進行留言投訴,並要求客服人員接收名為“證據視頻錄像”的壓縮文件包。該壓縮包實際上是攻擊隊精心偽裝的,帶有木馬程序的文件包。讓攻擊隊意想不到的是,該客戶人員以安全為由,果斷地拒絕接收不明來源的文件。顯然,攻擊隊可能低估了該企業客服人員的安全意識素養。
3)社工升級攻破心理防線
不過,攻擊隊並沒有放棄,而是進一步採用多人協作的方式,對當班客服人員進行了輪番轟炸,要求客服人員報上工號,並威脅將要對其客服質量進行投訴。經過1個小時的拉鋸戰,客服人員的心理防線最終被攻破,最終接受了帶毒壓縮包,並打開了木馬文件。該客服人員的終端設備最終被控制。
以受控終端為據點,攻擊隊成功打入該企業的內網,後又利用一個未能及時修復的系統漏洞獲取到關鍵設備控制權限,再結合內網的信息收集,最終成功獲取到管控平台的權限。
三、迂迴曲折——供應鏈定點攻擊
某超大型企業為一個國家級關鍵信息基礎設施運營管理方,一旦發生安全事故,將直接危害國家安全及人民生命財產安全。在本次實戰攻防演習活動中,攻擊隊的目標是:獲取該企業內部系統的安全管控權限。
根據攻擊隊前期的情報收集摸排,該企業的辦公網絡及核心工業控制系統得到了非常嚴密的安全防護,對互聯網暴露的業務系統較少,而且業務系統做了安全加固及多層防護,同時也擁有較強的日常網絡安全運維保障能力。想要正面突破,非常困難。
前期情報分析還顯示,該企業雖然規模大、人員多,但並不具備獨立的IT系統研發和運維能力,其核心IT系統的建設和運維,實際上大多來自外部採購或外包服務。於是,攻擊隊根據這一特點,制定了從供應鏈入手的整體攻擊策略。
1)尋找目標供應商
攻擊隊首先通過檢索“喜報”、“中標”、“簽約”、“合作”、“驗收”等關鍵字,在全網範圍內,對該企業的供應商及商業合作夥伴進行地毯式摸排,最終選定將該企業的專用即時通信軟件系統開發商A公司作為主要的攻擊目標。
情報顯示,A公司為該企業開發的專用即時通信系統剛剛完成開發,推測該項目目前尚處於測試階段,A公司應該有交付和運維人員長期駐場為該企業提供運維全服務。如果能拿下駐場人員的終端設備,則可以成功進入該公司內網系統。
2)盜取管理員賬號
分析發現,A公司開發的即時通信軟件也在其公司內部進行使用。而該軟件的網絡服務管理後台,存在一個已知的系統安全漏洞。攻擊隊利用該漏洞獲取了服務器的控制權,並通過訪問服務器的數據庫系統,獲取了後台管理員的賬號和密碼。
3)定位駐場人員
攻擊隊使用管理員的賬號和密碼登錄服務器後,發現該系統的聊天記錄在服務器上是準明文(低強度加密或轉換)存儲的,而且管理員可以不受限制的翻閱其公司內部的歷史聊天記錄。
攻擊隊對聊天記錄進行關鍵字檢索後發現:A公司有三名員工的聊天記錄中,多次出現目標企業名、OA、運維等字眼;並且這三名員工的登錄IP經常落在目標企業的專屬網段上。因此,攻擊隊判斷,這三名員工就是A公司在目標企業的駐場人員。
4)定向惡意升級包
攻擊隊最初的設想是,通過被控的即時通信軟件服務器,向三名駐場人